每日安全简讯(20240819)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 利用Pupy RAT的UTG-Q-010攻击行动分析

研究人员最近揭示了一个针对中国实体的UTG-Q-010攻击行动。这一行动采用了更新的DLL加载程序和开源的Pupy RAT，目标主要是加密货币爱好者和人力资源部门。该APT组织通过诱人的加密货币和简历主题的网络钓鱼邮件进行初步感染，显示出其高超的社交工程技术。UTG-Q-010集团以滥用合法Windows进程“WerFault.exe”来侧载恶意DLL文件“faultrep.dll”而闻名，这使得恶意代码能够在不被安全软件检测的情况下执行。该攻击行动通过使用内存执行和反射DLL加载的技术，最终目的是交付并执行Pupy RAT，显著降低了被检测的可能性，使得整个行动高度有效且难以追踪。

https://cyble.com/blog/analysing-the-utg-q-010-campaign/

---

2 独立日庆典期间针对印度和巴基斯坦的黑客活动激增

研究人员发布报告，揭示了在印度和巴基斯坦独立日庆典期间，黑客活动显著增加的情况。这两个国家在1947年分裂为独立国家，其独立日常常伴随军事边界冲突，黑客们利用这一时机对双方的数字基础设施发起攻击。今年8月14日午夜，黑客组织开始频繁发动攻击，声称已成功入侵100多个网站。这些攻击包括分布式拒绝服务（DDoS）攻击、网站篡改和开源数据泄露等。知名的黑客组织Team Insane Pakistan宣布了“#OpIndia”运动，专门针对印度实体，而另一个以亲巴勒斯坦为背景的组织Team Azrael则侵入了印度拉贾斯坦邦政府的邮件服务器，并发布了相关视频。黑客组织SILENT CYBER FORCE声称对25个印度网站发起了DDoS攻击，并泄露了一个网站的用户名和密码。其他组织如摩洛哥士兵和摩洛哥黑客军团也对印度教育、旅游和娱乐网站进行了破坏。与此同时，亲孟加拉国的"THE ANONYMOUS BANGLADESH"对印度法律协会进行了攻击，并为其他攻击者提供了非法后门访问权限。对此，支持以色列的黑客组织Anonymous Israel宣布将启动“#PAYBACK 2024”反击行动，计划联合亲印度黑客对孟加拉国、巴基斯坦等国的实体进行网络攻击。

https://cyble.com/blog/from-celebrations-to-cyber-strikes-hacktivism-incidents-spark-amidst-independence-day-celebrations/

---

3 利用Azure和Google搜索传播虚假信息与恶意软件

研究人员报道了一个新兴的虚假信息传播活动，涉及多个Microsoft Azure和OVH云子域名以及Google搜索。这一活动利用Android手机上的Google搜索通知，诱导用户点击虚假的信息链接，进而引导他们访问伪装成资讯文章的欺诈网站。这些网站不仅散布有关名人的虚假健康谣言，还通过重定向用户到含有恶意软件、垃圾信息和伪造软件的网站来实施攻击。多个名人如哈里·康尼克（Harry Connick Jr.）和比尔·帕克斯顿（Bill Paxton）被用作虚假信息的诱饵，这些虚假文章通过广告和虚假警报推广恶意软件和假冒的软件插件。

https://www.bleepingcomputer.com/news/security/azure-domains-and-google-abused-to-spread-disinformation-and-malware/

---

4 Mad Liberator黑客利用伪装Windows更新屏幕进行数据窃取

研究人员报道了新兴数据勒索团伙Mad Liberator的活动，该团伙主要针对AnyDesk远程访问应用用户。攻击开始时，黑客通过AnyDesk发送未经请求的连接请求，一旦连接被接受，他们会在目标计算机上植入一个伪装成Windows更新的假屏幕。这一假屏幕旨在分散用户注意力，同时黑客利用AnyDesk的文件传输工具从OneDrive账户、网络共享和本地存储中窃取数据。虽然目前尚未发现数据加密行为，但Mad Liberator会在网络共享目录中投放勒索通知，以确保在企业环境中的最大曝光。如果受害公司在24小时内未回应，他们的名字会被公开，并在之后的五天内，所有窃取的文件都会在Mad Liberator网站上发布。

https://news.sophos.com/en-us/2024/08/13/dont-get-mad-get-wise/

---

5 OpenAI封禁伊朗网络行动利用ChatGPT进行美国选举宣传

OpenAI宣布封禁一批与伊朗隐秘影响行动相关的ChatGPT账户，该行动被称为Storm-2035。这些账户利用ChatGPT生成关于美国总统选举等话题的内容，并通过社交媒体和伪装成新闻网站的方式传播。虽然这些内容未能获得显著的互动，但仍然试图通过政治极化信息影响公众。OpenAI发现，这些账户不仅生成了英文和西班牙文的评论，还在多个虚假新闻网站上发布文章，这些网站伪装成进步和保守派新闻机构。微软和Meta也报告了类似的外部影响活动，包括来自伊朗和俄罗斯的网络干预。

https://openai.com/index/disrupting-a-covert-iranian-influence-operation/

---

6 诈骗者假冒McAfee发票进行诈骗

研究人员报道了一个假冒McAfee发票的诈骗案件。诈骗者通过发送伪造的发票PDF，伪装成用户未购买的产品的付款凭证，诱使受害者拨打发票上的电话号码进行“退款处理”。一旦联系上受害者，诈骗者会假装成McAfee员工，诱导受害者安装恶意软件并访问其计算机，从而获取其银行账户信息。诈骗者随后伪造退款金额，诱使受害者提取现金并通过比特币ATM将其转换为加密货币，最终转账至诈骗者控制的账户。受害者的资金随后被追踪和冻结，但诈骗者已经获得了大部分资金。

https://www.zdnet.com/article/did-you-get-a-fake-mcafee-or-norton-invoice-how-the-scam-works-and-what-not-to-do/#ftag=RSSbaffb68

---