每日安全简讯(20241003)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 PyPI仓库发现假冒加密钱包恢复工具窃取用户数据

近日，研究人员发现多个伪装成加密钱包恢复工具的恶意软件包被上传至Python Package Index（PyPI）仓库。这些软件包声称为Atomic、Trust Wallet、Metamask 等流行钱包提供恢复服务，但实际上盗取用户私钥、助记词等敏感信息，并将其发送至远程服务器。恶意软件通过伪装热门工具和显示虚假下载量欺骗用户，部分软件包还通过动态解析器来更新恶意服务器地址，规避安全检测。此次攻击是针对加密货币领域的最新供应链攻击，凸显了开源社区的信任危机和加密生态系统的安全隐患。在软件下架前，这些恶意包累计吸引了数百次下载，影响范围广泛。

https://checkmarx.com/blog/crypto-stealing-code-lurking-in-python-package-dependencies/

---

2 AI驱动的Rhadamanthys木马通过图像识别窃取加密钱包

Rhadamanthys信息窃取木马添加了人工智能驱动的光学字符识别功能，能够从图像中提取加密货币钱包的助记词。这一新功能使得Rhadamanthys成为针对加密货币用户的高度危险威胁，窃取的助记词可用于访问受害者的钱包和资产。Rhadamanthys自2022年首次出现后，作为恶意软件即服务（MaaS）模式的一部分，迅速发展，并以每月250美元的价格向网络犯罪分子出租。最新版本0.7.0在程序稳定性和提取能力上有所提升，增加了多个钱包破解算法及文本识别功能。研究表明，该恶意软件的快速发展和创新功能使其成为组织需密切关注的威胁。

https://www.recordedfuture.com/research/rhadamanthys-stealer-adds-innovative-ai-feature-version

---

3 Mobidash安卓广告软件通过网络钓鱼和在线链接传播

研究人员最近发现了一场通过网络钓鱼邮件、社交媒体链接和色情网站传播Mobidash安卓广告软件的新攻击活动。Mobidash是一种早在2015年就已出现的安卓广告软件，通常通过重打包的合法APK进行传播。恶意行为者将广告软件SDK嵌入到应用程序中，用户在下载游戏或应用的同时也会无意间感染该广告软件。Mobidash的独特之处在于，它会在安装后最多延迟三天才开始展示广告，使用户难以察觉受感染的来源。本次活动利用Facebook链接进行重定向，引导用户下载恶意APK文件，感染范围广泛。

https://www.threatdown.com/blog/watch-out-mobidash-android-adware-spread-through-phishing-and-online-links/?_ga=2.156676796.649804783.1727863750-1426177466.1724308776

---

4 勒索软件攻击迫使UMC医疗系统转移部分患者

近日，美国德克萨斯州的UMC医疗系统遭遇勒索软件攻击，导致其IT系统瘫痪。UMC在其官网发布公告，宣布为应对网络攻击，已主动关闭部分系统，并开始调查。虽然医院仍对外开放，但所有紧急和非紧急患者均被转移到其他地点处理。作为唯一的一级创伤中心，UMC在西德克萨斯和新墨西哥东部的30家诊所每年接待约40万名患者，系统瘫痪对其医疗服务造成了严重影响。目前，包括放射科在内的多个科室的服务已被迫中断，处方单信息也无法获取。此外，在线沟通渠道不稳定，患者需亲自前往诊所处理紧急情况。UMC尚未确认任何数据泄露，调查仍在进行中，后续信息将在调查完成后更新。

https://www.umchealthsystem.com/it-outage/

---

5 研究人员对Zimbra Postjournal漏洞遭恶意利用发出警告

研究人员警告称，Zimbra Collaboration软件的新漏洞CVE-2024-45519正在被黑客积极利用。自2024年9月28日起，研究人员监测到攻击者利用该漏洞通过伪造的Gmail邮件发送到Zimbra服务器，从而执行任意命令。此漏洞存在于Zimbra的postjournal服务中，未经身份验证的攻击者可以通过命令注入远程执行代码。虽然Zimbra已于9月4日发布了修复补丁，但部分系统可能尚未更新，攻击活动仍在持续。研究人员建议立即应用最新补丁，或在无法及时更新的情况下暂时删除postjournal二进制文件以减少风险。目前，攻击者尚未被归属于任何已知威胁组织。

https://blog.projectdiscovery.io/zimbra-remote-code-execution/

---

6 Rackspace监控数据在ScienceLogic零日攻击中被盗

云托管服务提供商Rackspace遭遇数据泄露，攻击者通过ScienceLogic SL1平台中的零日漏洞获取了有限的客户监控数据。此次攻击涉及一个第三方工具的远程代码执行漏洞，ScienceLogic迅速发布了修复补丁并分发给受影响客户。Rackspace证实，黑客通过该漏洞访问了其三台内部监控服务器，窃取了包括客户账户名称、用户名、设备ID和IP地址等信息。尽管泄露的数据有限，但暴露的IP地址可能会被用于DDoS攻击或进一步的漏洞利用。Rackspace已采取措施，包括轮换加密凭证，并告知客户无需采取额外行动。

https://www.bleepingcomputer.com/news/security/rackspace-monitoring-data-stolen-in-sciencelogic-zero-day-attack/

---