每日安全简讯(20250401)

发表于 2025-3-31 18:03

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 研究人员发现新型安卓恶意软件TsarBot

研究人员近期发现了一种新的安卓恶意软件，并将其命名为TsarBot。TsarBot通过伪装成合法金融平台的网络钓鱼网站进行传播。它使用覆盖攻击，通过在合法应用程序上显示虚假的登录页面来窃取银行凭据、信用卡详细信息和登录凭据。TsarBot能够监控屏幕并进行远程控制，并且可以通过黑色覆盖屏幕隐藏其恶意活动。研究人员在相关恶意应用程序中发现了多处俄语，这表明可能是使用俄语的攻击者开发了该恶意软件。

https://cyble.com/blog/tsarbot-using-overlay-attacks-targeting-bfsi-sector/

2 研究人员发现名为Triton RAT的恶意软件

研究人员发现了一个名为Triton RAT的恶意软件，该恶意软件基于Python进行编写。该Python脚本首先会从pastebin获取经过Base64编码的Telegram Bot令牌和聊天ID，还包含创建VBScript和BAT脚本的代码。VBScript脚本“updateagent.vbs”用于禁用Windows Defender、创建用于持久化的计划任务，并监视指定的进程。BAT脚本“check.bat”用于从DropBox获取一个名为“ProtonDrive.exe”的文件，将其存储在隐藏文件夹中，并以管理员权限执行它。”ProtonDrive.exe”是Triton RAT的pyinstaller编译版本。此外，Triton RAT还具有反分析、键盘记录、窃取凭证等恶意功能，并且通过Telegram Bot回传窃取的数据信息。
Triton RAT.png

https://www.cadosecurity.com/blog/python-based-triton-rat-targeting-roblox-credentials

3 戴尔修复其产品中的多个安全漏洞

戴尔于2025年3月27日发布了一则安全公告，详细介绍了影响Dell Unity产品的多个安全漏洞。这些漏洞是CVE-2025-22398（CVSS评分9.8）、CVE-2025-24383（CVSS评分9.1）、CVE-2025-24381（CVSS评分8.8）及多个本地权限提升漏洞。受影响的产品是5.4及更早版本的Dell Unity、Dell UnityVSA和Dell Unity XT。戴尔已发布修复程序，建议用户尽快更新到最新版本。

https://securityonline.info/cve-2025-22398-dell-unity-hit-by-9-8-cvss-root-level-command-injection-flaw/

4 亚特兰大国际机场网站遭受拒绝服务攻击

2025年3月28日，一次拒绝服务（DoS）攻击短暂中断了哈兹菲尔德-杰克逊亚特兰大国际机场的网站，但机场运营并未受到影响。据该机场官员称，亚特兰大国际机场的技术团队检测到了此次网络攻击，并迅速实施了标准保护措施以恢复访问。虽然用户在访问网站时可能会遇到短暂延迟，但机场运营并未受到影响。此次事件已得到控制，机场网站目前运行正常。目前尚不清楚此次攻击背后的攻击者是谁。
Atlanta airport.png

https://www.fox5atlanta.com/news/atlanta-airport-stops-potential-cyberattack-friday-morning

5 Nine Entertainment确认一起数据泄露事件

一则2025年3月31日的新闻报道称，Nine Entertainment正在对其外部数据安全进行审计。此前，一位研究人员发现了一个未受正确保护的亚马逊AWS S3存储桶，其中包含订阅者的姓名、邮寄地址和电子邮件地址。该事件影响了Nine Entertainment的主要刊物《悉尼先驱晨报》、《时代报》和《澳大利亚金融评论》约16000名订阅者的个人信息。Nine确认订阅者的信用卡详细信息和密码没有遭到泄露。Nine的一位发言人表示，此次泄露是由第三方供应商“未经授权的更改”造成的，并强调Nine的内部技术基础设施仍然安全。该公司采取行动解决了该问题，并向影响的订阅者通知了此次事件。

https://www.channelnews.com.au/nine-reviews-data-security-after-breach-exposes-16000-subscribers/

6 SimonMed Imaging确认遭到MEDUSA勒索组织攻击

2025年1月28日，SimonMed Imaging在其网络上发现了可疑活动。经过调查，该公司确认他们遭到了MEDUSA勒索组织发起的勒索软件攻击。对SimonMed Imaging系统的未经授权访问发生在2025年1月21日至2025年2月5日之间，MEDUSA勒索组织声称已获取约212.616GB的数据。对此次泄露的调查仍在进行中，受影响的个人总数尚不清楚。然而，SimonMed Imaging已确定受攻击的系统中可能包含个人身份信息（PII）和受保护的健康信息（PHI）。泄露的数据可能包括姓名、地址、出生日期、驾驶执照号码、健康保险信息、医疗记录号码、患者号码、医疗状况、诊断和治疗详情、药物、服务日期和提供者姓名。SimonMed Imaging已在其网站上提供了关于此次事件的详细通知。
SimonMed Imaging.png

https://www.claimdepot.com/data-breach/simonmed-imaging

		自动登录	找回密码
密码			注册创意安天