每日安全简讯(20210403)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新多阶段感染链活动疑似与Bahamut有关

Anomali研究人员发现有攻击者在多阶段感染链攻击活动中利用漏洞(CVE-2017-8570)分发恶意文档，以在目标机器上安装Visual Basic (VB)可执行文件，创建后门。该后门似乎只检索受感染机器的用户名，表明这可能是一项侦察活动。研究人员基于有限的技术情报，并根据目标与先前观察到的活动相一致，评估该活动疑似与APT网络间谍组织Bahamut有关。Bahamut是一个“雇佣组织”，通常以中东和南亚的实体和个人为目标，使用鱼叉式钓鱼信息和虚假应用程序作为初始感染媒介。


https://www.anomali.com/blog/bah ... tion-chain-campaign

---

2 Hancitor恶意软件新活动使用Ping工具

Unit42团队发现Hancitor恶意软件在最近几个月的新活动中，开始使用网络ping工具来帮助枚举受感染主机的Active Directory（AD）环境。Hancitor近期活动感染链始于带有链接的电子邮件，该链接指向谷歌云端硬盘（Google Drive）上托管的恶意页面。该页面链接的URL将下载恶意Word文档。Word文档宏被启用后，将释放Hancitor DLL并使用rundll32.exe运行。然后Hancitor生成C2进行通信，释放Ficker Stealer恶意软件，如果是在AD环境中，将执行Cobalt Strike，通过使用网络ping工具或基于NetSupport Manager远程访问工具（RAT）的恶意软件发送文件。


https://unit42.paloaltonetworks. ... ions-cobalt-strike/

---

3 ZLoader木马变种对释放器进行混淆处理

2021年3月18日，DNSWatch安全团队发现了一封恶意电子邮件，该邮件包含标题为Attachment_57904的附件。该附件实际为高度混淆的Visual Basic脚本，其包含大量的乱码字典词，研究人员发现去混淆后形成的数组还使用乱码字典词的注释来进一步混淆。该Visual Basic脚本作为释放器最终将投送ZLoader木马变种。


https://www.secplicity.org/2021/ ... der-trojan-variant/

---

4 意大利男装品牌Boggi Milano遭勒索攻击

意大利男装品牌Boggi Milano证实遭遇了Ragnarok勒索软件攻击。Ragnarok勒索软件团伙声称在此次攻击中，窃取了40 GB的数据，并且已在暗网的泄露站点发布了一些与付款相关的文件，具体包括工资文件、付款PDF、凭证、负债文件、涉税文件等。


https://www.technadu.com/boggi-m ... ware-actors/261074/

---

5 美国大型佛罗里达学区遭遇勒索软件攻击

美国大型的佛罗里达学区的计算机系统遭遇勒索软件攻击，该勒索软件团伙对学区数据进行加密并要求4000万美元的赎金，否则将删除这些文件并在网上发布学生和员工的个人信息。该学区在发布的声明中表示，没有迹象表明有任何个人信息被盗，也没有向勒索软件团伙支付勒索赎金，目前正在与网络安全专家合作，调查事件并修复受影响的系统。


https://www.securityweek.com/lar ... t-ransomware-attack

---

6 多个网站感染恶意的jQuery Migrate插件

安全研究人员发现，数十个网站都被注入了jQuery Migrate插件的假冒版本，其中包含了用于加载恶意软件的混淆代码。这些恶意插件分别名为jquery-migrate.js和jquery-migrate.min.js，替换了原始合法jQuery文件目录下存在的合法文件。这些恶意插件包含混淆的代码，用于加载内部带有恶意代码的analytics.js文件，以进行网络诈骗等恶意活动。


https://www.bleepingcomputer.com ... sites-with-malware/

---