每日安全简讯(20210424)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 ToxicEye RAT利用Telegram进行通信

在过去的三个月里，Check Point Research发现攻击者使用名为ToxicEye的新型多功能远程访问木马(RAT)进行了130多次攻击。ToxicEye通过包含恶意.exe文件的网络钓鱼电子邮件进行传播。如果用户打开恶意附件，ToxicEye会将其自身安装在受害者的PC上，并执行一系列攻击，包括窃取数据、删除或传输文件、在PC上终止进程、劫持PC的麦克风和摄像头以录制音频和视频、出于勒索目的加密文件。攻击者通过Telegram管理ToxicEye，利用Telegram与C&C服务器通信并渗出数据。


https://blog.checkpoint.com/2021 ... or-command-control/

---

2 Mount Locker使用新脚本提高隐蔽性

在过去的六周里，GuidePoint Security研究人员注意到Mount Locker勒索软件的新变化。在最近的活动中，Mount Locker使用旨在禁用检测和预防工具的新批处理脚本，脚本是根据受害者的环境定制。Mount Locker还开始使用多台具有唯一域的CobaltStrike服务器，这种情况是不常见的，因为其增加了攻击者的管理开销。


https://www.guidepointsecurity.c ... er-ir-capabilities/

---

3 Darkside勒索软件团伙使用新勒索策略

Darkside勒索软件团伙正在加强其勒索策略，以干预纳斯达克或其他股票市场上市公司的股票估值。该团伙在其泄露站点表示，如果被攻击的上市公司拒绝支付赎金，将在泄露数据之前提供可能对其股票价格产生负面影响的信息，使交易人员有可能从股票价格的下跌中获利。该策略还可以作为间接手段来威胁被攻击的公司，即不支付赎金可能会导致负面新闻报道，影响其上市，以迫使一些受害公司支付赎金。


https://securityaffairs.co/wordp ... re-stock-price.html

---

4 研究人员披露Android僵尸网络PARETO

HUMAN Satori团队发现了一个庞大的Android设备僵尸网络，该僵尸网络被称为PARETO，用于在联网电视广告生态系统中进行欺诈。PARETO由将近一百万受感染的移动Android设备组成，假装成千上万的人在智能电视和其他设备上观看广告，从而在流媒体平台上造成无效流量。PARETO使用了29个Android应用程序来模仿或欺骗6000多个CTV应用程序，每天平均有6.5亿个广告请求。


https://www.humansecurity.com/blog/pareto-a-technical-analysis

---

5 罗克韦尔工业交换机受思科软件漏洞影响

工业自动化巨头罗克韦尔自动化为其部分Stratix交换机发布固件更新，以解决由于使用思科IOS XE软件而引入的漏洞。罗克韦尔自动化此次修复了8个影响Stratix 5800管理的工业以太网交换机的漏洞。漏洞包括与通用工业协议（CIP）相关的特权升级漏洞CVE-2021-1392、与思科IOS XE软件的Web UI功能有关可致跨站点WebSocket劫持攻击的漏洞CVE-2021-1403等。


https://www.securityweek.com/roc ... ties-cisco-software

---

6 Cellebrite工具存在任意代码执行漏洞

开发人员发现Cellebrite工具存在任意代码执行漏洞。Cellebrite工具用于从用户拥有的手机中提取数据。据称，通过在被Cellebrite扫描的设备上的应用程序中包含一个特殊格式但无害的文件，就有可能执行代码，代码不仅可以修改在该扫描中创建的Cellebrite报告，还可以任意方式（插入或删除文本、电子邮件、照片、联系人、文件或任何其它数据）修改所有先前扫描的设备和所有未来扫描的设备产生的Cellebrite报告，且没有可检测的时间戳变化或校验和错误。


https://www.zdnet.com/article/si ... lebrite-underbelly/

---