每日安全简讯(20220924)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者利用PrivateLoader部署恶意载荷

PrivateLoader于2021年5月首次被观察到，是2022年传播最广泛的加载程序之一。它是一种模块化恶意软件，其主要功能是下载和执行一个或多个恶意载荷。Pay-Per-Install(PPI)服务使用PrivateLoader在受感染的主机上部署多个恶意载荷。PPI是一种恶意软件服务，恶意软件运营商向PPI运营商提供恶意载荷、请求的安装数量和目标地理位置。自2021年5月起，ruzki（又名les0k，zhigalsz）在地下俄语论坛和telegram频道上宣传PPI服务。

https://blog.sekoia.io/privateloader-the-loader-of-the-prevalent-ruzki-ppi-service/

---

2 BlackCat勒索软件对其使用的数据泄露工具进行了更新

BlackCat勒索软件（又名ALPHV）没有任何放缓的迹象，其演变的最新例子是用于双重勒索攻击的该团伙数据泄露工具的新版本。BlackCat被认为是Darkside和BlackMatter的继任者，是最复杂的勒索软件团伙之一。近期，该勒索软件团伙更新了使用的窃密工具，该工具名为“Exmatter”，自BlackCat于2021年11月推出以来一直在使用，并于2022年8月进行了重大更新。除了扩展的功能之外，最新的Exmatter版本还进行了大量的代码重构，更隐蔽地实施现有功能以逃避检测。

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-s-data-exfiltration-tool-gets-an-upgrade/

---

3 攻击者通过SocGholish分发NetSupport RAT

SocGholish是自2017年以来一直活跃的JavaScript恶意软件框架。“SocGholish”中的“Soc”一词是指使用伪装成软件更新的社会工程工具包在受害者的系统上部署恶意软件。该恶意软件框架使用多个社会工程主题来模拟浏览器和程序更新，例如Chrome/Firefox、Flash Player和Microsoft Teams。威胁参与者(TA)托管一个恶意网站（该网站显示内容以通过关键的浏览器更新来吸引最终用户），该网站实施驱动下载机制，例如JavaScript代码或统一资源定位器(URL)重定向，以下载一个包含恶意软件的存档文件。

https://blog.cyble.com/2022/09/21/netsupport-rat-distributed-via-socgholish/

---

4 CISA警告攻击中使用的ManageEngine RCE漏洞

网络安全和基础设施安全局(CISA)已将影响多个Zoho ManageEngine产品的严重Java反序列化漏洞添加到其积极利用的错误目录中。此安全漏洞（CVE-2022-35405）可在不需要用户交互的低复杂性攻击中被利用，以在运行未修补的Zoho ManageEngine PAM360和Password Manager Pro（无身份验证）或Access Manager Plus（有身份验证）软件的服务器上获得远程代码执行。“针对上述漏洞的利用 POC 是公开的，”ManageEngine在7月份发布安全补丁以解决此问题时警告客户。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-manageengine-rce-bug-used-in-attacks/

---

5 攻击者利用Magento漏洞发起新一轮攻击

研究人员观察到针对CVE-2022-24086的黑客攻击激增，这是一个严重的Magento 2漏洞，允许未经身份验证的攻击者在未修补的站点上执行代码。Magento是Adobe旗下的开源电子商务平台，全球约有170000个在线购物网站使用。CVE-2022-24086漏洞于2022年2月被发现并修补，当时威胁者已经积极利用它。当时，CISA发布了警告，敦促站点管理员安装可用的安全更新。研究人员已经观察到三种攻击变种，利用CVE-2022-24086在易受攻击的端点上注入远程访问木马 (RAT)。

https://www.bleepingcomputer.com/news/security/critical-magento-vulnerability-targeted-in-new-surge-of-attacks/

---

6 葡萄牙航空公司遭受勒索攻击后拒绝与黑客谈判

葡萄牙国家航空公司TAP Air Portugal周三公开表示，在该航空公司首次检测到网络安全入侵近一个月后，不会与在暗网上发布客户信息的黑客进行谈判。Ragnar Locker勒索软件组织上个月底声称对这次攻击负责，因为TAP Air Portugal淡化了网络安全事件，声称似乎没有发生对客户数据的不当访问。现在，Ragnar Locker泄密站点拥有150万TAP客户的详细信息。该公司警告客户，由于暴露了客户的个人数据，他们可能成为网络钓鱼攻击和其他形式的数字欺诈的目标。

https://www.govinfosecurity.com/portuguese-airliner-vows-defiance-against-extortion-hackers-a-20134