每日安全简讯(20220930)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发布Bl00dy勒索软件分析报告


“Bl00dy”是一种使用双重勒索技术的新型勒索软件家族。勒索软件对受害者机器上的文件进行加密，并将加密文件的扩展名附加“.bl00dy”，然后创建勒索信以索要赎金。该勒索软件使用Telegram发布受感染组织的信息，而不是使用Onion/Tor站点。根据Telegram频道信息，勒索软件团伙于2022年7月下旬创建了Telegram账户，并于2022年8月开始发布泄露的受害者数据。根据Cyble Threat情报平台的统计数据，Bl00dy勒索软件已针对消费品、医疗保健、专业服务、IT和ITES等多个行业领域的许多知名组织发起攻击（目前已知受害者6名）。

https://blog.cyble.com/2022/09/28/bl00dy-new-ransomware-strain-active-in-the-wild/

---

2 研究人员发现针对加密钱包的Doenerium窃密木马

Cyble Research and Intelligence Labs(CRIL)发现一个针对Office365用户的鱼叉式网络钓鱼电子邮件活动中使用的恶意域。研究人员观察到同一域下，还托管了多个恶意软件，例如一个名为“Doenerium”的新窃密木马。针对Office365用户的鱼叉式网络钓鱼电子邮件包含一个伪装成PDF附件的链接，一旦用户点击伪装成PDF附件的链接，它会将他们重定向到钓鱼页面。钓鱼网站所在的域是恶意的并托管了多个恶意文件，其中有一个网页将Doenerium窃密木马伪装成Microsoft Windows恶意软件删除工具进行传播。

https://blog.cyble.com/2022/09/28/new-information-stealer-targeting-crypto-wallets/

---

3 攻击者使用Quantum Builder传播Agent Tesla窃密木马

研究人员近期发现攻击者正在使用一种名为Quantum Builder的恶意软件生成器传播Agent Tesla窃密木马。Quantum Builder在暗网上以每月189欧元的价格出售，它是一种可定制的工具，用于生成恶意快捷方式文件以及HTA、ISO和PowerShell有效载荷，以在目标机器上运行下一阶段的恶意软件。攻击链从包含GZIP存档附件的鱼叉式网络钓鱼开始，该附件包含一个快捷方式，执行后会使用MSHTA启动远程HTML应用程序(HTA)的PowerShell代码。

https://thehackernews.com/2022/09/cyber-criminals-using-quantum-builder.html

---

4 以太网VLAN Stacking漏洞可被攻击者利用发起DoS、MiTM攻击

VLAN Stacking的四个漏洞可被攻击者利用，通过构造定制的数据包对网络目标执行拒绝服务(DoS)或中间人(MitM)攻击。后者是更严重的情况，因为如果数据未加密，攻击者可以观察网络流量并访问敏感信息。这些漏洞影响使用第2层(L2)安全控制来过滤流量以实现虚拟网络隔离的网络设备，例如交换机、路由器和操作系统。这些漏洞存在于允许堆叠虚拟局域网(VLAN)标头的以太网封装协议中，未经身份验证的攻击者可以使用VLAN和LLC/SNAP标头的组合来绕过L2网络过滤保护。

https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/

---

5 Auth0警告某些源代码存储库可能已被泄露

Okta子公司Auth0披露了涉及其一些代码存储库的“安全事件”。Auth0的身份验证平台每天用于验证来自30个国家/地区的2000多家企业客户的超过4200万次登录，其中包括AMD、西门子、辉瑞、马自达和斯巴鲁等公司。8月下旬，第三方通知Okta，他们拥有2020年10月及之前的某些Auth0代码存储库的副本。Auth0表示“最近结束的两项调查均证实，没有证据表明未经授权访问我们或我们客户的环境，也没有任何证据表明有任何数据泄露或持续访问。”

https://www.bleepingcomputer.com/news/security/auth0-warns-that-some-source-code-repos-may-have-been-stolen/

---

6 美国国税局警告美国纳税人遭受的短信网络钓鱼攻击大量增加

美国国税局(IRS)警告美国纳税人，在过去几周内，以IRS为主题的短信网络钓鱼攻击呈指数级增长。此类诈骗短信将美国纳税人重定向到使用各种诱饵（例如，未付账单、银行账户问题或执法行动）收集敏感信息的网络钓鱼登陆页面。SMS网络钓鱼中一些最狡猾的诱饵是将目标发送到冒充银行网站的页面并要求他们验证购买或解锁冻结的信用卡的链接。虽然这些网络钓鱼活动背后的一些攻击者专注于窃取付款细节，但也有攻击者收集可以用于各种其他诈骗或出售给他人的任何个人信息。

https://www.bleepingcomputer.com/news/security/irs-warns-americans-of-massive-rise-in-sms-phishing-attacks/