每日安全简讯(20221019)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客出售BlackLotus Windows UEFI bootkit恶意工具


一名威胁参与者在黑客论坛上出售名为BlackLotus的新的UEFI引导包，这是一种恶意工具，其功能通常与国家支持的威胁组织相关联。UEFI bootkit植入系统固件后，操作系统内运行的安全软件无法察觉，因为恶意软件在引导序列的初始阶段就会被加载。虽然想要获得此Windows bootkit许可证的网络犯罪分子必须支付5000美元，但威胁行为者表示，每次更新只会让他们支付200美元。研究人员警告说，由于其规避和持久性能力，此Rootkit在威胁环境中的可用性对组织可构成严重威胁。

https://www.bleepingcomputer.com/news/security/malware-dev-claims-to-sell-new-blacklotus-windows-uefi-bootkit/

---

2 黑客利用Qakbot银行木马部署Brute Ratel C4框架

在最近的攻击中，研究人员已经观察到Black Basta勒索软件系列背后的威胁行为者使用Qakbot银行木马部署Brute Ratel C4框架作为第二阶段的有效载荷。入侵途径是使用包含指向ZIP档案的武器化链接的网络钓鱼电子邮件实现的，进一步需要使用Cobalt Strike进行横向移动。Qakbot，也称为QBot和QuackBot，是一种信息窃取程序的银行木马，自2007年以来一直活跃。其模块化设计和下载程序的能力使其成为释放其他恶意软件的强有力候选者。

https://thehackernews.com/2022/10/black-basta-ransomware-hackers.html

---

3 研究人员发现微软Office 365消息加密方法存在漏洞

据研究人员称，由于存在缺陷的Office 365消息加密(OME)安全方法，该安全漏洞可被用于推断消息内容。出现这个问题是因为微软使用了美国NIST(美国国家科学技术研究院)定义的Electronic Cookbook/ECB分组密码保密模式。然而，这种模式早已被证明是有缺陷的，但问题是它的替代品无法在2023年之前推出。该漏洞可以允许访问第三方流氓软件，他们可以破译加密的电子邮件，从而暴露用户的敏感通信。由于ECB会泄露消息的结构信息，导致机密性丢失。

https://www.hackread.com/office-365-encryption-flaw-message-confidentiality/

---

4 研究人员发现了一个大规模的网络钓鱼活动

研究人员最近发现了一个大规模网络钓鱼活动，该活动提供恶意Android可执行文件。在调查样本时，将其识别为ERMAC银行木马。ERMAC是一种Android银行木马，于2021年8月下旬首次被发现，当时它的目标是波兰。最新版本的ERMAC 2.0针对467个应用程序，威胁行为者在网络犯罪论坛上以每月5000美元的价格出租它。本次活动使用钓鱼网站下载假冒Google Wallet、PayPal和Snapchat的虚假应用程序，并诱骗用户在其Android设备上下载和安装恶意软件ERMAC。

https://blog.cyble.com/2022/10/18/ermac-android-malware-increasingly-active/

---

5 澳大利亚零售商MyDeal数据泄露影响220万用户

来自澳大利亚最大杂货连锁店Woolworths Group旗下市场MyDeal的个人数据出现在数据泄露论坛上出售。数据泄露专家表示，来自MyDeal的500行样本数据似乎是合法的，在尝试注册新帐户时，MyDeal的网站将显示其系统中是否已经存在电子邮件地址。样本数据中的电子邮件地址显示已在MyDeal中注册。一个绰号为“Christian Dior”的攻击者正试图以600美元的价格出售整个MyDeal数据集。

https://www.govinfosecurity.com/new-data-leaks-add-to-australias-data-security-reckoning-a-20280

---

6 日本科技公司Oomiya遭LockBit 3.0勒索软件攻击

LockBit 3.0 RaaS的附属公司之一袭击了日本科技公司Oomiya。Oomiya专注于设计和制造微电子和设施系统设备。Omiya Kasei的业务分为四大领域，化学和工业产品的制造和设计、电子材料的设计、药物开发和工厂制造。Lockbit 3.0运营商声称已从公司窃取数据，并威胁如果公司不支付赎金，将在2022年10月20日之前泄露数据。目前，勒索软件团伙尚未公布涉嫌被盗文件的样本。此事件可能会对第三方组织产生重大影响，因为Oomiya处于全球多个行业的主要组织的供应链中，包括制造、半导体、汽车、通信和医疗保健。

https://securityaffairs.co/wordpress/137243/cyber-crime/oomiya-lockbit-3-0-ransomware.html