每日安全简讯(20221021)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现攻击者利用隐蔽隧道对设备进行后门攻击


最近，研究人员调查了一系列新的恶意软件攻击，这些恶意软件具有独特的特征，表明其创造者和运营商花费了大量事件和精力来创建与受影响设备进行通信和向其发出指令的隐蔽方法。在进行调查时，发现威胁参与者已在受影响的设备内安装了至少八种不同类型的恶意文件。这些有针对性的攻击混合了定制恶意软件和商业恶意软件，旨在创建隐蔽隧道来控制设备。此外，攻击者还采取措施隐藏他们的踪迹。结合起来，这些行动创造了一个难以检测的攻击，展示了一个复杂的威胁参与者寻求最大限度地控制设备，同时最大限度地降低检测风险。

https://news.sophos.com/en-us/2022/10/19/sophos-x-ops-finds-attackers-using-covert-channels-in-backdoor-against-devices/

---

2 德国Stimme Mediengruppe集团遭勒索软件攻击

据采访了解，此次勒索软件攻击袭击了整个Stimme Mediengruppe媒体集团，Heilbronn是该集团的成员。该集团下其他受影响的公司是Echo、Pressedruck和RegioMail。据称，一个“著名的网络犯罪组织”于 10月14日周五实施了这次攻击，使系统处于加密状态。尽管留下了赎金票据。攻击者尚未提出任何具体的赎金要求。袭击发生仅四天后，Heilbronn Stimme就能够再次开始提供印刷报纸。

https://www.malwarebytes.com/blog/news/2022/10/ransomware-attack-freezes-newspaper-printing-system

---

3 在超过2000万用户安装的应用程序中发现了新的恶意击键器

研究人员发现了潜入在Google Play的新的Clicker恶意软件。之前在Google Play上的总共16个应用程序已被确认具有恶意负载，具体安装量为2000万。Clicker恶意软件以非法广告收入为目标，并可能破坏移动广告生态系统。恶意行为被巧妙地隐藏起来，不被检测到。研究人员已经通知Google，并且目前所有已识别的应用程序都不再在Google Play上可用。用户还受到Google Play Protect的保护，它会在Android上阻止这些应用程序。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-malicious-clicker-found-in-apps-installed-by-20m-users/

---

4 研究人员公布Azure SFX漏洞详细信息

研究人员分享了有关Azure Service Fabric Explorer(SFX)中现已修补的安全漏洞的更多详细信息，该漏洞可能使攻击者能够获得集群的管理员权限。该漏洞的编号为CVE-2022-35829，CVSS严重等级为 6.2，微软在上周更新补丁中解决了该漏洞。该漏洞的根源在于，具有通过SFX客户端“创建Compose应用程序”权限的用户可以利用该权限创建流氓应用程序并滥用“应用程序名称”字段中存储的跨站脚本(XSS)漏洞触发有效载荷。

https://thehackernews.com/2022/10/researchers-detail-azure-sfx-flaw-that.html

---

5 REvil和Conti勒索软件衍生品改进了攻击策略

REvil又名Sodinokibi，在成为多个执法机构的目标后于2021年7月失踪，并于次年9月短暂恢复生机，然后似乎永远消失了。从那时起，研究人员发现了至少三个明显的REvil衍生产品，分别为Ransom Cartel、BlogXX和Spectre。与此同时，Conti的经营者在做出一个商业决定后，于春季退出了该组织：他们公开支持俄罗斯总统入侵乌克兰的决定，导致向该组织支付的赎金大幅下降。明显的Conti衍生产品包括Alphv/BlackCat、AvosLocker、Black Basta、HelloKitty、Quantum、Roy/Zeon和Silent Ransom。

https://www.govinfosecurity.com/revil-conti-ransomware-spinoffs-refine-attack-strategies-a-20292

---

6 微软确认部分客户的敏感信息遭泄露

微软表示，其部分客户的敏感信息被可通过Internet访问配置错误的微软服务器暴露。研究人员于2022年9月24日收到泄露通知后，该公司保护了服务器。这种错误配置可能导致未经身份验证访问与微软和潜在客户之间的交互相对应的某些业务交易数据，例如微软服务的规划或潜在实施和供应。据称，泄露是由“在微软生态系统中未使用的端点上的无意错误配置”引起的，而不是由于安全漏洞引起的。

https://www.bleepingcomputer.com/news/security/microsoft-data-breach-exposes-customers-contact-info-emails/