每日安全简讯(20221022)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客使用FurBall Android恶意软件新变种监视伊朗公民


据研究人员披露，黑客组织“国内小猫”(Domestic Kitten)正在进行一项新的恶意攻击活动，该活动伪装成一个翻译应用程序，分发最新版本的FurBall的Android恶意软件。国内小猫，也称为APT-C-50，是一个伊朗威胁活动组织，之前已被确定为针对感兴趣的个人，目的是从受感染的移动设备中获取敏感信息。众所周知，它至少从2016年就开始活跃。最新版本值得注意的是，虽然保留了核心间谍软件功能，但该恶意软件仅请求访问联系人的一项权限，从而限制其访问SMS消息、设备位置、通话记录和剪贴板数据。

https://thehackernews.com/2022/10/hackers-using-new-version-of-furball.html

---

2 OldGremlin黑客使用Linux勒索软件攻击俄罗斯组织

OldGremlin是少数几个攻击俄罗斯企业网络的勒索软件组织之一，它已通过Linux机器的文件加密恶意软件扩展了其工具包。该团伙有讲俄语的成员，他们至少从2020年3月开始使用自制恶意软件开展活动，重点关注物流、工业、保险、零售、房地产、软件开发和银行业的俄罗斯公司。尽管大多数勒索软件团伙都避开了俄罗斯和独联体(CIS)地区国家的目标，但俄罗斯公司仍然是勒索攻击的目标。

https://www.bleepingcomputer.com/news/security/oldgremlin-hackers-use-linux-ransomware-to-attack-russian-orgs/

---

3 巴西警方逮捕了Lapsus$黑客组织的嫌疑人

巴西联邦警察近日宣布逮捕了一名涉嫌与臭名昭著的LAPSUS$敲诈团伙有联系的人。该机构指出，此次逮捕是在2022年8月启动的一项名为“暗云行动”的新执法行动的一部分。除了这个人可能是青少年之外，对嫌疑人的掌握情况知之甚少。LAPSUS$集团在巴西针对的其他联邦政府门户网站包括经济部、联邦总审计长和联邦公路警察。该组织最早的入侵主要针对巴西和南美机构，之后其成员扩展到针对位于欧洲和美国的其他公司。

https://thehackernews.com/2022/10/brazilian-police-arrest-suspected.html

---

4 Ursnif恶意软件将重点转移到勒索软件和数据盗窃上

Ursnif恶意软件(又名Gozi)的新变种作为通用后门出现，剥离了其典型的银行木马功能。它摆脱了作为银行木马的根源，将自身改造为能够提供下一阶段有效负载的通用后门，加入Emotet、Qakbot和TrickBot之类的行列。Ursnif的重大翻新避开了其所有与银行相关的功能和模块，转而检索VNC模块并在受感染机器中获取远程shell，这是通过连接到远程服务器以获取所述命令来执行的。这一变化可能表明新版本的运营商正专注于分发勒索软件和数据盗窃。

https://www.zdnet.com/article/this-old-malware-has-been-rebuilt-with-new-features-to-use-in-ransomware-attacks/#ftag=RSSbaffb68

---

5 Temp Stealer利用捆绑安装程序和破解软件进行传播

研究人员在监控暗网中发现一个帖子，其中威胁行为者为一个名为“Temp”的项目做广告并出售加载器和窃取程序。威胁行为者分别将它们命名为Temp Loader和Temp Stealer。Temp Loader是为将额外的恶意文件部署到受害者系统而开发的。Temp Stealer是一种信息窃取恶意软件，它可以窃取加密钱包、系统信息、浏览器数据和其他重要的系统和软件信息，然后将其发送到攻击者的远程服务器。研究人员在野外发现了Temp Stealer的多个活动实例，窃取者伪装成破解、keygens，也可以与其他软件捆绑进行传播。

https://blog.cyble.com/2022/10/20/infostealer-distributed-using-bundled-installer/

---

6 医疗系统Aurora Health数据泄露，影响300万患者

威斯康星州和伊利诺伊州拥有26家医院的医疗保健系统Advocate Aurora Health(AAH)正在通知其患者数据泄露事件，该事件暴露了3000000名患者的个人数据。该事件是由于在AAH网站上对Meta Pixel的不当使用造成的，患者在该网站上登录并输入敏感的个人和医疗信息。Meta Pixel是一种JavaScript跟踪器，可帮助网站运营商了解访问者如何与网站互动，从而帮助他们进行有针对性的改进。然而，跟踪器也会将敏感数据发送到Meta (Facebook)，然后与庞大的营销网络共享，这些营销网络针对患者投放与其病情相匹配的广告。

https://www.bleepingcomputer.com/news/security/health-system-data-breach-due-to-meta-pixel-hits-3-million-patients/