每日安全简讯(20221025)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布通过伪造中文版Telegram网站投放远控木马的攻击活动分析


近日，安天CERT监测到一起通过伪造中文版Telegram网站投放远控木马的攻击活动，本次攻击主要针对使用Windows系统的用户。攻击者通过伪造中文版Telegram网站，诱导用户下载包含恶意代码的Telegram应用程序安装包。恶意代码使用“白加黑”技术，通过替换DLL文件劫持合法的Windows Defender程序，躲避安全软件查杀，之后经过多层shellcode及DLL文件加载执行最终的远控木马，实现对用户设备的远程控制。经关联分析发现，本次捕获的样本为Gh0st远控木马家族变种。Gh0st远控木马采用C/C++语言编写，具有远程下载执行、文件管理、键盘记录等多种功能，由于其开源特性，在互联网上存在大量的变种修改版本，行为更加隐蔽，功能更加多样化、定制化，对用户计算机安全造成更大危害。

https://mp.weixin.qq.com/s/JdSMt4kqcs5V-s7Vpo3ViA

---

2 Typosquat模仿27个品牌推送Windows和Android恶意软件

研究人员在本周发布了一份报告，发现了一场大规模的恶意活动正在进行，使用200多个假冒域名，冒充27个品牌，诱骗访问者下载各种Windows和Android恶意软件。此恶意活动中使用的域名与真实域名非常接近，具有单个字母位置交换或额外多出一个“s”，使人们容易被欺骗。从外观上看，这些恶意网站都是原版网站的克隆，或者至少有足够的说服力，所以没有太多的欺诈行为。但是，用户也可能通过网络钓鱼电子邮件或短信、即时消息、恶意社交媒体和论坛帖子以及其他方式被引导到这些网站。

https://www.bleepingcomputer.com/news/security/typosquat-campaign-mimics-27-brands-to-push-windows-android-malware/

---

3 数千个GitHub存储库使用恶意软件提供虚假PoC漏洞利用

研究人员在GitHub上发现了数千个存储库，这些存储库提供针对各种漏洞的虚假概念验证(PoC)漏洞利用，其中一些漏洞包括恶意软件。GitHub是最大的代码托管平台之一，研究人员使用它来发布PoC漏洞利用，以帮助安全社区验证漏洞修复或确定漏洞的影响和范围。根据研究人员的技术论文，感染恶意软件而不是获得PoC的可能性可能高达10.3%，不包括经过验证的假冒的恶作剧软件。

https://www.bleepingcomputer.com/news/security/thousands-of-github-repositories-deliver-fake-poc-exploits-with-malware/

---

4 伊朗核能机构称电子邮件服务器被攻击

伊朗原子能组织周日表示，其子公司的一个电子邮件服务器遭到黑客攻击。一个自称为Black Reward并声称来自伊朗的激进组织上周五在Telegram上表示，访问了由一家与伊朗原子能组织有关的公司运营的电子邮件服务器，并泄露了324个收件箱，其中包括超过100000条消息，总计超过50G文件。Black Reward声称，邮件的内容包括核电站的建设计划、为该组织工作的伊朗人的个人信息，以及协助伊朗核电工作的俄罗斯工程师的护照详细信息。

https://securityaffairs.co/wordpress/137513/hacking/hackers-stole-sensitive-data-from-irans-atomic-energy-agency.html

---

5 EnergyAustralia电力公司遭受网络攻击

澳大利亚电力公司EnergyAustralia是该国第三大能源零售商。据该公司称，威胁行为者可以访问323名住宅和小型企业客户的信息，但“没有数据泄露的证据”。根据发布的一份声明，被泄露的数据存储在公司的在线平台My Account上，包括客户姓名、地址、电子邮件地址、电费和煤气费、电话号码以及信用卡的前六位和后三位数字。在周五。据EnergyAustralia称，密码、银行信息、驾驶执照和护照没有被泄露，因为它们没有存储在平台上。该公司通知了受影响的用户，并将该起事件报告给了监管部门和执法部门。

https://www.cysecurity.news/2022/10/energyaustralia-electricity-company.html?utm_source=dlvr.it&utm_medium=twitter

---

6 乌克兰国家组织遭RomCom恶意软件攻击

乌克兰CERT-UA政府计算机应急响应小组发现了据称代表乌克兰武装部队总参谋部新闻处分发电子邮件的事实，其链接为用于下载“订单”的第三方网络资源。在提到的网页上，有一条关于需要更新软件(PDF阅读器)的消息。如果单击“下载”按钮，可执行文件将下载到受害者的计算机上。运行上述文件将解码并运行“rmtpak.dll”文件，后者被归类为RomCom恶意软件。

https://cert.gov.ua/article/2394117