每日安全简讯(20221224)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天披露黑客组织Eternity售卖的商业武器库

安天CERT此前披露的Jester黑客团伙自2021年7月开始活跃，主要通过售卖其开发的窃密木马、剪贴板劫持器、僵尸网络等不同类型的恶意代码获利。2022年2月，该黑客团伙声称由于仿冒者太多而被各地下论坛封禁，所以决定更名为Eternity。目前该黑客团伙已经形成了一定的规模，具有多名成员，能够根据购买者的反馈对其开发的恶意代码进行修改，增加新功能，并开始出售勒索软件和蠕虫等更多类型的恶意代码，形成了MaaS（恶意软件即服务）的运营模式，对用户的设备和数据安全形成威胁。安天发布报告对该黑客团伙进行更多介绍，并详细分析了其开发的蠕虫及勒索软件。安天智甲可实现对该黑客团伙开发的各类恶意代码的有效查杀。

https://mp.weixin.qq.com/s/ntd9BccsL3fIQ59FOMGisA

---

2 IcedID僵尸网络滥用Google PPC服务分发恶意软件

研究人员在密切跟踪IcedID僵尸网络的活动时，发现攻击者自2022年12月以来滥用谷歌的滥用每次广告点击付费服务 (pay per click，PPC)分发IcedID木马。Google Ads等广告平台使企业能够向目标受众展示广告，以增加流量和增加销售额。攻击者克隆合法组织和知名应用程序的网页，使得受害者在搜索引擎搜索指定的知名品牌应用软件包括Adobe 、AnyDesk 、Brave Browser、Chase Bank 等等关键字时，显示攻击者投送的恶意广告，引诱毫无戒心的搜索引擎用户下载恶意软件。IcedID能够加载Cobalt Strike等其他恶意软件，实现如数据盗窃和破坏性勒索等恶意操作。

https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html?&web_view=true

---

3 APT组织SideCopy针对印度政府官员进行网络攻击

SideCopy 是一个据信来自巴基斯坦的黑客团队，至少从 2019 年开始活跃，据说与另一个名为Transparent Tribe（又名 APT36 或 Mythic Leopard）的演员有联系。一项新的有针对性的网络钓鱼活动已将注意力集中在印度政府官员使用的名为Kavach的双因素身份验证上。研究人员将此次活动命名为STEPPY#KAVACH，根据与先前攻击的战术重叠，将其归因于名为 SideCopy 的威胁行为者。

https://www.securonix.com/blog/new-steppykavach-attack-campaign/

---

4 LastPass遭网络攻击后客户密码库被非法访问

本周四知名密码管理器平台LastPass宣布再次遭遇网络攻击，攻击者已经访问并复制了一份数据备份，包括加密格式的客户密码。该公司表示，使用LastPass 服务且常用密码复杂性较弱的人，或者在其他网络平台使用存储在LastPass中的电子邮件地址或电话号码注册的账户，可能需要考虑他们的所有密码都已经被泄露，目前需要立即更改。LastPass首席执行官Karim Toubba解释说，如果您经常重复使用您的主密码并且该密码曾经被泄露，攻击者可能会使用互联网上利用已经公开可用的泄露凭据来尝试访问您的帐户，他描述了所谓的凭据填充攻击。目前可能泄露的数据是LastPass 保留的客户未加密帐户信息的备份，包括公司名称、最终用户名、账单地址、电子邮件地址、电话号码和客户访问 LastPass服务时的IP地址。

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

---

5 黑客利用泄露的Conti源代码制造多个勒索软件新变种

研究人员发现了多个基于其他勒索软件系列来源创建的勒索软件变种。近日，CRIL观察到新的勒索软件家族，如Putin Team、ScareCrow、BlueSky Meow等，都是从Conti勒索软件泄露的源代码中创建出来的。ScareCrow 是一种基于 Conti 勒索软件的新型勒索软件。执行后，它会加密文件并附加 .CROW 作为扩展名。BlueSky 勒索软件于 2022 年下半年被披露。该勒索软件与 Conti 和 Babuk 勒索软件有一些重叠。 Meow 勒索软件。该勒索软件同样基于 Conti 勒索软件。它加密受害者的文件并附加 .MEOW 作为扩展名。Putin Team 的新勒索软件可能修改了泄露的 Conti 勒索软件源代码以生成勒索软件二进制文件。

https://blog.cyble.com/2022/12/22/new-ransomware-strains-emerging-from-leaked-contis-source-code/

---

6 黑客组织Vice Society使用新的定制化勒索软件

Vice Society组织是一个资源丰富、能力较强的勒索软件组织，其于2021年6月首次被发现，热衷于入侵各种类型行业的实体组织，通过纯粹的机会主义目标来最大化经济收益。SentinelLabs研究人员发现其在最近的入侵中采用了一种新的名为PolyVice的定制化勒索软件，该软件可能处于开发的早期阶段，使用的NTRUEncrypt和ChaCha20-Poly1305算法为勒索攻击实施了一个强大的加密方案，其中NTRUEncrypt算法属于开源实现，具有抗量子性。研究人员评估，该勒索软件背后的研发人员可能也在向其他的勒索攻击组织出售类似的工具。

https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-threat-of-outsourced-development/?&web_view=true