每日安全简讯(20230405)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Capita公司遭到网络攻击导致服务中断

Capita公司是英国政府最大的供应商之一，与国防部签订了多项合同。在4月3日该公司宣布它经历了一次网络事件，主要影响对内部Microsoft Office 365应用程序的访问。 这次攻击中断了向个人客户提供的一些服务，但该公司指出，其大部分客户服务并未受到影响。有迹象表明该公司是勒索软件攻击的受害者。目前，该公司已恢复对Microsoft Office 365的访问，并且正在努力从网络事件中完全恢复。

https://securityaffairs.com/144398/hacking/capita-suffered-cyber-incident.html

---

2 安全人员发现分发Opcjacker恶意软件的攻击活动

趋势科技网络安全研究人员发现了一项针对伊朗用户并分发Opcjacker恶意软件的攻击活动。在新分析的样本中，恶意广告隐藏在一个真正的VPN应用程序中。恶意软件通过在已安装的程序中修补合法的DLL库来自动加载，该库最终运行包含另一个恶意应用程序的加载程序和运行程序的shellcode，由存储在WAV、CHM和其他格式文件中的数据块组装而成的。

https://www.hackread.com/vpn-malvertising-opcjacker-crypto-stealer/

---

3 攻击者向WinRAR SFX自解压工具添加恶意功能

攻击者正在向包含无害诱饵文件的WinRAR自解压存档添加恶意功能，从而允许他们在不触发受害者系统上的安全软件的情况下植入后门。研究人员声称恶意SFX文件不太可能被传统AV解决方案捕获。

https://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/

---

4 黑客组织Arid Viper升级恶意软件

自2022 年 9 月以来，名为Arid Viper（又称APT-C-23 和沙漠猎鹰）的威胁行为体，在针对巴勒斯坦实体的攻击中使用其恶意软件工具包的更新变种。该组织自制了一系列恶意软件工具，例如ViperRat、FrozenCell和Micropsia，以在 Windows、Android 和 iOS 平台上执行和隐藏其活动。赛门铁克详述了最新攻击需要使用自制Micropsia和Arid Gopher植入程序的更新版本来破坏目标，进行凭据盗窃和数据的泄露。

https://thehackernews.com/2023/04/arid-viper-hacking-group-using-upgraded.html

---

5 Moobot等利用Cacti和Realtek漏洞进行传播

FortiGuard Labs研究人员观察到针对Cacti ( CVE-2022-46169 ) 和Realtek ( CVE-2021-35394 ) 漏洞的持续黑客活动，威胁行为体利用的服务器上存在的漏洞传播ShellBot和Moobot恶意软件。在收到来自C2服务器的命令后，受感染的设备将被控制并用作DDoS机器人。上述漏洞具有严重的安全影响，可能导致远程代码执行，建议尽快应用补丁和更新。

https://securityaffairs.com/144368/malware/moobot-botnet-cacti-realtek-bugs.html

---

6 研究人员发现报税软件eFile.com存在恶意软件

eFile.com是IRS授权的电子文件软件服务提供商，许多人使用它提交纳税申报单。安全研究人员表示，该恶意JavaScript软件已在eFile.com网站上存在数周之久，至少在 4 月 1 日之前，eFile.com上几乎每个页面都在加载恶意JavaScript文件“popper.js”。但此次攻击是否成功感染了eFile.com 访问者和客户，仍有待研究。

https://www.bleepingcomputer.com/news/security/irs-authorized-efilecom-tax-return-software-caught-serving-js-malware/

---