每日安全简讯(20230502)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT28利用伪造的Windows更新指南攻击乌克兰政府

乌克兰CERT称APT28利用伪造的Windows更新指南针对乌克兰政府机构和军事组织发起钓鱼邮件攻击。攻击者为了伪装成目标政府的系统管理员，使用在攻击准备阶段通过未知方式获得的真实员工姓名创建了@outlook.com电子邮件地址。恶意电子邮件不是关于升级Windows系统的合法说明，而是建议收件人运行PowerShell命令。此命令在计算机上下载PowerShell脚本，模拟Windows更新过程，同时在后台下载第二个PowerShell有效负载。第二阶段有效负载是一个基本的信息收集工具，它利用“tasklist”和“systeminfo”命令来收集数据并通过HTTP请求回传。

https://www.bleepingcomputer.com/news/security/hackers-use-fake-windows-update-guides-to-target-ukrainian-govt/

---

2 LockBit和Cl0p勒索软件团伙利用PaperCut漏洞进行攻击

研究人员发现LockBit和Cl0p勒索软件团伙正在利用PaperCut漏洞进行攻击。这些漏洞能够攻击PaperCut服务器并干扰其正常工作，制造混乱。安全专家提醒用户及时更新PaperCut软件以获得相关补丁，以免受到攻击。LockBit和Cl0p是目前勒索软件领域中比较活跃的黑客团伙，经常利用漏洞入侵受害者系统部署勒索软件。

https://www.malwarebytes.com/blog/news/2023/04/lockbit-and-cl0p-are-actively-exploiting-papercut-vulnerabilities

---

3 研究人员发现AresLoader正在通过伪装的GitLab存储库传播

近期，Cyble研究和情报实验室（CRIL）观察到一个名为AresLoader的新加载程序，该加载程序已用于传播多种类型的恶意软件家族。AresLoader是一种用C语言编写的加载程序恶意软件，于2022年首次出现在网络犯罪论坛和电报频道中。此加载程序在恶意软件即服务（MaaS）模型上可用，由负责 AiD Locker勒索软件的同一威胁参与者（TA）开发。该组织的成员还被怀疑与俄罗斯黑客组织有联系。

https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/

---

4 研究人员发现部署Pupy远控木马的Decoy Dog工具包

Infoblox的研究人员发现了一种在野外使用的新工具包，称为Decoy Dog。它通常针对企业发起攻击，并且会部署名为Pupy RAT的远控木马。研究表明，它至少从去年2月开始运营。最初的两个域被用作指挥与控制中心（C2）。Pupy RAT非常擅长长时间隐藏在网络中，可以感染多个平台，包括Windows，Linux和移动设备。它通过DNS与其C2通信，它的开源性质意味着可以进行各种更改（例如检测沙箱、安装键盘记录器或从目标系统转储哈希）。

https://www.malwarebytes.com/blog/news/2023/04/decoy-dog-toolkit-plays-the-long-game-with-pupy-rat

---

5 攻击者利用钓鱼邮件传播GuLoader加载器

自2019年以来，GuLoader一直出现于基于电子邮件的恶意软件活动，近期再次出现在野外。GuLoader是一个具有曲折历史的下载器，其历史可以追溯到2011年左右的各种形式。两年前，它是我们最常见的恶意垃圾邮件附件之一。GuLoader通常用于加载相关活动的有效负载。它通常以ZIP文件的形式传播，一旦打开并执行其中的文件，恶意代码就会开始运行。它可能会尝试下载数据窃取程序、特洛伊木马、通用形式的恶意软件等。GuLoader还能逃避网络检测并检测沙盒技术。例如，它可能会识别出在虚拟测试机中运行并拒绝加载。

https://www.malwarebytes.com/blog/news/2023/04/guloader-returns-with-a-rotten-shipment

---

6 ALPHV勒索软件团伙再次入侵西部数据系统并泄露图像

ALPHV勒索软件团伙（又名BlackCat）发布了从西部数据窃取的内部电子邮件和视频会议的屏幕截图，表明即使该公司对违规行为做出回应，他们也可能继续访问该公司的系统。据报道，威胁行为者与TechCrunch分享了被盗数据的样本，其中包括使用西部数据被盗的代码签名密钥签名的文件，未列出的公司电话号码以及其他内部数据的屏幕截图。虽然入侵者声称与ALPHV勒索软件团伙无关，但该团伙的数据泄露网站上很快出现了一条消息，警告说，如果他们不协商赎金，西部数据的数据将被泄露。

https://www.bleepingcomputer.com/news/security/hackers-leak-images-to-taunt-western-digitals-cyberattack-response/

---