每日安全简讯(20230506)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Kimsuky黑客组织使用新的侦察工具搜索安全漏洞

据观察，朝鲜Kimsuky黑客组织在全球范围的网络间谍活动中使用了新版本的侦察恶意软件，研究人员将其称为“ReconShark”。Sentinel Labs报告称，威胁行为者扩大了目标范围，现在瞄准美国、欧洲和亚洲的政府组织、研究中心、大学和智库。2023年3月，韩国和德国当局警告 说，Kimsuky（也称为Thallium和Velvet Chollima）开始传播针对Gmail帐户的恶意Chrome扩展程序和充当远程访问木马的Android间谍软件。此前，在2022年8月，卡巴斯基披露了另一项针对韩国政治家、外交官、大学教授和记者的Kimsuky活动，该活动使用多阶段目标验证方案 ，确保只有有效目标才会感染恶意载荷。

https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-recon-tool-to-find-security-gaps/

---

2 Facebook发现一种名为“NodeStealer”的新型信息窃取恶意软件

Facebook在Meta上发现了一种名为“NodeStealer”的新型信息窃取恶意软件，它允许威胁行为者窃取浏览器cookie以劫持平台上的账户，以及Gmail和Outlook账户。捕获包含有效用户会话令牌的cookie是一种在网络犯罪分子中越来越流行的策略，因为它允许他们劫持帐户而无需窃取凭据或与目标交互，同时还可以绕过双因素身份验证保护。正如Facebook的安全团队在一篇新的博客文章中所解释的那样，它在其分发活动的早期发现了NodeStealer。Facebook的工程师于2023年1月下旬首次发现了NodeStealer恶意软件，并将这些攻击归咎于越南威胁行为者。该恶意软件称为NodeStealer，因为它是用JavaScript编写并通过Node.js执行的。

https://www.bleepingcomputer.com/news/security/facebook-disrupts-new-nodestealer-information-stealing-malware/

---

3 研究人员在Google Play上发现名为“Fleckpe”的新型Android恶意软件

研究人员在官方Android应用程序商店Google Play上发现了一种名为“Fleckpe”的新型Android订阅恶意软件，它伪装成合法应用程序，下载次数超过620000次。卡巴斯基透露，Fleckpe是恶意软件领域的最新成员，它通过为用户订阅高级服务而产生未经授权的费用。威胁行为者通过收取通过高级服务产生的每月或一次性订阅费用的份额，从未经授权的订阅中获利。当威胁行为者运营服务时，他们会保留全部收入。卡巴斯基的数据表明，该木马自去年以来一直处于活跃状态，但直到最近才被发现并记录在案。

https://securelist.com/fleckpe-a-new-family-of-trojan-subscribers-on-google-play/109643/

---

4 Avos勒索软件团伙劫持布卢菲尔德学院紧急广播系统

Avos勒索软件团伙劫持了布卢菲尔德学院的紧急广播系统“RamAlert”，向学生和教职员工发送短信和电子邮件警报，告知他们的数据已被盗，并将很快被释放。布卢菲尔德学院是弗吉尼亚州布卢菲尔德的一所小型私立学院，大约有900名学生。4月30日，该学院向学生和教职工透露，他们遭受了影响IT系统的网络攻击，导致所有考试被推迟。当时，学院声称其调查没有发现任何与此事件有关的金融欺诈或身份盗用案件的证据。然而，事件在2023年5月1日发生了严重的转折，Avos（又名 AvosLocker）威胁行为者仍然可以访问学院的RamAlert系统，这是一个紧急警报系统，用于通过电子邮件和校园紧急情况或文本警告学生和教职员工威胁。

https://www.bleepingcomputer.com/news/security/ransomware-gang-hijacks-university-alert-system-to-issue-threats/

---

5 思科披露了一个易受RCE攻击的Cisco电话适配器漏洞

思科披露了Cisco电话适配器基于Web的管理界面中的一个漏洞，允许未经身份验证的远程攻击者在设备上执行任意代码。该漏洞编号为CVE-2023-20126，CVSS评分为9.8，是由于固件升级功能中缺少身份验证过程造成的。这些电话适配器是业界流行的选择，无需升级即可将模拟电话集成到VoIP网络中。虽然这些适配器可能在许多组织中使用，但它们可能不会暴露在Internet上，这使得漏洞大多可以从本地网络中利用。然而，获得对这些设备的访问权限可能有助于威胁行为者在不被发现的情况下在网络上横向传播，因为安全软件通常不会监控这些类型的设备。

https://www.bleepingcomputer.com/news/security/cisco-phone-adapters-vulnerable-to-rce-attacks-no-fix-available/

---

6 FBI查封了9家给勒索软件团伙提供洗钱服务的加密货币交易所

美国联邦调查局和乌克兰警方查封了9个加密货币交易网站，这些网站为包括勒索软件参与者在内的诈骗者和网络犯罪分子洗钱提供了便利。查获的网站允许用户匿名将加密货币转换为更难追踪的硬币，以掩盖资金追踪，并帮助网络犯罪分子在不被执法部门追踪的情况下洗钱。这些平台中的大多数为用户提供俄语和英语的实时支持和说明，涵盖广泛的网络犯罪社区。通过提供这些服务，虚拟货币交易所故意支持其客户的犯罪活动，并成为犯罪计划的同谋。该网站的服务器位于美国、乌克兰和欧洲多个国家，在执法行动中也被查获。

https://www.bleepingcomputer.com/news/security/fbi-seizes-9-crypto-exchanges-used-to-launder-ransomware-payments/

---