每日安全简讯(20230512)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布yayaya Miner挖矿木马分析报告

安天CERT捕获了一批活跃的挖矿木马样本，该挖矿木马主要利用SSH弱口令暴力破解对Linux平台进行攻击。由于其初始攻击脚本中多次出现“yayaya”字符串，且在Linux内核模块中会隐藏包含该字符串的所有信息，因此安天CERT将该挖矿木马命名为“yayaya Miner”。yayaya Miner挖矿木马使用shc工具加密初始攻击脚本，利用该工具可以把Shell脚本转换成二进制可执行文件（ELF），使用RC4加密算法对其进行加密，初始攻击脚本文件会删除系统日志、创建yayaya等目录、删除特定IP的网络连接、下载门罗币挖矿程序以及使用开源工具Diamorphine进行隐藏操作等。将其挖矿进程注入内存后进行隐藏，增加反病毒软件的检测难度。安天智甲可对其实现有效查杀。

https://mp.weixin.qq.com/s/UYdze4yt2OoWoTcK0qY3Mw

---

2 RapperBot DDoS恶意软件将加密货币挖掘作为新的收入来源

RapperBot僵尸网络恶意软件的新样本添加了加密货币挖掘功能，可以在受感染的Intel x64机器上挖掘加密货币。Fortinet的FortiGuard实验室的研究人员自2022年6月以来一直在跟踪RapperBot活动，并报告说，基于Mirai的僵尸网络专注于暴力破解Linux SSH服务器， 以入侵它们来发起分布式拒绝服务(DDoS)攻击。11月，研究人员发现了RapperBot的更新版本，它使用Telnet自我传播机制并包含更适合攻击游戏服务器的DoS命令。FortiGuard Labs本周报告了RapperBot的更新变种，它在Intel x64架构上使用XMRig Monero miner。

https://www.bleepingcomputer.com/news/security/rapperbot-ddos-malware-adds-cryptojacking-as-new-revenue-stream/

---

3 新的勒索软件解密器可从部分加密的文件中恢复数据

一种新的“White Phoenix”勒索软件解密器允许受害者部分恢复使用间歇性加密的勒索软件加密的文件。间歇性加密是几个勒索软件组织采用的一种策略，它在加密和不加密数据块之间交替。这种方法允许更快地加密文件，同时仍然让受害者无法使用数据。2022年9月， Sentinel Labs报告称，间歇性加密在勒索软件领域越来越受欢迎，所有大型RaaS都至少将其作为附属公司的一种选择，而BlackCat/ALPHV的实施似乎最为复杂。然而，根据开发和发布“White Phoenix”的CyberArk的说法，这种策略给加密带来了弱点，因为保留部分原始文件未加密会产生免费数据恢复的可能性。

https://www.bleepingcomputer.com/news/security/new-ransomware-decryptor-recovers-data-from-partially-encrypted-files/

---

4 Aurora信息窃取恶意软件通过的浏览器内的Windows更新推送

最近发现的恶意广告活动通过伪造浏览器内的Windows更新来欺骗用户，以传播Aurora信息窃取恶意软件。Aurora是用Golang编写的， 已经在各种黑客论坛上出现了一年多，被宣传为具有广泛功能和低防病毒检测的信息窃取器。据Malwarebytes的研究人员称，恶意广告操作依赖于具有高流量成人内容的成人内容网站上的弹出式广告，并将潜在受害者重定向到恶意软件服务位置。威胁参与者想出了一个富有想象力的想法，即弹出窗口呈现一个模拟Windows系统更新屏幕的全屏浏览器窗口。

https://www.malwarebytes.com/blog/threat-intelligence/2023/05/fake-system-update-drops-new-highly-evasive-loader

---

5 朝鲜黑客入侵首尔国立大学医院窃取数据

韩国国家警察厅(KNPA)警告说，朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院(SNUH)的网络，以窃取敏感的医疗信息和个人详细信息。该事件发生在2021年5月至6月之间，警方在过去两年中进行了分析调查，以确定肇事者。韩国当地媒体将这次袭击与Kimsuky黑客组织联系起来，但警方的报告并未明确提及具体的威胁组织。攻击者使用韩国等国的七台服务器对医院内部网络发起攻击。警方表示，该事件导致831000人的数据泄露，其中大多数是患者。此外，受影响的人中有17000人是现任和前任医院员工。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-breached-major-hospital-in-seoul-to-steal-data/

---

6 黑客试图勒索网络安全公司Dragos但未成功

工业网络安全公司Dragos今天披露了它所称的“网络安全事件”，此前一个已知的网络犯罪团伙试图突破其防御并渗透到内部网络以加密设备。虽然Dragos表示威胁行为者没有破坏其网络或网络安全平台，但他们可以访问公司的SharePoint云服务和合同管理系统。该公司表示：“2023年5月8日，一个已知的网络犯罪集团试图对Dragos进行勒索，但没有成功。没有任何Dragos系统遭到破坏，包括与Dragos平台相关的任何内容。”犯罪集团通过在新销售员工入职日期之前泄露其个人电子邮件地址获得访问权限，随后使用他们的个人信息冒充Dragos员工并完成员工入职流程的初始步骤。

https://www.bleepingcomputer.com/news/security/cybersecurity-firm-dragos-discloses-cybersecurity-incident-extortion-attempt/

---