每日安全简讯(20230517)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 名为Lancefly的新APT组织使用定制的“Merdoor”后门攻击南亚和东南亚国家

一个名为Lancefly的新APT黑客组织使用定制的“Merdoor”后门恶意软件来攻击南亚和东南亚的政府、航空和电信组织。赛门铁克威胁实验室今天透露，自2018年以来，Lancefly一直在高度针对性的攻击中部署隐蔽的Merdoor后门，以在企业网络上建立持久性、执行命令和执行键盘记录。“Lancefly的自定义恶意软件，我们称之为Merdoor，是一个功能性较强的后门，似乎自2018年以来就存在了，”赛门铁克的新报告显示。Lancefly被认为专注于网络间谍活动，旨在在很长一段时间内从受害者的网络中收集情报。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lancefly-merdoor-zxshell-custom-backdoor

---

2 新的RA Group勒索软件针对美国公司进行双重勒索攻击

一个名为“RA Group”的新勒索软件组织针对美国和韩国的制药、保险、财富管理和制造公司。新的勒索软件行动始于2023年4月，当时他们在暗网上启动了一个数据泄露站点，以发布受害者的详细信息和被盗数据，采用了大多数勒索软件团伙使用的典型“双重勒索”策略。虽然勒索门户网站于2023年4月22日启动，但第一批受害组织于4月27日发布，包括样本文件、被盗内容类型的描述以及被盗数据的链接。在Cisco Talos的一份新报告中 ，研究人员解释说，RA Group使用基于Babuk勒索软件泄露源代码的加密器。RA Group的一个显着特征是每次攻击都有专门为目标组织编写的自定义赎金票据，而可执行文件也以受害者的名字命名。

https://blog.talosintelligence.com/ra-group-ransomware/

---

3 费城问询报受到网络攻击的影响导致运营中断

费城问询者日报正在努力恢复受到所谓的网络攻击影响的系统，该攻击在周末袭击了其网络。这次攻击还中断了运营，报纸发行停止，而Inquirer.com仅受到轻微影响，发布和更新故事受到间歇性延迟的影响。“这起事件是自1996年1月7日至8日暴风雪以来宾夕法尼亚州最大的新闻机构遭受的最严重的出版中断，而且它发生在周二市长初选前几天，”问询者日报的Jonathan Lai说。袭击发生后，常规的周日版无法印刷，只能以电子版的形式在线发布。虽然周一的版本预计会印刷并分发给订阅者，但一些分类广告将“出于谨慎考虑”而推迟发布。

https://www.bleepingcomputer.com/news/security/philadelphia-inquirer-operations-disrupted-after-cyberattack/

---

4 勒索软件团伙窃取了580万PharMerica患者的数据

药房服务提供商PharMerica披露了影响超过580万患者的大规模数据泄露事件，将他们的医疗数据暴露给黑客。PharMerica是美国50个州的药房服务提供商，经营着180家本地药房和70000家备用药房，并为全国3100家医疗机构提供服务。根据提交给缅因州总检察长办公室的数据泄露通知，黑客于2023年3月12日入侵了PharMerica的系统，窃取了全名、地址、出生日期、社会安全号码 (SSN)、药物和健康保险信息5815591人。该公司于2023年3月14日发现了入侵，并于3月21日进行调查，确定客户数据已被盗。但是，数据泄露通知仅在2023年5月12日才发送给受影响的个人。

https://www.bleepingcomputer.com/news/security/ransomware-gang-steals-data-of-58-million-pharmerica-patients/

---

5 研究人员发布关于2023年新兴信息窃取恶意软件的报告

信息窃取恶意软件市场在不断发展，多种恶意软件操作通过促进更好的规避和增强从受害者那里窃取数据的能力来争夺网络犯罪客户。信息窃取程序是专门的恶意软件，用于从受感染的系统中窃取帐户密码、cookie、信用卡详细信息和加密钱包数据，然后将这些数据收集到称为“日志”的档案中，并上传回威胁参与者。这些被盗数据的日志被用来进行进一步的攻击或在市场上以1到150美元不等的价格出售，具体取决于受害者。网络安全情报公司KELA编制了一份报告， 介绍了变种和恶意软件即服务(MaaS)操作的兴起，这些操作在2023年第一季度大幅增长，增加了组织和个人的相关风险。

https://www.bleepingcomputer.com/news/security/the-new-info-stealing-malware-operations-to-watch-out-for/

---

6 由于“技术错误”，航空公司将乘客信息暴露给其他人

拉脱维亚的旗舰航空公司airBaltic承认，“技术错误”将部分乘客的预订详细信息暴露给了其他airBaltic乘客。乘客还报告说收到了意想不到的电子邮件，这些电子邮件以另一位客户的名字发给他们。这家总部位于里加的航空公司注册成立为AS Air Baltic Corporation，运营飞往80个目的地的航班，97%的股份为政府所有。尽管该航空公司表示，泄漏影响了一小部分客户，并且没有泄露财务或支付数据，但该航空公司尚未披露受影响乘客的总数。该航空公司还开始向客户发送电子邮件，告知他们数据泄露，导致他们的预订信息暴露给其他乘客。

https://www.bleepingcomputer.com/news/security/airline-exposes-passenger-info-to-others-due-to-a-technical-error/

---