每日安全简讯(20230518)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 CopperStealer恶意软件开始使用新的Rootkit和网络钓鱼工具包模块

CopperStealer恶意软件背后的威胁行为者在2023年3月和2023年4月发起了两次新的活动，旨在提供两种名为CopperStealth和CopperPhish的新型有效载荷。趋势科技正在追踪名为Water Orthrus的具有经济动机的团体。该对手还被评估为另一个名为Scranos的活动的幕后黑手，Bitdefender在2019年详细介绍了该活动。Water Orthrus至少从2021年开始活跃，它有利用按安装付费(PPI)网络重定向登陆破解软件下载站点的受害者以投放代号为CopperStealer的信息窃取程序的记录。2022年8月发现的另一项活动涉及使用CopperStealer分发基于Chromium的Web浏览器扩展，这些扩展能够执行未经授权的交易并将加密货币从受害者的钱包转移到攻击者控制的钱包。

https://thehackernews.com/2023/05/water-orthrus-copperstealer-malware.html

---

2 黑客使用Azure串行控制台秘密访问虚拟机

一个被Mandiant追踪为“UNC3944”的出于经济动机的网络团伙正在使用网络钓鱼和SIM交换攻击来劫持Microsoft Azure管理员帐户并获得对虚拟机的访问权限。攻击者利用Azure串行控制台安装远程管理软件以实现持久性，并利用Azure扩展进行秘密监视。Mandiant报告称，UNC3944至少从2022年5月开始就一直活跃，他们的活动旨在从使用微软云计算服务的受害组织中窃取数据。威胁行为者利用被盗的Microsoft硬件开发者帐户来签署他们的内核驱动程序。

https://www.bleepingcomputer.com/news/security/hackers-use-azure-serial-console-for-stealthy-access-to-vms/

---

3 研究人员发现下载量达到500万次的家长控制应用程序存在多个漏洞

适用于Android的Kiddowares“家长控制 - Kids Place”应用程序受到多个漏洞的影响，这些漏洞可能使攻击者能够在受保护的设备上上传任意文件、窃取用户凭据，并允许孩子在父母不注意的情况下绕过限制。Kids Place应用程序是一款家长控制套件，在Google Play上有500万次下载，提供监控和地理定位功能、互联网访问和购买限制、屏幕时间管理、有害内容阻止、远程设备访问等。SEC Consult的研究人员发现，Kids Place应用程序版本3.8.49及更早版本容易受到五个漏洞的影响，这些漏洞可能会影响其用户的安全和隐私。

https://www.bleepingcomputer.com/news/security/parental-control-app-with-5-million-downloads-vulnerable-to-attacks/

---

4 美国悬赏1000万美元抓捕俄罗斯勒索软件运营商

美国司法部(DoJ)指控和起诉一名俄罗斯国民，称他对该国和世界各地的“数千名受害者”发动勒索软件攻击。Mikhail Pavlovich Matveev（又名Wazawaka、m1x、Boriselcin和Uhodiransomwar），这名30岁的嫌疑人，据称是LockBit、Babuk和Hive勒索软件变种的开发和部署的“核心人物”。LockBit、Babuk 和Hive的运作方式相似，利用非法获得的访问权限来窃取有价值的数据并在受感染的网络上部署勒索软件。威胁行为者还威胁要在数据泄露站点上公布被盗信息，以试图与受害者协商赎金数额。据称，这三个全球勒索软件活动的成员向受害者提出的赎金要求总额高达4亿美元，而受害者支付的赎金总额高达2亿美元。

https://thehackernews.com/2023/05/us-offers-10-million-bounty-for-capture.html

---

5 大学录取平台Leverage EDU暴露了学生的敏感数据和个人身份信息

热门大学录取平台Leverage EDU泄露了近240000个敏感文件，包括学生的护照、财务文件、证书和考试成绩。Cybernews研究团队发现，由于系统配置错误，Leverage EDU 泄露了极其敏感的数据。由于不需要身份验证，任何人都可以访问申请大学所需的所有学生个人信息。Leverage EDU作为寻求出国留学的学生的一站式录取平台，它声称在去年拥有一个由全球650多家教育机构和8000万用户组成的网络。

https://securityaffairs.com/146329/data-breach/university-admission-platform-leverage-edu-exposed-student-passports.html

---

6 研究人员警告新的ZIP域名可能会被用于网络攻击

网络安全研究人员和IT管理员对谷歌新的ZIP和MOV互联网域提出了担忧，警告称威胁行为者可能会利用它们进行网络钓鱼攻击和恶意软件传播。本月早些时候，谷歌推出了 八个新的顶级域(TLD)，可以购买这些域来托管网站或电子邮件地址。虽然ZIP和MOV和TLD自2014年以来一直可用，但直到本月它们才普遍可用，允许任何人为网站购买域，如bleepingcomputer.zip。但是，这些域可能被认为具有风险，因为TLD也是论坛帖子、消息和在线讨论中通常共享的文件的扩展名，现在某些在线平台或应用程序会自动将其转换为URL。

https://www.bleepingcomputer.com/news/security/new-zip-domains-spark-debate-among-cybersecurity-experts/

---