每日安全简讯(20230520)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 网络犯罪团伙在数百万Android设备预装名为“Guerilla”的恶意软件

据报道，一家被追踪为“Lemon Group”的大型网络犯罪企业在近900万部基于Android的智能手机、手表、电视和电视盒上预装了名为“Guerilla”的恶意软件。威胁行为者使用Guerilla加载额外的有效负载、从SMS拦截一次性密码、从受感染的设备设置反向代理、劫持WhatsApp会话等等。Guerrilla恶意软件的主要插件加载了专用于执行特定功能的附加插件，这些功能使Lemon Group能够建立多样化的货币化策略，包括出售受感染的帐户、劫持网络资源、提供应用程序安装服务、生成欺诈性广告印象、提供代理服务和短信电话验证帐户(PVA)服务。

https://www.bleepingcomputer.com/news/security/cybercrime-gang-pre-infects-millions-of-android-devices-with-malware/

---

2 黑客利用Wordpress Elementor插件漏洞的PoC发动大规模攻击

黑客现在正在通过大规模互联网扫描在数千个WordPress网站上积极探测Essential Addons for Elementor插件版本，试图利用本月早些时候披露的一个关键帐户密码重置漏洞。该严重漏洞被追踪为CVE-2023-32243并影响Elementor 5.4.0至5.7.1版的Essential Addons，允许未经身份验证的攻击者任意重置管理员帐户的密码并控制网站。2023年5月14日，研究人员在GitHub上发布了概念验证(PoC)漏洞，使该工具广泛可供攻击者使用。在漏洞披露后的第二天，WordFence记录了5000000次探测扫描，寻找插件的“readme.txt”文件，其中包含插件的版本信息，从而确定站点是否存在漏洞。

https://www.bleepingcomputer.com/news/security/hackers-target-vulnerable-wordpress-elementor-plugin-after-poc-released/

---

3 攻击者可利用KeePass漏洞从内存中提取主密钥

流行的KeePass密码管理器容易从应用程序的内存中提取主密码，即使数据库被锁定，攻击者也可以通过破坏设备来检索密码。密码管理器允许用户为每个在线帐户创建唯一密码，并将凭据存储在易于搜索的数据库或密码库中，因此您不必记住每个密码。但是，为了正确保护此密码库，用户必须记住用于解锁它和访问存储的凭据的主密码。这个主密码加密了KeePass密码数据库，防止它在没有先输入密码的情况下被打开或读取。但是，一旦该主密码被泄露，威胁者就可以访问存储在数据库中的所有凭据。KeePass Master Password Dumper是一种简单的概念验证工具，用于从KeePass的内存中转储主密码。除了第一个密码字符外，它大多能够以明文形式恢复密码。

https://www.bleepingcomputer.com/news/security/keepass-exploit-helps-retrieve-cleartext-master-password-fix-coming-soon/

---

4 Apple修复了三个被用于攻击iPhone、Mac和iPad的零日漏洞

Apple解决了三个新的零日漏洞，这些漏洞被用于攻击iPhone、Mac和iPad。“Apple公司知道一份报告称这个问题可能已被积极利用，”该公司在描述这些漏洞的安全公告中透露。这些安全漏洞均在多平台WebKit浏览器引擎中发现，并被跟踪为CVE-2023-32409、CVE-2023-28204和CVE-2023-32373。第一个漏洞是沙箱逃逸，它使远程攻击者能够突破Web沙箱。另外两个是可以帮助攻击者访问敏感信息的越界读取和允许在受感染设备上执行任意代码的释放后使用问题。虽然该公司表示它知道今天修补的三个零日漏洞正在被利用，但它没有分享有关这些攻击的任何信息。

https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/

---

5 LayerZero推出破纪录的1500万美元加密漏洞赏金计划

LayerZero Labs在Immunefi平台上推出了漏洞赏金计划，为关键的智能合约和区块链漏洞提供最高1500万美元的奖励，这一数字在加密领域创下了新纪录。漏洞赏金计划是由企业和软件开发人员发起的计划，旨在奖励安全研究人员识别和报告其平台中的漏洞。他们的目标是激励有道德的“白帽”黑客发现影响其产品的未知安全漏洞，以便在恶意行为者利用它们进行攻击之前修复这些漏洞。LayerZero Labs是LayerZero区块链消息传递协议的创建者，该协议可实现跨30个不同区块链的安全通信。通过推出历史上最大的漏洞赏金计划，LayerZero Labs旨在展示其对安全的承诺并激发对其通信协议的信任。

https://www.bleepingcomputer.com/news/security/layerzero-launches-record-breaking-15m-crypto-bug-bounty-program/

---

6 18岁少年被控入侵60000个DraftKings博彩账户

美国司法部今天透露，一名来自威斯康星州的18岁男子约瑟夫·加里森(Joseph Garrison)被控在2022年11月侵入DraftKings体育博彩网站的约60000名用户的账户。根据投诉，嫌疑人使用了来自其他违规行为的大量凭证来侵入帐户。然后他卖掉了被劫持的账户，买家从大约1600个被盗账户中偷走了大约600000美元。加里森和他的同谋设计了一种方法，让被盗账户的买家提取所有资金，指示他们为被黑账户添加新的支付方式，通过新添加的支付方式存入象征性的5美元，以验证其有效性，然后将受害者账户中的所有现有资金提取到攻击者控制下的单独金融账户中。

https://www.bleepingcomputer.com/news/security/18-year-old-charged-with-hacking-60-000-draftkings-betting-accounts/

---