每日安全简讯(20230522)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 微软表示FIN7黑客组织在受害者系统上部署Clop勒索软件

上个月，一个名为FIN7的出于经济动机的网络犯罪集团重新浮出水面，微软威胁分析师将其与最终目标是在受害者网络上部署Clop勒索软件有效载荷的攻击联系起来。据观察，该组织在2023年4月的机会主义攻击中部署了Clop勒索软件，这是自2021年底以来的首次勒索软件活动。在最近的这些攻击中，FIN7攻击者利用基于PowerShell的POWERTRASH内存中恶意软件植入程序在受感染的设备上部署Lizar后期开发工具。这使得威胁行为者能够在目标网络中站稳脚跟，并横向移动以使用OpenSSH和Impacket部署Clop勒索软件。这个合法的Python工具包也可用于远程服务执行和中继攻击。

https://www.bleepingcomputer.com/news/security/microsoft-notorious-fin7-hackers-return-in-clop-ransomware-attacks/

---

2 攻击者通过伪造的CapCut网站推送信息窃取恶意软件

一场新的恶意软件分发活动正在进行中，伪造CapCut视频编辑工具将各种恶意软件传播给毫无戒心的受害者。CapCut 是一个视频剪辑制作软件，支持混音、滤色、动画、慢动作、画中画、防抖等功能。它仅在Google Play上的下载量就超过5亿次，其网站每月的点击量超过3000万次。威胁行为者通过创建网站来分发伪装成CapCut安装程序的恶意软件。Cyble的分析师发现的第一个活动使用伪造的CapCut网站，这些网站具有一个下载按钮，可以在用户的计算机上提供Offx Stealer的副本。

https://blog.cyble.com/2023/05/19/capcut-users-under-fire/

---

3 研究人员发现了多个伪装成npm包的TurkoRAT信息窃取程序

研究人员发现了多个以NodeJS库命名的npm包，这些包甚至打包了一个类似于NodeJS的Windows可执行文件，但却投放了一个险恶的木马。这些软件包具有隐蔽性和极低的检测率，在被研究人员检测到之前已经在npm上存在了两个多月。“两个多月前首次发布，nodejs-encrypt-agent乍一看似乎是一个合法的软件包，”ReversingLabs研究人员在他们的报告中说。“然而，有一个很小但非常重要的区别：nodejs-encrypt-agent软件包包含一个可移植的可执行 (PE) 文件，当ReversingLabs分析时发现该文件是恶意的，”研究人员写道。

https://www.bleepingcomputer.com/news/security/npm-packages-caught-serving-turkorat-binaries-that-mimic-nodejs/

---

4 Dish Network可能在最近的勒索软件攻击后支付了赎金

根据发送给受影响员工的数据泄露通知信中使用的措辞，美国电视提供商Dish Network在2月遭受勒索软件攻击后很可能支付了赎金。虽然它没有直接确认它已付款，但Dish 暗示它“收到提取数据已被删除的确认”。勒索软件团伙只会在支付赎金后删除数据或提供解密密钥，这意味着Dish极不可能在不支付赎金的情况下收到被盗数据已被删除的确认信息。即使执法部门能够拦截托管数据的服务器，如果不支付赎金，也无法知道威胁行为者是否也将数据副本存储在其他地方。遗憾的是，支付赎金并不能保证完全删除被盗数据。过去的事件表明，支付赎金的受害者随后在数周后遭到进一步勒索，他们的数据被出售给其他威胁行为者，或者在数据泄露网站上泄露。

https://www.bleepingcomputer.com/news/security/dish-network-likely-paid-ransom-after-recent-ransomware-attack/

---

5 CISA警告三星存在可用于绕过ASLR保护的安全漏洞。

CISA今天警告称，三星设备存在一个安全漏洞，可用于绕过Android地址空间布局随机化(ASLR)保护的攻击。ASLR是一项Android安全功能，可将关键应用程序和操作系统组件加载到设备内存中的内存地址随机化。这使得攻击者更难利用与内存相关的漏洞并成功发起缓冲区溢出、面向返回编程或其他基于内存的攻击等攻击。该漏洞(CVE-2023-21492)影响运行Android 11、12和13的三星移动设备，是由于将敏感信息插入到日志文件中所致。具有高权限的本地攻击者可以使用暴露的信息来执行ASLR绕过，从而可以利用内存管理问题。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-samsung-aslr-bypass-flaw-exploited-in-attacks/

---

6 攻击者于黑客论坛泄露7000万Luxottica客户的个人信息

Luxottica已确认其合作伙伴之一在2021年遭遇数据泄露，该数据库本月在黑客论坛上免费发布后暴露了7000万客户的个人信息。Luxottica是世界上最大的眼镜公司、眼镜和处方镜框制造商，拥有雷朋、奥克利、香奈儿、普拉达、范思哲、杜嘉班纳、巴宝莉、乔治阿玛尼、迈克尔科尔斯等众多知名品牌。该公司还在美国经营一家视力保险公司 Eyemed。2022年11月，现已解散的“Breached”黑客论坛的一名成员试图出售他声称是2021年的数据库，其中包含与美国和加拿大的Luxottica客户相关的3亿条个人信息记录。据卖家称，该数据库包含客户的个人信息，例如电子邮件地址、名字和姓氏、地址和出生日期。

https://www.bleepingcomputer.com/news/security/luxottica-confirms-2021-data-breach-after-info-of-70m-leaks-online/

---