每日安全简讯(20230524)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 白象组织使用BADNEWS和Remcos商业木马的最新攻击活动

安天CERT捕获到一起白象组织针对我国相关单位的攻击活动。在本次攻击活动中，攻击者向目标投递钓鱼邮件，邮件附件为一个包含恶意LNK文件的压缩包，LNK文件用于下载BADNEWS远控木马，最终实现对目标的信息窃取、远程控制等功能。进一步关联分析发现，LNK系列攻击与近期针对南亚地区的军事政治等目标的网络攻击相关，关联到的攻击使用技术成熟的商业远控工具如Remcos，也是通过LNK类型诱饵，或文件名以军政题材命名的EXE程序、钓鱼网站等作为攻击前导，为此攻陷、注册了相当数量的网络基础设施来支撑载荷分发和控制通联。分析研判后发现关联到的攻击具有明显的印度方向背景，攻击目标暂不涉及我国，目前仅发现与白象组织存在数字证书上的关联重叠。

https://mp.weixin.qq.com/s/g8oSytVgRSV2773kwZYUHA

---

2 数千名受害者遭到加密网络钓鱼服务Inferno Drainer诈骗

Inferno Drainer是一个加密货币钓鱼和诈骗服务，据安全公司的报告，该服务自2023年3月27日以来创建了至少689个假冒网站，从4888名受害者手中窃取了价值590万美元的加密货币。该服务针对229个流行的品牌，包括Pepe、Bob、MetaMask、OpenSea、Collab.Land、LayerZero等。研究人员观察到一个Inferno Drainer的成员在Telegram上通过发布一张显示他们窃取了10.3万美元的截图来推广这个服务。研究人员通过查询截图中模糊的交易哈希，找到了这笔交易，并将其与他们的恶意地址数据库中的一些已知恶意地址关联起来。Inferno Drainer宣传多链欺诈、Aave代币和Art Blocks抽水、MetaMask代币授权漏洞利用等功能。该服务的作者提供了一个现代化的管理面板，有定制选项，甚至为有兴趣的买家提供试用。操作者需要向Inferno Drainer支付他们收入的20%，如果包括创建钓鱼网站的服务，那么分成就提高到30%。不过，由于需求量大，该服务只会为“优质客户”或者已经证明有赚钱潜力的客户提供钓鱼网站。

https://www.bleepingcomputer.com/news/security/crypto-phishing-service-inferno-drainer-defrauds-thousands-of-victims/

---

3 Microsoft 365再次遭遇故障导致连接中断

微软正在调查一起影响用户访问和使用Microsoft 365账户和安装的应用程序的服务故障。受影响的服务包括Microsoft 365套件、Exchange Online、SharePoint Online、Yammer Enterprise、Planner、Microsoft Teams、Microsoft 365 for the web和Project for the web。根据用户的报告，他们在尝试登录他们的账户时遇到问题，而且一旦登录，他们将看不到任何可用的网络应用。微软在推特上确认了这个问题，并指示管理员查看Microsoft 365管理中心以获取更多细节。微软尚未分享哪些地区受到这些持续的连接问题的影响，或者故障的根本原因。上个月，另一次Microsoft 365故障导致北美地区的Exchange Online用户出现连接问题。今年3月，还有一次服务故障阻止了全球范围内的Exchange Online客户发送和接收电子邮件或访问他们的邮箱。今年1月，一次大规模的故障也影响了多个Microsoft 365服务，这次事件是由于路由器IP地址更新导致的路由器之间的数据包转发问题引起的。

https://www.bleepingcomputer.com/news/microsoft/microsoft-365-hit-by-new-outage-causing-connectivity-issues/

---

4 印尼网络犯罪分子利用AWS进行盈利性的加密挖矿

一名来自印尼的以金钱为动机的威胁行为者被发现利用亚马逊网络服务(AWS)弹性计算云(EC2)实例进行非法的加密挖矿活动。云安全公司首次于2021年11月发现了这个组织，并给它起了一个绰号GUI-vil。该公司在一份报告中说：“该组织显示出对图形用户界面(GUI)工具的偏好，特别是S3浏览器(版本9.5.5)用于他们的初始操作。一旦获得AWS控制台访问权限，他们就通过网络浏览器直接进行他们的操作。GUI-vil的攻击链包括通过在GitHub上公开暴露的源代码库中武器化AWS密钥或扫描存在远程代码执行漏洞(例如CVE-2021-22205)的GitLab实例来获得初始访问权限。成功入侵后，进行权限提升和内部侦察，查看所有可用的S3存储桶，并确定通过AWS网络控制台可以访问的服务。该组织的一个显著特点是它试图通过创建符合相同命名规则的新用户来混入和持久化于受害者环境中，并最终实现其目标。GUI-vil还会为他们创建的新身份创建访问密钥，以便他们可以继续使用S3浏览器与这些新用户交互。另外，该组织也被发现为没有登录配置文件的现有用户创建登录配置文件，以便在不引起警报的情况下启用对AWS控制台的访问。

https://thehackernews.com/2023/05/indonesian-cybercriminals-exploit-aws.html

---

5 三星修补了绕过内存地址随机化的漏洞

三星是安卓智能手机的制造商，目前发布了一个补丁用于修复一种被商业监控黑客用于在阿联酋植入恶意软件的漏洞。这个漏洞影响了三星的Exynos处理器，这是一种基于ARM架构的芯片，用于三星的Galaxy S7、S8和S9系列手机。这个漏洞允许攻击者绕过内存地址随机化(ASLR)，这是一种保护内存中的数据不被恶意软件利用的技术。通过绕过ASLR，攻击者可以更容易地执行任意代码，从而控制设备。研究人员发现，这个漏洞被一家名为Candiru的以色列网络武器供应商利用，该公司向政府客户出售恶意软件，用于监视活动人士、记者和异议人士。Candiru使用这个漏洞作为其恶意软件感染链的一部分，该感染链还包括一个Chrome浏览器零日漏洞(CVE-2021-21166)，该漏洞已于2021年3月被谷歌修复。三星在其2021年8月安全更新公告中确认了这个漏洞，并将其编号为SVE-2020-18625。该公司表示，它已经向受影响的设备推送了一个补丁，并建议用户尽快更新他们的设备。

https://www.govinfosecurity.com/samsung-patches-memory-address-randomization-bypass-flaw-a-22139

---

6 Dish称勒索软件团伙窃取了近30万名员工的记录

Dish是美国的一家卫星电视巨头，它在一份公开文件中承认，由于一起勒索软件攻击，导致其系统中的数据被黑客窃取，这些数据“可能”包括客户的个人信息。Dish自从2月28日发布这份文件后就没有提供实质性的更新，尽管客户仍然遇到问题——或者不知道他们的个人数据是否面临风险。一位前Dish零售商人员透露，Dish在其服务器上保留了大量的客户信息，包括客户姓名、出生日期、电子邮件地址、电话号码、社会安全号码和信用卡信息。这些信息是永久保留的，即使是没有通过Dish最初信用检查的潜在客户也是如此。Dish拒绝置评，但也没有否认这些说法。Dish也不愿说该公司是否有技术能力检测哪些内部和客户数据被渗透。该公司也拒绝说该公司是否收到或知道了勒索要求。

https://techcrunch.com/2023/05/22/dish-says-ransomware-gang-stole-almost-300000-employee-records/

---