每日安全简讯(20230527)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客组织Lazarus攻击微软IIS服务器

与朝鲜有关联的APT(高级可持续性威胁)组织Lazarus团伙，近期针对微软IIS(互联网信息服务)的服务器发动攻击，利用一个名为NukeSped的恶意软件家族，窃取敏感数据和加密货币。该恶意软件家族包括一个后门程序和一个木马程序，可以执行远程命令、上传和下载文件、收集系统信息、截屏、记录键盘输入等恶意行为。Lazarus组织通过网络钓鱼邮件和供应链攻击等方式，将恶意软件植入目标服务器，然后利用IIS的漏洞进行横向移动，扩大影响范围。安全专家建议IIS服务器的管理员检查自己的系统是否受到影响，并及时更新补丁和防护措施。

https://securityaffairs.com/146639/hacking/lazarus-targets-microsoft-iis-servers.html

---

2 俄罗斯OT恶意软件CosmicEnergy威胁电力系统

一种新的俄罗斯操作技术(OT)恶意软件，可能会导致欧洲、中东和亚洲的电力中断。这种恶意软件被威胁情报公司称为“CosmicEnergy”，它通过与电力系统自动化设备(如远程终端单元)交互，造成破坏。研究人员发现，CosmicEnergy是在2023年1月至4月期间被部署的，目标是一些位于欧洲、中东和亚洲的电力公司。该恶意软件使用了一个名为“Win32/Industroyer”的模块，这个模块是在2016年乌克兰电力中断事件中使用过的。这些模块可以让恶意软件与电力系统的通信协议进行交互，从而控制或破坏设备。研究人员认为，CosmicEnergy背后的黑客组织是一个名为“TEMP.Veles”的俄罗斯APT团伙，该团伙与2017年乌克兰电力中断事件有关联。

https://www.govinfosecurity.com/new-russian-ot-malware-could-wreak-havoc-on-electric-systems-a-22166

---

3 新的Buhti勒索软件使用泄露的Windows和Linux加密器

一个新的勒索软件团伙名为Buhti，使用了LockBit和Babuk勒索软件家族的泄露代码，分别针对Windows和Linux系统进行攻击。Buhti的背后是一个被称为Blacktail的黑客组织，他们没有开发自己的勒索软件，而是使用了一个定制的数据窃取工具，用来对受害者进行敲诈，这种策略被称为“双重勒索”。Buhti首次出现在2023年2月，当时研究人员发现了它是一个基于Go语言的Linux目标勒索软件。Symantec的团队近期发布的一份报告显示，Buhti也针对Windows系统，使用了一个略有修改的LockBit 3.0变种，代号为“LockBit Black”。Buhti利用了PaperCut NG和MF RCE漏洞和IBM Aspera Faspex RCE漏洞，安装了多种工具来渗透网络，窃取文件，并部署恶意软件。

https://www.bleepingcomputer.com/news/security/new-buhti-ransomware-gang-uses-leaked-windows-linux-encryptors/

---

4 网络钓鱼者利用加密附件窃取Microsoft 365账户凭证

网络钓鱼者使用加密的受限权限消息(.rpmsg)作为钓鱼邮件的附件，来窃取Microsoft 365账户凭证。这些受限权限消息是一种可以对邮件内容进行加密和控制访问的格式，通常用于发送敏感信息。钓鱼者利用这种格式来诱导收件人打开附件，并输入他们的Microsoft 365账户名和密码，以查看邮件内容。这些钓鱼邮件是从被入侵的Microsoft 365账户发送的，可能是针对与发件人熟悉的收件人地址的。邮件的主题和内容通常与业务相关，例如“关于合同”的更新或“关于项目”的反馈。一旦收件人打开附件，他们就会看到一个伪造的Microsoft 365登录页面，要求他们输入他们的凭证。如果收件人输入了他们的凭证，他们就会被重定向到一个空白页面或一个无关的网站，而他们的凭证就会被钓鱼者窃取。这种攻击方式可以绕过一些安全措施，因为加密的附件不容易被扫描或分析，而且看起来比较正式和合法。

https://www.helpnetsecurity.com/2023/05/26/phishing-encrypted-emails/

---

5 网络钓鱼活动针对ChatGPT用户

一种巧妙的网络钓鱼活动试图通过冒充OpenAI公司来窃取用户的商业电子邮件账户凭证，OpenAI公司是ChatGPT聊天机器人的开发者。这种钓鱼活动的第一阶段是受害者收到一封看起来合法的电子邮件，声称是由OpenAI公司发送的。电子邮件邀请受害者参加一个名为“ChatGPT”的聊天机器人项目，声称这是一个基于人工智能的对话系统，可以与人类进行自然和有趣的对话。电子邮件还提供了一个链接，让受害者可以测试聊天机器人，并给出了一些示例对话。如果受害者点击了链接，他们就会被重定向到一个伪造的Microsoft 365登录页面，要求他们输入他们的账户名和密码。如果受害者输入了他们的凭证，他们就会被重定向到一个真正的ChatGPT网站，而他们的凭证就会被钓鱼者窃取。这种攻击方式利用了人们对人工智能和聊天机器人的好奇心和兴趣，以及OpenAI公司的知名度和信誉。

https://www.helpnetsecurity.com/2023/05/25/chatgpt-phishing/

---

6 德国检查官起诉FinFisher间谍软件高管

德国检察官周一起诉了四名破产的商业间谍软件公司FinFisher的高管，指控他们非法将他们的黑客工具出口到土耳其。起诉书指控四名FinFisher高管故意违反了对双用途商品的出口许可要求，将监视软件出售给非欧盟国家。具体来说，四名嫌疑人被指控在三起不同的案件中违反了德国贸易和支付法。起诉书已经提交给慕尼黑一区法院。该公司的监视软件FinSpy在2017年通过一个假冒的网站向土耳其反对派运动提供下载，以虚假的借口来监视他们。慕尼黑检察官在2019年接到一些非政府组织的投诉后，对FinFisher展开了调查，这些组织包括德国无国界记者和欧洲宪法与人权中心。

https://www.govinfosecurity.com/german-prosecutors-indict-finfisher-spyware-executives-a-22174

---