每日安全简讯(20230531)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布疑似使用定向攻击模式的Akira勒索软件分析报告

近期，安天CERT（CCTGA勒索软件防范应对工作组成员）发现多起Akira勒索软件攻击事件。Akira勒索软件于2023年3月被发现，其攻击载荷暂未发现大规模传播，国外安全厂商发现攻击者通过VPN对受害系统进行初始访问，故猜测其背后的攻击组织使用定向攻击模式开展勒索攻击活动。攻击者入侵至受害系统后通过远程桌面协议（RDP）工具或其他工具实现内网传播，勒索软件载荷采用AES+RSA算法对文件进行加密，暂未发现公开的解密工具。Akira勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营，自4月21日起，其背后的攻击组织在Tor网站陆续发布受害者信息和窃取到的数据，截至5月30日共发布25名受害者信息和从11名受害者系统中窃取到的数据，包括建筑、金融、教育和房地产等多个行业。

https://mp.weixin.qq.com/s/ULRe4XXY6hKWtdiE_DlIIw

---

2 新的AhRat Android恶意软件隐藏在安装量达50000次的应用程序中

ESET恶意软件研究人员在Google Play商店中发现了一种新的远程访问木马(RAT)，该木马隐藏在安装量达数万次的Android屏幕录制应用程序中。虽然“iRecorder - Screen Recorder”应用程序于2021年9月首次添加到商店，但它很可能在将近一年后的2022年8月发布的恶意更新中被木马化。该应用程序的名称使得在受感染设备上请求录制音频和访问文件的权限变得更加容易，因为该请求符合屏幕录制工具的预期功能。在被删除之前，该应用程序在Google Play商店中的安装量已超过50000次，使用户面临恶意软件感染风险。

https://www.welivesecurity.com/2023/05/23/android-app-breaking-bad-legitimate-screen-recording-file-exfiltration/

---

3 黑客论坛RaidForums近50万成员数据被泄露

RaidForums黑客论坛的数据库已在线泄露，使威胁行为者和安全研究人员能够深入了解经常光顾该论坛的人。RaidForums是一个非常流行且臭名昭著的黑客和数据泄露论坛，以托管、泄露和出售从被入侵组织窃取的数据而闻名。经常光顾该论坛的威胁行为者会侵入网站或访问暴露的数据库服务器以窃取客户信息。然后，威胁行为者试图将数据出售给其他威胁行为者，这些威胁行为者将其用于他们的活动，例如网络钓鱼攻击、加密货币诈骗或分发恶意软件。本月早些时候，一个名为“Exposed”的论坛上线，旨在填补Breached关闭后留下的空白，并迅速流行起来。该网站的一名管理员“Impotent”泄露了RaidForums成员数据库，将大量信息暴露给其他威胁行为者、研究人员，甚至可能是执法部门。

https://www.bleepingcomputer.com/news/security/new-hacking-forum-leaks-data-of-478-000-raidforums-members/

---

4 Salt Security发现Expo Framework中的关键安全漏洞

Salt Security的安全研究人员发现，用于数百线上服务的知名开发框架Expo出现可劫持账号的重大漏洞。这些漏洞是在Expo使用的开放授权(OAuth)社交登录功能的实施中发现的，它有可能影响任何通过Facebook、Google、Apple和Twitter帐户使用Expo框架登录在线服务的用户。研究人员发现的Expo漏洞编号为CVE-2023-28131，攻击者可以利用该漏洞全面接管账户，导致身份盗窃、金融欺诈、信用卡使用等。在某些情况下，它还允许恶意行为者在Facebook、Google、Twitter和其他在线平台上代表受感染的用户执行操作。

https://salt.security/blog/a-new-oauth-vulnerability-that-may-impact-hundreds-of-online-services

---

5 Sports Warehouse因支付卡数据泄露事件被罚款300000美元

在线体育零售商Sports Warehouse已同意全面改革其安全计划，并就影响超过100万美国消费者的数据泄露事件向纽约州支付300000美元罚款。调查人员发现，这家零售商在其电子商务服务器上以纯文本格式存储了近20年的支付卡数据，仅受攻击者猜测的密码保护。纽约总检察长在Sports Warehouse首席执行官Drew Munster签署的和解协议中援引Sports Warehouse的公司未能加密或及时删除敏感消费者信息而处以罚款。总检察长办公室表示，该违规行为暴露了Sports Warehouse从2002年到2021年处理的大部分支付卡数据——客户姓名、地址、卡号、CVV和到期日期，该公司“无限期地存储这些数据中的大部分”服务器。”

https://ag.ny.gov/press-release/2023/attorney-general-james-secures-300000-online-sporting-goods-retailers-failing

---

6 基于Arbitrum的DeFi项目Jimbos Protocol遭遇闪电贷攻击

基于Arbitrum的DeFi项目Jimbos Protocol遭受闪电贷攻击，导致超过4000个ETH代币丢失，目前价值超过7500000美元。该公司昨天在Twitter上披露了此次攻击事件，称已通知执法部门，并正在与安全专业人员合作进行补救。攻击发生在该平台启动其V2协议仅三天后，当时许多人刚刚投资其“jimbo”代币，犯罪者设法窃取了4090个ETH代币。jimbo代币具有由资产支持的半稳定底价，而该平台实施了税收和激励等机制来帮助维持稳定的价值。不过，在黑客入侵之后，jimbo的价格迅速暴跌。据区块链安全专家称，Jimbos协议是利用平台缺乏滑点控制的闪贷攻击的受害者。

https://www.bleepingcomputer.com/news/security/flash-loan-attack-on-jimbos-protocol-steals-over-75-million/

---