每日安全简讯(20230601)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现利用Google Ads传播RomCom恶意软件的攻击活动

一项传播RomCom后门恶意软件的新活动正在冒充知名或虚构软件的网站，诱使用户下载并启动恶意安装程序。自2022年夏季以来一直关注RomCom的趋势科技发现了最新的活动。研究人员报告说，恶意软件背后的威胁行为者通过使用有效载荷加密和混淆来升级其规避，并通过引入新的强大命令来扩展该工具的功能。大多数用于向受害者分发RomCom的网站都涉及远程桌面管理应用程序，这增加了攻击者利用网络钓鱼或社会工程接近其目标的可能性。这些虚假网站通过谷歌广告和高度针对性的网络钓鱼电子邮件进行推广，大多数受害者位于东欧。

https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html

---

2 包含间谍软件功能模块的Android应用安装次数超过4.21亿次

在多个应用程序中发现了一种作为广告SDK分发的新Android恶意软件，其中许多应用程序以前在Google Play上，并且总下载量超过4亿次。Dr. Web的安全研究人员发现了间谍软件模块并将其跟踪为“SpinOk”，警告说它可以窃取存储在用户设备上的私人数据并将其发送到远程服务器。这家反病毒公司表示，SpinOk展示了一种看似合法的行为，即使用可带来“每日奖励”的迷你游戏来激发用户兴趣。“从表面上看，SpinOk模块旨在通过迷你游戏、任务系统以及所谓的奖品和奖励图纸来维持用户对应用程序的兴趣，”Dr. Web的报告解释说。

https://news.drweb.com/show/?i=14705&lng=en

---

3 WordPress插件“Gravity Forms”易受PHP对象注入攻击

目前有超过930000个网站使用的高级WordPress插件“Gravity Forms”容易受到未经身份验证的PHP对象注入攻击。Gravity Forms是一种自定义表单生成器网站所有者， 用于创建付款、注册、文件上传或访问者站点交互或交易所需的任何其他表单。在其网站上，Gravity Forms声称它被各种大公司使用，包括Airbnb、ESPN、耐克、NASA、PennState和Unicef。该漏洞被跟踪为CVE-2023-28782，影响2.73及以下的所有插件版本。该漏洞于2023年3月27日由PatchStack发现，并由供应商修复，并于2023年4月11日发布了2.7.4版。

https://www.bleepingcomputer.com/news/security/wordpress-plugin-gravity-forms-vulnerable-to-php-object-injection/

---

4 研究人员发现攻击者从2022年开始利用Barracuda零日漏洞投放恶意软件

网络和电子邮件安全公司Barracuda今天透露，最近修补的零日漏洞已被利用至少七个月来使用自定义恶意软件后门客户的电子邮件安全网关(ESG)设备并窃取数据。该公司表示，一项正在进行的调查发现，该漏洞（跟踪为CVE-2023-2868）于2022年10月首次被利用，以获取对“ESG设备子集”的访问权限，并部署旨在为攻击者提供对受损设备的持久访问权限的后门系统。Barracuda还发现了威胁行为者从后门ESG设备中窃取信息的证据。在调查期间发现了几种以前未知的恶意软件变种，专门设计用于受感染的电子邮件安全网关产品。

https://www.barracuda.com/company/legal/esg-vulnerability

---

5 微软发现macOS漏洞可让黑客绕过SIP root限制

Apple最近解决了一个漏洞，该漏洞允许拥有root权限的攻击者绕过系统完整性保护(SIP)以安装“不可删除”的恶意软件并通过规避透明、同意和控制(TCC)安全检查来访问受害者的私人数据。该漏洞（称为Migraine）由一组Microsoft安全研究人员发现并报告给Apple，现在被追踪为CVE-2023-32369。系统完整性保护 (SIP)是一种macOS安全机制，可通过对根用户帐户及其在操作系统受保护区域内的功能施加限制来防止潜在的恶意软件更改某些文件夹和文件。SIP的运作原则是，只有由Apple签名或拥有特殊权利的进程（例如Apple软件更新和安装程序）才有权更改受macOS保护的组件。

https://www.microsoft.com/en-us/security/blog/2023/05/30/new-macos-vulnerability-migraine-could-bypass-system-integrity-protection/

---

6 WordPress强制在500万个站点上安装关键的Jetpack补丁

开源WordPress内容管理系统背后的公司Automattic今天开始在数百万网站上强制安装安全补丁，以解决Jetpack WordPress插件中的一个严重漏洞。Jetpack是一个非常受欢迎的插件，它提供免费的安全性、性能和网站管理改进，包括站点备份、暴力攻击保护、安全登录、恶意软件扫描等。根据官方WordPress插件存储库，该插件由Automattic维护，目前有超过500万个活跃安装。Jetpack 12.1.1是目前自动向使用该插件的所有WordPress网站推出的安全补丁，今天开始推出，自2.0以来已经安装在超过4130000个使用Jetpack的每个版本的网站上。

https://jetpack.com/blog/jetpack-12-1-1-critical-security-update/

---