每日安全简讯(20230602)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 持续攻击亚欧地区的新型APT组织Dark Pink

Dark Pink是一个新发现的APT组织，它主要针对亚太地区和欧洲的政府和军事机构进行网络间谍活动。这个组织使用定制化的钓鱼邮件，携带恶意文档，利用Office的公式编辑器漏洞，向受害者的计算机中植入多种自制的恶意工具。这些工具包括一个定时扫描器，一个下载器，以及一个新型后门程序。这个后门程序可以从受害者的设备中捕获声音、截屏、文件信息、进程信息等，并与远程服务器通信。这个黑客活动至少从2021年5月开始，而且后门程序也在不断地更新和改进。研究人员已经发现了13个受到Dark Pink攻击的组织，其中5个是最近发现的。这些组织包括泰国、文莱、越南、印度尼西亚、菲律宾、马来西亚、柬埔寨等国家的军事和政府机构，以及比利时和波斯尼亚和黑塞哥维那的教育和政府机构。

https://www.group-ib.com/blog/dark-pink-episode-2/

---

2 Apache NiFi服务器被利用挖矿，数据流管理平台遭受威胁

Apache NiFi是一个开源的数据流管理平台，它可以用于收集、处理、分发和分析大量的数据。它也可以用于支持机器学习和人工智能的应用。然而，这个平台也存在一些安全漏洞，比如未授权访问、远程代码执行、跨站脚本等，这些漏洞可能被黑客利用，从而将Apache NiFi服务器纳入一个挖矿僵尸网络中。研究人员提供了一些实际的攻击案例，以及一些防御措施，比如使用强密码、启用SSL/TLS、限制网络访问、更新补丁等。

https://isc.sans.edu/diary/Your%20Business%20Data%20and%20Machine%20Learning%20at%20Risk%3A%20Attacks%20Against%20Apache%20NiFi/29900

---

3 乌克兰CERT警告新一轮SmokeLoader攻击活动

SmokeLoader是一个恶意软件加载器，它可以下载和执行其他恶意软件，比如银行木马、勒索软件、密码窃取器等。它也可以用于收集受害者的系统信息，并与远程服务器通信。乌克兰的计算机应急响应小组(CERT-UA)警告，SmokeLoader正在被一些黑客组织用于针对乌克兰和其他国家的攻击活动。这些黑客组织被认为与俄罗斯有关联。乌克兰CERT提供了一些实际的攻击案例，以及一些防御措施，比如使用强密码、启用双因素认证、限制网络访问、更新补丁等。

https://cert.gov.ua/article/4755642

---

4 金融服务公司OneMain因网络安全疏忽被罚款425万美元

OneMain是一个提供个人贷款和保险服务的公司，它在2021年遭受了一场勒索软件攻击，导致其部分数据被加密和泄露。这场攻击是由一个名为REvil的黑客组织发起的，它要求OneMain支付1000万美元的赎金，否则就会公开其客户和员工的敏感信息。OneMain拒绝了这个要求，并向当局报告了这起事件。然而，在2022年5月，美国联邦贸易委员会(FTC)对OneMain进行了调查，并发现该公司存在多项网络安全违规行为，比如未能及时更新补丁、未能及时检测和响应入侵、未能及时通知受影响的客户等。FTC认为这些行为违反了消费者保护法和公平信用报告法，并对OneMain处以425万美元的罚款。此外，FTC还要求OneMain在未来20年内定期提交网络安全报告，并接受第三方的网络安全审计。

https://www.malwarebytes.com/blog/news/2023/05/financial-services-company-onemain-fined-4.25-million-for-cyber-lapses

---

5 技嘉应用中心存在后门风险，影响数百款电脑

Eclypsium是一家专注于供应链安全的公司，它的平台最近在技嘉的电脑系统中发现了可疑的后门行为。经过进一步分析，发现这是技嘉的应用中心功能在UEFI固件中嵌入了一个Windows可执行文件，该文件在系统启动过程中被执行，并从互联网上不安全地下载和执行额外的有效载荷。这种后门行为可能会被恶意攻击者利用，从而导致供应链攻击、本地环境攻击或恶意软件持久化。Eclypsium已经与技嘉合作，寻求解决这个问题的方法。目前，建议受影响的用户关闭应用中心功能，并使用防火墙或网络监控工具来阻止或检测与应用中心相关的网络流量。

https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/

---

6 BlackCat勒索软件升级隐蔽性、速度和数据窃取能力

BlackCat勒索软件是一种流行的网络威胁，也是勒索软件即服务(RaaS)模式的一个典型例子。它使用了不常见的编程语言(Rust)，可以攻击多种设备和操作系统，并与多个活跃的威胁行为组织有关联。BlackCat勒索软件的入侵和执行方式根据部署它的RaaS合作伙伴而不同，但结果都是一样的——目标数据被加密、窃取，并用于“双重勒索”，即攻击者威胁如果不支付赎金，就会公开泄露被盗数据。根据研究人员的分析，BlackCat勒索软件在2022年是观察到的最主要的勒索软件家族之一，2023年仍然在全球范围内造成破坏。BlackCat勒索软件的目标包括医疗、政府、教育、制造和酒店等行业的组织。BlackCat勒索软件能够改变其工具和技术，使其操作更快速和隐蔽，从而增加其生存能力。

https://securityintelligence.com/posts/blackcat-ransomware-levels-up-stealth-speed-exfiltration/

---