每日安全简讯(20230603)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 卡巴斯基披露苹果零点击恶意软件

俄罗斯网络安全公司卡巴斯基发现了一种针对苹果iOS设备的零点击恶意软件，该恶意软件可以在不需要用户交互的情况下植入设备，并窃取用户的数据和通信内容。该恶意软件被命名为“风暴”(Storm)，并被认为是由一个名为“风暴骑士”(Storm Riders)的黑客组织开发和使用的。该黑客组织的目标可能包括政治人物、记者、人权活动家等。卡巴斯基通过使用移动验证工具包(MVT)对受感染设备的离线备份进行检查，发现了感染的痕迹，并重建了感染的过程和时间线。该恶意软件不支持持久性，可能会在设备重启后重新感染。该恶意软件最早的感染痕迹可以追溯到2019年，截至2023年6月，该攻击仍在进行中，最新成功攻击的设备版本是iOS 15.7。卡巴斯基还对恶意软件的最终载荷进行了初步分析，发现它是一个具有ROOT权限的APT平台，可以执行一系列命令来收集系统和用户信息，并可以运行从C&C服务器下载的任意代码模块。

https://securelist.com/operation-triangulation/109842/

---

2 Kimsuky组织模仿关键人物进行针对性网络攻击

美国和韩国的网络安全和情报机构联合发布了一份关于朝鲜网络攻击者的警告，指出他们模仿关键人物进行针对性网络攻击。这些攻击者属于朝鲜的APT组织Kimsuky(又称APT43)，他们利用钓鱼邮件和伪造的网站来诱使目标输入自己的凭证，然后利用这些凭证来访问目标的网络和数据。这些目标包括政府、军事、外交、媒体、人权、研究等领域的机构和个人。美韩机构提供了一些攻击者使用的域名、IP地址、电子邮件地址等，以帮助受影响的组织检测和防御这些攻击。美韩机构还提供了一些最佳实践，以提高网络安全水平，包括使用多因素认证、更新系统和软件、备份数据、监测网络流量等。

https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3413621/us-rok-agencies-alert-dprk-cyber-actors-impersonating-targets-to-collect-intell/

---

3 MOVEit Transfer遭遇零日漏洞攻击

Progress Software公司的MOVEit Transfer管理文件传输应用存在一个严重的漏洞，该漏洞已经被黑客广泛利用来控制脆弱的系统。该漏洞尚未被分配一个CVE编号，涉及一个SQL注入漏洞，允许未经授权的访问和提升权限。该漏洞影响了MOVEit Transfer 2021.1.0.0版本及以下版本，该应用被广泛用于在组织内部和外部安全地传输敏感数据。Progress Software公司已经发布了一个补丁来修复该漏洞，并建议用户尽快更新他们的应用。成功利用该漏洞的攻击者可以在“wwwroot”目录中创建一个名为“human2.aspx”的web shell文件，通过脚本执行任意命令。截至2023年5月31日，大约有2500个MOVEit Transfer实例暴露在公共互联网上，其中大多数位于美国。

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

---

4 恶意PyPI包混合源代码和编译代码来躲避安全检测

研究人员在Python Package Index(PyPI)中发现了一种新颖的攻击，利用编译后的Python代码来逃避检测。这可能是第一种利用Python字节码(PYC)文件可以直接执行的事实来发动供应链攻击的例子，并且是在PyPI中恶意提交激增的背景下发生的。如果是这样，它将带来另一种供应链风险，因为这种攻击很可能会被大多数只扫描Python源代码(PY)文件的安全工具所忽略。研究人员在2023年4月17日向PyPI安全团队报告了发现的名为fshec2的包，并且它在当天就被从PyPI仓库中删除了。PyPI安全团队也认为这种攻击很有趣，并承认之前没有见过。研究人员详细的介绍了他是如何识别fshec2作为一个可疑包，以及攻击者试图避免检测时使用的新颖方法。他还介绍了对恶意软件使用的命令和控制(C2)基础设施进行调查时发现的情况，并提供了成功攻击的证据。

https://www.reversinglabs.com/blog/when-python-bytecode-bites-back-who-checks-the-contents-of-compiled-python-files

---

5 Qakbot恶意软件利用住宅IP进行动态攻击

Qakbot是一种银行木马，也被称为Pinkslipbot或Qbot，最早出现于2007年，主要通过电子邮件劫持和社会工程学来传播，并感染Windows主机。这个僵尸网络采用了一些技术来隐藏其基础设施，例如使用住宅IP地址和感染的Web服务器，而不是使用托管的虚拟专用服务器(VPS)网络。Qakbot根据安全策略的收紧和防御的演变，不断改变其初始入侵的方式。研究人员跟踪了Qakbot最近的活动，观察了其网络结构，并获得了一些关于支持Qakbot作为一种逃避式和顽固威胁的方法的关键见解。研究人员从Qakbot在2022年12月底开始的垃圾邮件活动中成功入侵的情况开始进行分析，并指出威胁行为者在2022年初就应对微软宣布将默认阻止Office用户使用XL4和VBA宏的反应，从基于宏的Microsoft Office文档中转移出来。今年，该僵尸网络通过快速改变在社会工程学电子邮件劫持活动中传送的文件类型来获得初始访问权限。它通过利用各种恶意OneNote文件、Web逃避标记和HTML走私技术来保持攻击者的优势。

https://blog.lumen.com/qakbot-retool-reinfect-recycle/

---

6 研究人员披露Tron零日漏洞发现和验证细节

研究人员发现了一个影响Tron多重签名账户的严重零日漏洞，该漏洞可能导致超过5亿美元的数字资产面临风险。该漏洞涉及一个SQL注入漏洞，允许攻击者在没有任何验证的情况下访问和修改多重签名账户的数据，包括增加或删除签名者、更改阈值、转移资金等。该漏洞影响了Tron 4.1.2版本及以下版本，该版本于2021年9月发布。研究人员在2021年2月通过一个漏洞赏金计划向Tron报告了该漏洞，并在几天内得到了修复。研究人员介绍了他们是如何发现和验证该漏洞的，并提供了一些技术细节和代码片段。还介绍了该漏洞可能带来的影响和风险，并给出了一些防御建议。

https://0d.dwalletlabs.com/game-of-tron-critical-0-day-in-tron-multi-signature-wallets-2c3e90668dc0

---