每日安全简讯(20230606)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 VMware揭秘TrueBot僵尸网络的攻击手法

近日，VMware安全研究人员揭秘了一个名为TrueBot的僵尸网络的攻击手法。TrueBot是一个由Silence组织开发的下载器木马，利用Netwrix漏洞传播，可以收集被感染系统的信息，并作为进一步攻击的跳板。VMware的研究人员在2023年5月发现了TrueBot的活动，并对其进行了深入分析。TrueBot是一个持续发展的威胁，自2017年以来就存在，最近的版本还使用了Raspberry Robin(一种蠕虫)作为传播方式。虽然Silence组织以攻击银行和金融机构而闻名，但TrueBot也针对教育部门进行了攻击。研究人员还对TrueBot是否与俄罗斯的EvilCorp(Indrik Spider)有关联的问题进行分析，但没有找到确凿证据。

https://blogs.vmware.com/security/2023/06/carbon-blacks-truebot-detection.html

---

2 CMDStealer利用CMD脚本和LOLBaS窃取网银信息

研究人员揭露了一个名为CMDStealer的金融诈骗活动。CMDStealer是由一个不知名的巴西威胁行为者发起的攻击，目标是窃取西班牙语和葡萄牙语的网银用户的账号信息。受害者主要分布在葡萄牙、墨西哥和秘鲁。CMDStealer使用了CMD-based scripts和LOLBaS(利用系统内置的二进制文件和脚本)的技术，来避免被传统的安全措施检测。这些技术利用了Windows系统自带的工具和命令，可以绕过终端保护平台(EPP)和安全系统。通过使用这些技术，威胁行为者可以非法访问受害者的系统，提取敏感信息，最终破坏网银账户和支付系统。

https://blogs.blackberry.com/en/2023/05/cmdstealer-targets-portugal-peru-and-mexico

---

3 NoEscape勒索软件利用反射式DLL注入技术

NoEscape是一种新型的勒索软件即服务(RaaS)，于2023年5月底在一个网络犯罪论坛上推出，招募合作伙伴进行分发。NoEscape可以生成多种类型的可执行文件，针对Windows 7及以上版本、Windows XP、Linux/ESXi服务器等系统。NoEscape使用反射式DLL注入技术，可以绕过杀毒软件的检测，对受感染的系统进行加密，并要求支付赎金。NoEscape还提供了多种自定义选项，例如加密模式、加密范围、加密后的操作等。研究人员对NoEscape的Windows和Linux版本样本进行了详细的技术分析，并在其博客中分享了相关信息。

https://blog.cyble.com/2023/06/04/evasive-noescape-ransomware-uses-reflective-dll-injection/

---

4 Atomic Wallet遭黑客攻击，超过3500万美元的加密货币被盗

Atomic Wallet是一种移动和桌面端的加密货币钱包，可以存储多种加密货币。该钱包支持多个操作系统，包括Windows、Android、iOS、macOS和Linux。2023年6月3日，Atomic Wallet在推特上表示，他们收到了用户钱包被入侵的报告，并开始调查这一问题。Atomic Wallet表示，他们正在与第三方安全公司合作，调查攻击的原因和方式，并尝试阻止被盗的资金在交易所上出售。Atomic Wallet已经关闭了他们的下载服务器，并防止进一步的感染。区块链专家收集了被盗用户的交易记录，称由于这次攻击，超过3500万美元的加密货币被盗。Atomic Wallet正在收集受害者的信息，询问他们使用的操作系统、下载软件的来源、加密货币被盗前做了什么操作、备份短语存储在哪里等。Atomic Wallet还创建了一个谷歌文档表单，让受害者填写更多信息，以便进行调查。

https://www.bleepingcomputer.com/news/security/atomic-wallet-hacks-lead-to-over-35-million-in-crypto-stolen/

---

5 新型Magecart攻击利用合法域名隐藏身份

研究人员发现并分析了一种新的持续进行的Magecart风格的网络攻击，旨在从电子商务网站窃取个人身份信息和信用卡信息。受害者分布在北美、拉丁美洲和欧洲，规模不一。其中一些受害者估计每月有数十万访客，可能有数万购物者的个人身份信息和信用卡面临被盗用或在暗网上出售的风险。攻击者在这次攻击中采用了多种逃避技术，包括使用Base64混淆和伪装攻击，使其看起来像是流行的第三方服务，如Google Analytics或Google Tag Manager。值得注意的是，攻击者“劫持”了合法网站，使其充当临时的命令和控制(C2)服务器。这些“主机受害者”在不知情的情况下充当恶意代码的分发中心，有效地将攻击隐藏在合法域名后面。这次攻击包括了对Magento、WooCommerce、WordPress和Shopify等多种数字商务平台的利用，显示出攻击者可以利用的漏洞和可滥用平台的多样性。

https://www.akamai.com/blog/security-research/new-magecart-hides-behind-legit-domains

---

6 丰田汽车公司因云环境配置错误导致数据泄露

丰田汽车公司周三发布声明，承认由于云环境配置不当，导致了数十万客户记录在网上泄露。这是该公司在几周内第二次发生类似事件，而且都是由于“数据处理规则的传播和执行不足”所致。丰田表示，没有证据表明数据被滥用，并称已经在对其子公司丰田联合公司(TC)的云系统进行更广泛的调查时发现了这一问题。TC也是之前两起丰田云安全事故的发生地点：一起发生在2022年9月，另一起发生在2023年5月中旬。与之前两起云泄露一样，这次的配置错误也是在事发多年后才被发现的。丰田承认，在这次事件中，大约有26万条日本国内的服务事件记录自2015年以来就暴露在网上。此外，一些来自其他亚洲和大洋洲国家的客户数据也被泄露，但丰田没有提供具体的数字。

https://global.toyota/en/newsroom/corporate/39241625.html

---