每日安全简讯(20230607)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Clop勒索软件团伙利用MOVEit零日漏洞进行数据窃取攻击

Clop勒索软件团伙利用MOVEit Transfer平台的一个零日漏洞，入侵多家公司的服务器并窃取数据。MOVEit Transfer是一个广泛用于企业在互联网上共享大文件的工具，该漏洞允许黑客未经授权访问受影响的MOVEit服务器的数据库。Progress Software公司已经为该漏洞发布了补丁。微软安全研究人员将这些攻击归咎于Clop附属组织Lace Tempest(FIN11)，这是一个与俄罗斯有关联的勒索软件团伙，之前也曾利用Accellion FTA和GoAnywhere MFT等工具的漏洞进行大规模攻击。Clop代表声称，他们从5月27日开始利用这个漏洞，并且他们已经删除了来自政府、军事和儿童医院等机构的数据。受影响的一些组织已经开始公开披露，包括英国航空、BBC和新斯科舍省政府等。

https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-extortion-attacks/

---

2 Play勒索软件团伙攻击西班牙银行并威胁泄露文件

近日，Play勒索软件团伙对西班牙银行Globalcaja发起攻击，该团伙在其泄露网站上列出了该银行作为其最新的受害者，并声称窃取了包括护照信息、合同和客户/员工文件等在内的私人和敏感数据。Globalcaja在6月2日发布了一份声明，确认遭受了一个“网络事件”，导致一些本地计算机被勒索软件感染。该银行表示，该事件并未影响客户或客户端的账户，并称已经启动了安全协议来减轻潜在的损害。目前，尚不清楚Globalcaja是否与该团伙进行了沟通或支付了赎金要求。如果不支付赎金，所有被窃取的数据可能会被公开。Play勒索软件团伙是一个于2022年中期崛起的网络犯罪组织，之前也曾对Rackspace、Antwerp和H-Hotel等进行过高调的攻击。

https://www.malwarebytes.com/blog/news/2023/06/play-ransomware-gang-compromises-spanish-bank-threatens-to-leak-files

---

3 Google修补了2023年第三个Chrome零日漏洞

Google在周一发布了一个Chrome 114安全更新，修补了CVE-2023-3079，这是2023年在该浏览器中发现的第三个零日漏洞。Google说，最新版本的Chrome修复了两个缺陷，其中包括CVE-2023-3079，一个影响V8 JavaScript引擎的类型混淆问题。Google指出，该漏洞于6月1日被发现，并已在野外被利用，但没有分享任何关于攻击的信息。然而，由于该安全漏洞及其利用是由Google的研究员发现的，这表明CVE-2023-3079可能已经被一个商业间谍软件供应商利用。在许多情况下，间谍软件供应商将Chrome漏洞集成到复杂的利用链中，旨在攻击Android设备。Google最近宣布，在其漏洞赏金计划中暂时提供高达18万美元的奖金，用于导致Chrome沙盒逃逸的完整链利用。

https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html?m=1

---

4 Cyclops勒索软件团伙向网络犯罪分子提供基于Go的信息窃取器

与Cyclops勒索软件有关联的威胁行为者提供了一个信息窃取器恶意软件，该恶意软件旨在从被感染的主机中捕获敏感数据。研究人员说：“这个勒索软件及服务(RaaS)的威胁行为者在论坛上推广其产品。它要求那些使用其恶意软件进行恶意活动的人分享利润。”Cyclops勒索软件以针对所有主要桌面操作系统，包括Windows、macOS和Linux而闻名。它还设计用于终止任何可能干扰加密的进程。Cyclops勒索软件的macOS和Linux版本是用Golang编写的。该勒索软件还采用了一种混合了非对称和对称加密的复杂加密方案。基于Go的窃取器则设计用于针对Windows和Linux系统，捕获诸如操作系统信息、计算机名称、进程数量以及匹配特定扩展名的感兴趣文件等细节。收集到的数据包括.TXT、.DOC、.XLS、.PDF、.JPEG、.JPG和.PNG文件，然后上传到远程服务器。客户可以从一个管理面板访问窃取器组件。

https://www.uptycs.com/blog/cyclops-ransomware-stealer-combo

---

5 信息窃取程序Bandit Stealer利用Telegram回传数据

Bandit Stealer是一款新型的信息窃取程序，它可以从多种网络浏览器、FTP客户端、电子邮件客户端和加密货币钱包应用中窃取存储的凭证、Cookie和信用卡信息，并通过Telegram将窃取的信息发送给远程服务器。Bandit Stealer是用Go语言编写的，它采用了多种方法来检测和逃避虚拟机和恶意软件沙箱，以防止被分析。Bandit Stealer自2023年4月以来就在地下犯罪论坛上作为一项服务进行销售和推广。Bandit Stealer不断更新新功能以增强其数据收集功能。滥用Telegram作为C2服务器也已成为一种越来越流行的技术，以逃避基于网络的签名并使删除工作更加困难。

https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer

---

6 KeePass v2.54修复了泄露明文主密码的漏洞

KeePass发布了2.54版本，修复了允许从应用程序内存中提取明文主密码的CVE-2023-32784漏洞。该漏洞于5月18日被一位名为vdohney的安全研究员披露，并在GitHub上发布了一个证明概念工具。KeePass的创建者和主要开发者Dominik Reichl承认了这个缺陷，并承诺在6月初发布一个修复补丁，已经在测试版中实现了一个有效的解决方案。周末，Reichl提前发布了KeePass 2.54版本，并强烈建议所有2.x分支的用户升级到新版本。为了修复这个漏洞，KeePass现在使用一个Windows API来设置或检索文本框中的数据，防止创建可以从内存中转储的托管字符串。Reichl还在KeePass进程的内存中引入了“虚拟字符串”，其中包含随机字符，以使从内存中检索密码片段并将它们组合成有效主密码更加困难。

https://keepass.info/news/n230603_2.54.html

---