每日安全简讯(20230608)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 LockBit 2.0再度出现，网络安全面临新挑战

近日，一款名为LockBit的勒索软件再次出现在网络安全领域。LockBit 2.0采用了更加隐蔽的攻击手段和更高的赎金要求，给企业和个人用户带来了极大的安全威胁。该软件利用Windows操作系统中的漏洞进行攻击，并使用加密算法对受害者的数据进行加密，使其无法访问。此外，LockBit 2.0还支持多种攻击方式，包括网络钓鱼、恶意邮件等，使得其攻击范围更加广泛。目前，LockBit 2.0已经在全球范围内造成了严重的数据泄露事件，给企业和个人用户带来了巨大的经济损失和信誉损害。因此，用户必须保持警惕并采取稳健的安全措施来防范潜在的Lockbit勒索软件攻击。

https://blog.cyble.com/2023/06/06/lockbit-ransomware-2-0-resurfaces/

---

2 免费VPN服务商i2VPN被黑客泄露管理凭证

i2VPN是一款无需注册的免费VPN代理服务器应用，可在Google Play和App Store上下载。2023年5月29日，一些黑客在Telegram上发布了i2VPN的管理凭证，包括管理员的电子邮件地址和密码，并声称已经破解了i2VPN的管理面板，可以访问数十万用户的信息。据Google Play的统计数据，截至2023年5月，i2VPN已经被下载了超过50万次。黑客在一个阿拉伯语的黑客频道上分享了i2VPN的管理面板网址、管理员的凭证和一些截图，显示了数据中心和用户订阅面板的部分信息，包括用户ID、账户名、注册邮箱、订阅付款方式和到期日期。黑客还留下了一句话：“现在去安装一个免费的、不安全的VPN服务吧”。这些信息可能被黑客用来监视用户的活动或进行欺诈。

https://www.safetydetectives.com/news/i2vpn-exposed-telegram/

---

3 研究人员发现数万个被感染的安卓应用

研究人员发现了一场隐藏在全球移动设备上超过六个月的恶意软件活动。这场恶意软件活动的目的是向安卓设备强行推送广告，以获取收益。然而，参与这场活动的黑客可以轻易地改变策略，将用户重定向到其他类型的恶意软件，例如窃取凭证和财务信息的银行木马或勒索软件。截至目前，研究人员已经发现了6万个完全不同的样本(独特的应用)，并且怀疑还有更多的样本在野外。研究人员认为，这种移动恶意软件之所以能够长期不被发现，是因为安卓系统缺乏基于行为的检测能力。由于发现的样本数量很高，这个操作很可能是完全自动化的。这些恶意软件没有出现在任何官方商店中，但在全球范围内分布广泛。然而，恶意软件的运营者仍然需要说服用户下载和安装第三方应用，所以他们将自己的威胁伪装成一些在官方商店找不到的非常受欢迎的项目，即使它们是合法的。

https://www.bitdefender.com/blog/labs/tens-of-thousands-of-compromised-android-apps-found-by-bitdefender-anomaly-detection-technology/

---

4 Satacom下载器传播窃取加密货币的浏览器扩展

Satacom下载器，又称LegionLoader，是一种著名的恶意软件家族，于2019年出现。研究人员发现并报告了一场与Satacom下载器相关的恶意软件传播活动。该活动的主要目的是通过安装一个针对Chromium-based浏览器(如Chrome、Brave和Opera)的扩展程序，来从受害者的账户中窃取加密货币。该扩展程序与其C2服务器通信，其地址存储在BTC交易数据中。该恶意扩展程序有各种JS脚本，可以在用户浏览目标网站时执行浏览器操作，包括枚举和操作加密货币网站。它还能够操作一些电子邮件服务(如Gmail、Hotmail和Yahoo)的外观，以隐藏其在电子邮件通知中显示的与受害者加密货币相关的活动。

https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807/

---

5 针对美国航空航天防务行业的新型恶意PowerShell脚本

PowerDrop是研究人员最近发现并分析的一种针对美国航空航天防务行业的新型恶意软件。该发现正值乌克兰战争持续，导弹计划的研究和投资增加，世界各地的合作伙伴保持高度警惕之际。PowerDrop是研究人员给他们在2023年5月发现的植入国内一家航空航天防务承包商网络中的恶意软件起的名字。该名字来源于用于编写脚本的工具Windows PowerShell，以及代码中用于填充的DROP(DRP)字符串。研究人员发现，这种恶意软件由一个新的PowerShell和Windows管理工具(WMI)持久化远程访问工具(RAT)组成。该代码发送Internet控制消息协议(ICMP)回显请求消息作为恶意软件命令和控制(C2)的触发器，以及类似的ICMP ping用于数据泄露。

https://adlumin.com/post/powerdrop-a-new-insidious-powershell-script-for-command-and-control-attacks-targets-u-s-aerospace-defense-industry/

---

6 黑客组织声称对Outlook.com发动DDoS攻击导致服务中断

Outlook.com是微软的网络邮件服务，近日遭遇了一系列的服务中断事件，影响了全球数百万用户。6月6日，一个自称Anonymous Sudan的黑客组织在Telegram上宣称，他们对Outlook.com发动了DDoS攻击，以抗议美国干涉苏丹的内政。这次攻击是在Outlook.com在前一天就出现了两次重大故障之后发生的，导致用户无法可靠地访问或发送电子邮件，以及使用移动Outlook应用程序。许多用户在Twitter上抱怨服务不稳定，影响了他们的工作效率。微软方面表示，这些故障是由技术问题引起的，并在Twitter上发布了一系列更新，表示正在采取缓解措施。Anonymous Sudan在其Telegram频道上发布了一些消息，嘲笑微软的安全能力，并要求微软支付100万美元，才会停止攻击。

https://www.bleepingcomputer.com/news/microsoft/outlookcom-hit-by-outages-as-hacktivists-claim-ddos-attacks/

---