每日安全简讯(20230612)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Asylum Ambuscade网络犯罪集团分析

Asylum Ambuscade是一个从事网络犯罪和网络间谍活动的网络攻击组织，自2020年初至少就开始活动了。他们最初于2022年3月被的研究人员公开，当时该组织针对欧洲政府工作人员进行攻击，这些工作人员参与了帮助乌克兰难民的工作，而这正是俄罗斯-乌克兰战争开始后的几周。该组织的间谍活动主要针对欧洲和中亚地区的政府实体，目的是窃取机密信息和官方政府网站邮箱的凭证。攻击者通过发送带有恶意Excel电子表格附件的定向钓鱼邮件来开始入侵，该附件利用VBA代码或Follina漏洞( CVE-2022-30190)从远程服务器下载一个MSI包，并安装SunSeed，这是一个用Lua编写的下载器。然后，如果机器被认为有价值，攻击者会部署下一阶段：AHKBOT。这是一个用AutoHotkey编写的下载器，可以通过插件(也用AutoHotkey编写)来扩展其功能，以便监视受害者机器上的活动。该组织的网络犯罪活动则主要针对银行客户和加密货币交易者，在包括北美和欧洲在内的各个地区进行攻击。自2022年1月以来，研究人员已经发现了全球超过4500名受害者。

https://www.welivesecurity.com/2023/06/08/asylum-ambuscade-crimeware-or-cyberespionage/

---

2 微软揭露多阶段AiTM网络钓鱼和BEC攻击

微软的安全专家发现了一种针对银行和金融服务机构的多阶段敌对中间人(AiTM)网络钓鱼和商业电子邮件妥协(BEC)攻击。该攻击源自一个被入侵的可信供应商，并转变为一系列的AiTM攻击和跨多个组织的后续BEC活动。这次攻击显示了AiTM和BEC威胁的复杂性，它们滥用供应商、合作伙伴和其他合作组织之间的信任关系，意图进行金融欺诈。该攻击实现了典型的AiTM网络钓鱼攻击后跟随的商业电子邮件妥协的最终目标，但其中一些值得注意的方面，如使用间接代理而不是典型的反向代理技术，展示了这些威胁的不断演变。在这次活动中，使用间接代理为攻击者提供了控制和灵活性，使他们能够根据目标定制网络钓鱼页面，并进一步实现会话cookie窃取的目标。在通过会话重放攻击使用被盗cookie登录后，威胁行为者利用没有使用安全最佳实践配置的多因素身份验证(MFA)策略来更新MFA方法，而无需进行MFA挑战。随后进行了第二阶段的网络钓鱼活动，向目标联系人发送了超过16000封电子邮件。

https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/

---

3 Pink Drainer利用Twitter账号盗取300万美元加密货币

Pink Drainer是一个网络攻击者，专门针对加密货币平台和用户进行网络钓鱼和窃取攻击。据报道，Pink Drainer已经从近2000名受害者那里盗取了超过300万美元的加密货币。Pink Drainer与最近的多起黑客事件有关，包括Evomos、Pika Protocol、OpenAI CTO和Orbiter Finance。Pink Drainer使用一种名为Malware-as-a-Service(MaaS)的恶意软件，可以让用户快速创建恶意网站，通过伪装成合法的加密货币项目或交易所来诱骗用户输入他们的私钥或助记词。然后，Pink Drainer会利用这些信息来转移用户的资产，并从中抽取高达30%的佣金。

https://drops.scamsniffer.io/post/pink-drainer-steals-3m-from-multiple-hack-events-including-openai-cto-orbiter-finance/

---

4 Minecraft社区高度警惕恶意软件感染流行的模组

CurseForge是一个为Minecraft游戏提供插件软件的平台，它发现有恶意用户创建了多个账号，并上传了包含恶意软件的项目到平台上。这些恶意软件被称为Fracturiser，它们会在用户的电脑上安装后门，并窃取用户的敏感信息。CurseForge已经封禁了所有相关的账号，并与作者社区合作进行了彻底的调查，以及时解决这个问题，并确保防止类似的恶意行为在未来发生。为了帮助用户检测是否受到Fracturiser的感染，CurseForge提供了一个检测工具，可以从这里下载并运行。该工具会检查用户的电脑上是否存在被感染的文件，并提供一个文件列表。如果用户发现自己被感染了，只需删除这些文件即可。此外，作为安全措施，CurseForge还建议用户运行独立的恶意软件扫描工具，并更改任何重要的密码。

https://support.curseforge.com/en/support/solutions/articles/9000228509-june-2023-infected-mods-detection-tool/?locale=zh

---

5 曼彻斯特大学遭受网络攻击，数据或被盗取

据英国媒体报道，曼彻斯特大学在6月9日发现其网络系统遭到未经授权的访问，可能导致部分数据被复制或泄露。该大学的首席运营官帕特里克·哈克特表示，工作人员正在“全力以赴”解决这一事件，并与信息专员办公室、国家网络安全中心和国家犯罪局合作调查。他说：“我们知道这会引起我们社区成员的担忧，我们为此感到非常抱歉。我们的首要任务是解决这个问题，并尽快向受影响的人提供信息，我们正在集中所有可用的资源。”目前，该大学尚未透露受影响的数据的具体范围和内容，也没有证实这次网络攻击是否与近期影响多家机构的MOVEit黑客事件有关。曼彻斯特大学是英国最大的高等教育机构之一，拥有约4万名学生和1.2万名员工。

https://www.manchester.ac.uk/cyber-incident/

---

6 澳大利亚律师事务所HWL Ebsworth遭俄罗斯黑客勒索

据澳大利亚媒体报道，澳大利亚最大的商业律师事务所HWL Ebsworth在4月28日遭到了一场勒索软件攻击，导致客户信息和员工数据被俄罗斯关联的黑客组织窃取。该黑客组织名为ALPHV/Blackcat，是专门针对大型机构的“大型猎物狩猎”策略的实施者之一。据黑客组织在其网站上发布的信息，它们从HWL Ebsworth的服务器上窃取了4TB的数据，包括员工的简历、身份证、财务报告、会计数据、贷款数据、保险协议等内部文件，以及客户的文件，如信用卡信息和财务数据，以及律师事务所网络的完整映射。该律师事务所的近年来的客户名单包括澳大利亚储备银行、澳大利亚选举委员会、议会服务部、澳大利亚国立大学、卡塔尔航空、BT金融集团、第一量子矿业和雪佛龙旗下的Puma Energy加油站网络。

https://www.abc.net.au/news/2023-06-09/russian-linked-hackers-taunt-hwl-ebsworth-over-data-breach/102461608

---