每日安全简讯(20230615)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 盗版ISO文件通过EFI分区安装剪贴板恶意软件

近日，研究人员发现黑客通过种子分发Windows 10，将加密货币劫持器隐藏在EFI（可扩展固件接口）分区中，以逃避检测。EFI分区是一个小的系统分区，包含了在操作系统启动之前执行的引导加载程序和相关文件。它对于使用UEFI替代了过时的BIOS的系统是必不可少的。之前有过利用修改过的EFI分区来从操作系统的上下文之外激活恶意软件的攻击，例如BlackLotus。但是，研究人员发现的盗版Windows 10 ISO文件只是使用EFI作为剪贴板组件的安全存储空间。由于标准的杀毒工具通常不会扫描EFI分区，恶意软件有可能绕过恶意软件检测。

https://news.drweb.com/show/?i=14712&lng=en

---

2 仿冒WannaCry的勒索软件攻击俄罗斯游戏社区

威胁行为者使用了一种仿冒WannaCry的勒索软件，针对俄罗斯的游戏社区进行了攻击。该勒索软件利用了EternalBlue漏洞，通过SMBv1协议在网络中传播。受害者的文件被加密，并显示了一个类似于WannaCry的勒索信息，要求支付0.1个比特币（约合4000美元）来解密文件。研究人员发现，该勒索软件并没有真正使用WannaCry的代码，而是使用了一个开源的加密工具来模仿WannaCry的外观和行为。该勒索软件也没有使用WannaCry的杀毒开关，而是使用了一个随机生成的域名来检测是否联网。如果联网，则不会加密文件。

https://blog.cyble.com/2023/06/13/threat-actor-targets-russian-gaming-community-with-wannacry-imitator/

---

3 Sygnia揭露了一场全球性的网络钓鱼活动

根据Sygnia的博客，该公司的威胁情报团队发现并追踪了一场全球性的网络钓鱼活动，该活动针对多个行业和地区的组织，试图窃取用户的凭证和敏感数据。该活动使用了多种技术手段，包括域名欺骗、邮件伪造、网站克隆、SSL证书伪造等，来模仿合法的组织和服务，诱使用户点击恶意链接或附件。该活动还利用了一些合法的在线服务，如Google Forms、SurveyMonkey、Mailchimp等，来隐藏其恶意行为。Sygnia的团队使用了一套威胁情报工具包，包括开源和商业工具，来收集和分析该活动的相关信息。通过这些工具，他们能够识别出该活动的攻击者、目标、时间线、策略、技术和程序等。他们还能够发现该活动与其他已知的网络钓鱼活动之间的联系和相似性。

https://blog.sygnia.co/cracking-global-phishing-campaign-using-threat-intelligence-toolkit

---

4 Edge浏览器功能会将你浏览的图片发送回微软

根据研究人员的博客，微软Edge浏览器有一个名为“图片搜索”的功能，可以让用户在浏览网页时，右键点击任意图片，然后选择“在Bing中搜索此图片”，从而在Bing搜索引擎中找到该图片的相关信息。然而，这个功能也会将用户浏览的图片发送回微软的服务器，可能会导致用户的隐私泄露。研究人员发现，当用户使用这个功能时，Edge浏览器会将图片的URL和内容以及用户的IP地址和设备信息发送给微软。这些数据可能会被微软用于改善其服务或广告，也可能会被第三方获取或滥用。研究人员建议用户谨慎使用这个功能，尤其是当浏览敏感或私密的图片时。如果用户想要关闭这个功能，可以在Edge浏览器的设置中，选择“隐私、搜索和服务”，然后关闭“允许Bing搜索此图片”选项。

https://www.malwarebytes.com/blog/news/2023/06/edge-browser-feature-sends-images-you-view-back-to-microsoft

---

5 Ofcom遭受MOVEit漏洞利用的网络攻击

英国通信监管机构Ofcom（Office of Communications）遭受了一场网络攻击，该攻击利用了MOVEit软件的一个零日漏洞，该软件是Ofcom用于安全地传输文件的工具。该漏洞允许攻击者在MOVEit服务器上执行任意代码，并可能导致数据泄露或其他恶意行为。该漏洞已经被公开披露，并有一个可用的利用工具。Ofcom在发现攻击后，立即关闭了MOVEit服务，并通知了受影响的用户和合作伙伴。Ofcom表示，目前没有证据表明攻击者访问了任何敏感或保密的数据，也没有证据表明攻击者对Ofcom的其他系统造成了影响。Ofcom正在与MOVEit软件的供应商Progress Software合作，以修复漏洞并恢复服务。Ofcom还表示，将对此次事件进行彻底的调查，并采取一切必要的措施来防止类似的攻击发生。

https://www.ofcom.org.uk/news-centre/2023/ofcom-statement-on-moveit-cyber-attack

---

6 罗马尼亚人因提供免责主机服务而被美国起诉

根据美国司法部的新闻稿，一名罗马尼亚公民被指控在美国提供免责主机服务（bulletproof hosting service），从而帮助了多种网络犯罪活动的传播。免责主机服务是一种网络基础设施服务，它可以容忍非法活动的投诉，为犯罪分子提供了一个基本的构建模块，用于实现各种网络攻击。免责主机服务提供商允许在线赌博、非法色情、僵尸网络控制服务器、垃圾邮件、侵权材料、仇恨言论和虚假信息等内容，即使有法院命令和执法机关的传票，也不会删除这些内容。免责主机服务提供商通常在对这类行为法律宽松的司法管辖区内运营。被告名叫Gabriel Balazs，他在2016年至2019年期间，通过他的公司CyberSeal和Dataprotector，在美国租用了多个服务器，并向客户提供了免责主机服务。这些客户使用了这些服务器来分发恶意软件、垃圾邮件、仿冒网站和其他网络犯罪工具。Balazs还向客户提供了技术支持和咨询，帮助他们规避检测和追踪。Balazs被控在美国联邦法院犯有电信欺诈、电脑入侵、身份盗窃和洗钱等罪名。如果被判有罪，他将面临最高20年的监禁。

https://www.justice.gov/usao-sdny/pr/romanian-national-who-operated-bulletproof-hosting-service-facilitated-distribution

---