每日安全简讯(20230616)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 微软揭露俄罗斯军方新型黑客组织Cadet Blizzard

微软近日追踪到一波来自俄罗斯军事情报总局(GRU)下属的黑客组织“Cadet Blizzard”的网络攻击。这些攻击从2023年2月开始，针对乌克兰的政府机构和IT服务提供商。微软还将2022年1月俄罗斯入侵乌克兰前对乌克兰发动的破坏性“WhisperGate”擦除攻击归咎于“Cadet Blizzard”。“Cadet Blizzard”通常通过使用盗取的凭证来访问位于目标网络边缘的互联网服务器来入侵目标。一旦进入，它试图通过使用广泛可用的工具称为网络外壳来维持访问，这些工具可以作为现成的套件购买并定制。它然后使用“利用现有资源”技术——也就是说，它通常使用合法的命令，而不是恶意软件，在目标网络中横向移动，同时获取更多信息或干扰网络。使用“利用现有资源”技术有助于它隐藏在合法的网络流量中，使其活动更难被检测。微软认为“Cadet Blizzard”自2020年以来一直在运作。除了乌克兰和北约成员国外，它还针对欧洲和拉丁美洲的一系列组织。

https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/

---

2 全球最大勒索软件威胁LockBit介绍

美国、加拿大和其他五个国家的网络安全机构在周三发布了一份联合警告，指出以“LockBit”为旗号的数字勒索团伙是全球最大的勒索软件威胁。LockBit勒索软件是一种恶意软件，用于加密受害者的数据，直到支付赎金为止。根据警告，LockBit是网络犯罪分子最广泛使用的勒索软件之一。“2022年，LockBit是全球部署最多的勒索软件变体，并且在2023年仍然很活跃。”警告说，“LockBit及其附属组织已经对全球各地的大大小小的组织造成了负面影响。”LockBit是一种以服务形式提供的勒索软件(RaaS)。愿意参与的人可以支付一笔押金，使用定制的攻击，并在附属框架下获利。赎金支付会在LockBit开发团队和攻击附属机构之间分配，后者可以获得赎金资金的四分之三。

https://www.cisa.gov/sites/default/files/2023-06/aa23-165a_understanding_TA_LockBit_0.pdf

---

3 黑客利用云挖矿平台分发Roamer银行木马

研究人员揭露了一种云挖矿诈骗，利用网络钓鱼来分发Roamer银行木马，目标是Android平台的加密货币钱包和银行应用，旨在窃取敏感信息。Roamer银行木马是一种恶意软件，利用辅助功能服务来执行恶意操作。一旦安装，该恶意软件请求用户启用辅助功能服务，一旦授予，它就会滥用该服务来提取加密货币钱包和银行应用中的敏感信息，如账户余额、货币类型、交易金额和收款人信息。该恶意软件通过网络钓鱼网站来诱骗用户下载一个名为“CloudMining.apk”的恶意应用。该应用伪装成一个云挖矿平台，并声称用户可以通过下载该应用来开始挖矿。该应用的图标也模仿了谷歌Chrome浏览器的图标，以增加其可信度。该恶意软件还使用了一个电报频道来推广其诈骗网站，并定期发布有关云挖矿方案的更新和信息。该频道有超过5000名订阅者，而且该恶意软件作者还在不断开发新版本的恶意软件，以逃避检测和反向工程。

https://blog.cyble.com/2023/06/14/cloud-mining-scam-distributes-roamer-banking-trojan/

---

4 WooCommerce Stripe网关插件存在未授权漏洞

研究人员披露了WooCommerce Stripe网关插件存在一个未授权的不安全直接对象引用(IDOR)漏洞，该漏洞可能导致用户的个人身份信息(PII)泄露。IDOR漏洞是一种常见的安全缺陷，当应用程序无意中暴露敏感的内部对象，如文件、数据库和用户详情时，就会发生这种漏洞。OWASP将IDOR漏洞列为最严重的十大网络应用安全风险之一。该漏洞影响了WooCommerce Stripe网关插件的5.8.0版本及以下版本，该插件是一个允许WordPress网站接受Stripe支付的插件。该插件在处理付款请求时没有正确验证用户身份，导致攻击者可以通过修改URL中的参数来访问其他用户的付款信息，包括姓名、邮箱、电话、地址等。研究人员在2022年12月发现了该漏洞，并在2023年1月向插件开发者报告了该漏洞。开发者在2023年2月发布了5.8.1版本来修复该漏洞。

https://patchstack.com/articles/unauthenticated-idor-to-pii-disclosure-vulnerability-in-woocommerce-stripe-gateway-plugin/

---

5 DoubleFinger恶意软件针对加密货币钱包

Kaspersky介绍了一种新的复杂的多阶段攻击活动，针对欧洲、美国和拉丁美洲的加密货币钱包。该攻击涉及DoubleFinger加载器，一个复杂的犯罪软件，它部署了GreetingGhoul加密货币窃取器和Remcos远程访问木马(RAT)。DoubleFinger加载器是一种多阶段的恶意软件，当受害者无意中打开一封电子邮件中的恶意PIF附件时，就会启动其攻击。这个动作触发了加载器的第一阶段，一个修改过的Windows DLL二进制文件，然后执行一个恶意shellcode。接下来，shellcode从图片分享平台Imgur.com下载一个PNG图片，该图片包含了一个将在攻击后期启动的有效负载。总共需要DoubleFinger五个阶段来创建一个计划任务，每天在特定时间执行GreetingGhoul窃取器。然后它下载另一个PNG文件，解密并执行它。GreetingGhoul是一个窃取器，专门用于窃取与加密货币相关的凭证，它由两个组件组成：第一个组件使用MS WebView2在加密货币钱包界面上创建覆盖层，第二个组件用于检测加密货币钱包应用，并窃取敏感信息，如密钥、恢复短语等。

https://www.kaspersky.com/blog/doublefinger-crypto-stealer/48418/

---

6 研究人员发现一种新的信息窃取器

研究人员介绍了一种新的使用Golang编写的信息窃取器，名为Skuld，该窃取器攻击了欧洲、东南亚和美国的Windows系统。Skuld窃取器试图从受害者那里窃取敏感信息。为了完成这个任务，它搜索存储在应用程序中的数据，如Discord和网络浏览器；从系统和受害者文件夹中存储的文件中获取信息。一些样本甚至包含一个窃取加密货币资产的模块，研究人员认为这个模块仍在开发中。Skuld窃取器的开发者名为Deathined，在GitHub、Twitter、Reddit和Tumblr等多个社交媒体平台上使用这个别名。Trellix还发现了一个名为deathinews的电报群组，表明这些在线渠道可能会在未来被用来推广其恶意软件业务。

https://www.trellix.com/en-us/about/newsroom/stories/research/skuld-the-infostealer-that-speaks-golang.html

---