每日安全简讯(20230617)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯黑客组织Shuckworm利用USB恶意软件攻击乌克兰军事目标

Shuckworm(又名Gamaredon，Armageddon)是一个与俄罗斯有关联的黑客组织，自2014年首次出现以来，几乎专注于对乌克兰的网络攻击。它通常被认为是一个由国家资助的间谍行动。2023年2月，Shuckworm开始部署新的恶意软件和指挥控制基础设施，成功地突破了多个乌克兰军事、安全和政府组织的防御。该组织的目标是获取与俄罗斯对乌克兰的入侵相关的敏感信息。Shuckworm使用了一种新的PowerShell脚本，通过USB驱动器传播Pterodo这种自己开发的后门程序。该脚本在感染的USB驱动器连接到目标计算机时激活。恶意脚本首先将自己复制到目标机器上，创建一个扩展名为rtf.lnk的快捷方式文件。这些文件有诸如video_porn.rtf.lnk、do_not_delete.rtf.lnk和evidence.rtf.lnk等名称。这些名称大多是用乌克兰语写的，是为了诱使目标打开这些文件，从而在机器上安装Pterodo。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-russia-ukraine-military

---

2 供应链攻击者利用S3桶劫持技术投毒NPM包

S3桶是一种由亚马逊网络服务(AWS)提供的存储资源，允许用户通过互联网存储和检索大量数据。它是一种可扩展、安全的对象存储服务，可以存储文件、文档、图像、视频和任何其他类型的数字内容。S3桶可以使用唯一的URL访问，因此被广泛用于各种目的，如网站托管、数据备份和归档、内容分发和应用程序数据存储。近日，一种新的攻击技术被发现在野外被供应链攻击者利用。攻击者在不修改任何代码的情况下，通过劫持一个提供必要二进制文件的S3桶，并将其替换为恶意的文件，从而投毒了NPM包“bignum”。这个包是一个用于处理大整数运算的模块，最新版本是0.13.1，发布于三年多前，从未被篡改过。然而，之前的几个版本却受到了影响。版本0.12.2-0.13.0依赖于一个S3桶上托管的二进制文件。这些文件会在安装时从桶中拉取，以支持包的功能。这个伪造的.node二进制文件模仿了原始文件的功能。它执行了包的正常和预期的活动。同时，它还具有窃取用户ID、密码、本地机器环境变量和本地主机名，并将窃取的数据发送到劫持后的桶的功能。

https://checkmarx.com/blog/hijacking-s3-buckets-new-attack-technique-exploited-in-the-wild-by-supply-chain-attackers/?

---

3 GravityRAT恶意软件可窃取Android设备上的WhatsApp备份

GravityRAT是一种跨平台的远程访问木马，可以针对Windows、Android和macOS设备。该恶意软件被认为是由巴基斯坦的网络间谍组织SpaceCobra开发和使用的，主要针对印度的军事人员。最近，研究人员发现了一个新版本的Android GravityRAT恶意软件，伪装成消息应用BingeChat和Chatico.这个新版本的GravityRAT具有两个新的功能：可以窃取WhatsApp备份文件，并可以接收删除文件的命令。WhatsApp备份文件包含了用户在该应用上的聊天记录、图片、视频、语音等内容，对攻击者具有很高的价值。删除文件的命令则可以让攻击者清理自己的痕迹，或者破坏目标设备上的数据。GravityRAT通过流氓网站分发，这些网站宣传提供免费的消息和文件共享服务：bingechat [.]net和chatico [.]co [.]uk。这些网站要求访问者登录才能下载应用，但是注册功能通常是关闭的。

https://www.welivesecurity.com/2023/06/15/android-gravityrat-goes-after-whatsapp-backups/

---

4 美国逮捕涉嫌参与LockBit勒索软件的俄罗斯人

LockBit是一种勒索软件，可以加密受害者的数据，并要求支付赎金以恢复访问。该软件采用勒索软件即服务(RaaS)的模式，由一个核心团队招募附属成员来执行攻击，并从赎金中分成。LockBit自2019年底出现以来，已经对美国和其他国家的数千个组织发动了攻击，涉及政府、医疗、教育、法律、制造等多个行业。美国司法部(DoJ)于2023年6月16日宣布，已经逮捕并起诉一名俄罗斯公民，Ruslan Magomedovich Astamirov，指控他参与了LockBit勒索软件的活动。据指控，Astamirov在2020年8月至2023年3月期间，直接执行了至少五次针对美国和其他国家的计算机系统的攻击。他被控与他人共谋进行电信诈骗和故意损坏受保护的计算机，并通过使用和部署勒索软件发送赎金要求。如果被定罪，他将面临最高25年的监禁和最高25万美元或两倍于犯罪所得或损失的罚款。

https://www.justice.gov/d9/2023-06/astamirov.complaint.pdf

---

5 智利军队遭遇新兴勒索软件Rhysida的攻击

Rhysida是一种新兴的勒索软件，可以加密受害者的数据，并要求支付赎金以恢复访问。该软件由一个未知的犯罪团伙开发和使用，自2023年5月以来已经对多个组织发动了攻击，涉及教育、医疗、政府等多个行业。2023年5月27日，智利军队遭遇了Rhysida勒索软件的攻击，影响了其内部网络的多个系统。军方在两天后确认了这一事件，并采取了应急措施，如禁止开启计算机、断开网络连接、备份数据等，以防止进一步的损失。智利政府的网络安全应急响应小组(CSIRT)也发布了警告，提醒其他组织注意防范Rhysida勒索软件的威胁。据报道，Rhysida勒索软件在攻击智利军队时使用了一个名为“Ejercito de Chile”(智利军队)的专属标签，并要求受害者在72小时内支付赎金，否则将删除或泄露被加密的数据。该网站还提供了一些Rhysida勒索软件的样本和截图，显示其使用了AES-256和RSA-2048算法进行加密，并使用了一个名为“RySida”(RySida)的后缀来标记被加密的文件。

https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/

---

6 Vidar窃密软件采用新策略逃避检测和匿名活动

近日，研究人员分享的一份新分析中指出，Vidar背后的威胁行为者对其后端基础设施进行了一些改变，表明他们试图重新调整并掩盖他们的在线轨迹，以应对有关他们作案手法的公开披露。Team Cymru在2023年1月发布的一份报告中指出，“Vidar行为者将其基础设施分成了两部分；一部分专门用于他们的普通客户，另一部分用于管理团队，以及可能的高级/重要用户”。一个被Vidar行为者使用的关键域名是my-odin [.]com，它既是管理面板、验证附属成员和共享文件的一站式目的地。研究人员发现，在2023年5月3日之后，Vidar行为者对其基础设施进行了又一次改变，引入了一个新的IP地址185.229.64[.]137来托管my-odin [.]com域名，并使用TOR中继来访问他们的账户和恶意软件仓库。

https://www.team-cymru.com/post/darth-vidar-the-aesir-strike-back

---