每日安全简讯(20230619)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客假冒正常网站传播银行木马

研究人员发现了一个新的恶意软件活动，利用假冒的LetsVPN网站来传播多种恶意软件。 LetsVPN是一款由LetsGo Network开发的VPN应用程序，旨在提供高速和安全的网络连接。研究人员在进行常规的威胁狩猎时，发现了多个伪造的LetsVPN网站，这些网站与真正的LetsVPN网站在设计和外观上非常相似，但实际上是用来分发恶意软件的。这些恶意软件包括BlackMoon、AgentTesla、Formbook等银行木马，它们都是伪装成合法的VPN应用程序的。BlackMoon是一个针对韩国用户的银行木马，可以窃取与在线银行和金融交易相关的敏感信息。AgentTesla是一个键盘记录器和信息窃取器，可以从浏览器、电子邮件客户端、剪贴板等处收集用户凭据、密码、银行卡信息等。Formbook是一个表单窃取器和键盘记录器，可以从Web表单、浏览器、电子邮件客户端等处窃取用户输入的数据，并能够执行远程命令。

https://blog.cyble.com/2023/06/16/new-malware-campaign-targets-letsvpn-users/

---

2 黑客假冒安全研究员在GitHub上发布恶意代码

近日，一名黑客在GitHub上创建了多个虚假的代码仓库，声称包含了一些流行应用程序的零日漏洞利用代码，但实际上是用来传播恶意软件的。这名黑客还在GitHub和Twitter上创建了多个假冒的安全研究员账号，甚至使用了一些知名网络安全公司的研究员的真实照片，以增加其可信度。据研究人员发现，这些虚假的代码仓库至少有七个，分别声称是针对Discord、Google Chrome和Microsoft Exchange Server等应用程序的零日漏洞利用代码。这些代码仓库都是在5月初开始出现的，当时研究人员发现了一个声称是针对Signal应用程序的零日远程代码执行漏洞利用代码的仓库，并向GitHub举报了该仓库。这些虚假的代码仓库中的代码实际上是一个Python脚本，用来下载并执行一个恶意二进制文件，无论目标系统是Windows还是Linux。

https://www.malwarebytes.com/blog/news/2023/06/fake-security-researchers-push-malware-files-on-github

---

3 研究人员对地下论坛传播恶意工具进行调查

研究人员持续追踪和监测地下论坛中恶意活动的传播，以揭示它们对网络犯罪活动的利用。最近发现了一些恶意活动，它们正在被威胁行为者(TA)讨论。研究人员发现了一个帖子，邀请论坛成员加入Trigona联盟计划。Trigona勒索软件家族自2022年6月以来一直被积极追踪。根据过去的报告和分析，该勒索软件是用Delphi编程语言编写的，并使用112位RSA和256位AES加密算法进行文件加密。该勒索软件运营者声称通过结合数据泄露和文件加密来执行双重勒索攻击。该计划可能会吸引一些联盟成员扩大其业务范围。该计划提供了勒索软件即服务(RaaS)，并具有多种功能：其中包括跨平台构建、具有先进的加密技术、管理面板、Tor网络，以及端到端数据加密、针对全球各国的呼叫设施、DDoS能力和用于泄露数据库的云存储等。

https://blog.cyble.com/2023/06/16/malicious-tools-in-the-underground-investigating-their-propagation/

---

4 美国政府悬赏1000万美元缉拿Clop勒索软件幕后人员

美国国务院的“正义奖励”计划近日宣布，将为提供与外国政府有关的Clop勒索软件攻击的信息提供高达1000万美元的奖金。Clop是一个活跃的勒索软件团伙，曾被指与俄罗斯有关联。该团伙曾袭击过多个高调目标，包括美国大型肉类加工商JBS、韩国电子巨头LG、德国软件公司Software AG、法国零售商E.Leclerc等。Clop还涉嫌与FIN11网络犯罪集团合作，后者是一个以网络钓鱼和恶意软件攻击为主要手段的组织。FIN11被认为是黑客组织TA505的一个分支，后者也是一些其他勒索软件家族(如Dridex和Locky)的幕后推手。今年6月，乌克兰警方宣布逮捕了六名涉嫌参与Clop勒索软件活动的人员，并查获了一些计算机设备和现金。然而，这次行动并没有阻止Clop的攻击，该团伙仍然在活跃地寻找新的受害者。美国政府此次悬赏的目标是找出Clop背后的领导人员，以及他们与任何外国政府的联系。这一举措是美国政府打击勒索软件威胁的一部分，旨在追踪和阻止加密货币支付，以及提高企业和公众的安全意识和防御能力。

https://www.bleepingcomputer.com/news/security/us-govt-offers-10-million-bounty-for-info-on-clop-ransomware/

---

5 波兰警方打击自2013年以来活跃的DDoS出租服务

波兰国家打击网络犯罪中央局的警官拘留了两名涉嫌参与运营一个DDoS出租服务(又称booter或stresser)的嫌疑人，该服务至少从2013年开始活跃。DDoS出租服务是一种网络犯罪工具，可以让任何人以低廉的价格租用攻击者的服务器，向目标网站或服务器发起分布式拒绝服务(DDoS)攻击，使其无法正常运行。这种服务通常被用于敲诈勒索、报复、竞争对手的破坏或恶作剧。据波兰警方称，这次行动是在欧洲刑警组织和欧洲司法合作单位Eurojust的协助下进行的，涉及多个国家的执法机构。波兰警方还搜查了两名嫌疑人的住所，并没收了一些电子设备和加密货币。波兰警方没有透露这个DDoS出租服务的名称，但根据一些线索，有人推测它可能是一个叫做DDoS.pl的网站。该网站目前已经无法访问，但根据互联网档案馆的记录，它曾经提供了多种攻击类型和付费选项，以及一个在线聊天室。

https://www.bleepingcomputer.com/news/security/police-cracks-down-on-ddos-for-hire-service-active-since-2013/

---

6 微软发布对DDoS服务攻击的应对策略和建议

微软安全响应中心(MSRC)发布了一篇博客文章，介绍了微软对第七层分布式拒绝服务(DDoS)攻击的应对策略和建议。第七层DDoS攻击是指针对应用程序层的攻击，如HTTP、HTTPS、DNS等，目的是消耗目标服务器的资源或影响其功能。微软表示，近期发现了一些针对其云服务和在线服务的第七层DDoS攻击，其中一些攻击使用了复杂的技术，如HTTP/2协议、TLS 1.3加密、多路复用等，以增加检测和防御的难度。微软还表示，这些攻击可能是由同一组织或个人发起的，因为它们具有相似的特征和模式。微软采取了利用其全球网络边缘的能力，通过多种技术来识别和过滤恶意流量，如IP黑名单、请求速率限制、内容检测等措施来应对这些攻击。

https://msrc.microsoft.com/blog/2023/06/microsoft-response-to-layer-7-distributed-denial-of-service-ddos-attacks/

---