每日安全简讯(20230621)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 DeepBlueMagic黑客组织针对以色列的Hillel Yaffe医疗中心发动勒索软件攻击

一个名为“DeepBlueMagic”的组织涉嫌对以色列的Hillel Yaffe医疗中心发动勒索软件攻击，这违反了许多勒索软件组织所遵循的“行为准则”。该事件导致非紧急选择性手术被取消，医院被迫改用替代系统以继续为患者提供护理。此事件的官方详细信息有限，但早期迹象表明，被称为“DeepBlueMagic”的可疑威胁参与者通过利用已知的Pulse Secure VPN漏洞获得了初始访问权限。对网络基础设施的利用与之前报道的DeepBlueMagic活动一致，鉴于许多勒索软件运营商喜欢通过久经考验的利用来获取用户凭证和/或获得对受害网络的特权访问，因此这一发现不足为奇。

https://www.varonis.com/blog/deepbluemagic-ransomware

---

2 黑客使用假的OnlyFans图片来植入窃取信息的恶意软件

恶意软件活动使用虚假的OnlyFans内容和成人诱饵来安装称为“DcRAT”的远程访问木马，允许威胁行为者窃取数据和凭据或在受感染的设备上部署勒索软件。OnlyFans是一项内容订阅服务，付费订阅者可以访问成人模特、名人和社交媒体名人的私人照片、视频和帖子。它是一个广泛使用的网站和一个知名度很高的名称，因此它可以吸引那些希望免费访问付费内容的人们。eSentire发现的新活动自2023年1月以来一直在进行，传播包含VBScript加载程序的ZIP文件，受害者被诱骗手动执行，以为他们将要访问高级OnlyFans内容。

https://www.esentire.com/blog/onlydcratfans-malware-distributed-using-explicit-lures-of-onlyfans-pages-and-other-adult-content

---

3 DoNot黑客组织在Google Play商店部署恶意Android应用程序

国家支持的威胁行为者使用Google Play上的三个Android应用程序从目标设备收集情报，例如位置数据和联系人列表。这些恶意Android应用程序是由Cyfirma发现的 ，他以中等可信度将此操作归因于印度黑客组织“DoNot”，该组织也被追踪为APT-C-35，该组织至少从2018年开始就以东南亚的知名组织为目标。Cyfirma 在Google Play上发现的可疑应用程序是nSure Chat和iKHfaa VPN，它们都是从“SecurITY Industry”上传的。根据Cyfirma的说法，这两款应用程序和来自同一发行商的第三款应用程序似乎没有恶意，但仍可在Google Play上使用。

https://www.cyfirma.com/outofband/donot-apt-elevates-its-tactics-by-deploying-malicious-android-apps-on-google-play-store/

---

4 攻击者利用MOVEit漏洞窃取数百万俄勒冈州和路易斯安那州的驾照信息

路易斯安那州和俄勒冈州警告说，在一个勒索软件团伙入侵他们的MOVEit Transfer安全文件传输系统以窃取存储数据后，数百万驾照在数据泄露中暴露。这些 攻击是由Clop勒索软件行动进行的，该行动于5月27日开始 在全球范围内攻击MOVEit Transfer服务器， 使用一个以前未知的零日漏洞，追踪为CVE-2023-34362。这些攻击已导致全球范围内广泛披露数据泄露事件，影响了公司、联邦政府机构和地方政府机构。根据路易斯安那州机动车办公室和俄勒冈州司机与机动车服务局的新闻稿，这两个机构都使用了MOVEit Transfer软件，该软件在这些攻击中遭到破坏。

https://www.oregon.gov/odot/DMV/Pages/Data_Breach.aspx

---

5 得梅因公立学校证实遭受了勒索软件攻击导致近6700人数据泄露

爱荷华州最大的学区得梅因公立学校(Des Moines Public Schools)今天证实，勒索软件攻击是导致该校于2023年1月9日所有联网系统离线的事件的幕后黑手。虽然学区在一个勒索软件组织发起攻击后也收到了赎金要求，但赎金尚未支付。本周将联系近6700名其数据在由此产生的数据泄露中受到影响的个人，并提供有关哪些个人信息被泄露的详细信息。“针对DMPS的网络攻击包括勒索赎金。根据我们的网络安全专家的建议以及符合学区和社区最大利益的做法，没有也不会为应对这次攻击支付赎金，”得梅因公立学校说。

https://www.desmoinesregister.com/story/news/education/2023/06/19/des-moines-public-schools-says-personal-data-possibly-exposed-in-ransomware-attack/70335866007/

---

6 攻击者针对DoorDash司机进行网络钓鱼活动骗取了95万美元

DoorDash司机是承包商，他们从商店和餐馆取货并将产品交付给客户。一名来自康涅狄格州的21岁男子大卫·史密斯(David Smith)据称想出了一种从司机那里榨取大量现金的方法，该骗局可以追溯到2020年。盗窃将从下伪造的DoorDash订单开始，接收司机详细信息，然后通过声称是DoorDash支持的短信或电话联系所述司机。从这里，司机将被说服交出银行详细信息或登录到一个虚假的门户网站。最终结果将是资金损失，并且可能无法完成他们的工作。考虑到这是在大流行期间发生的，针对司机可能会对弱势群体产生重大影响，他们获得食物的唯一途径是通过DoorDash等服务。

https://www.malwarebytes.com/blog/news/2023/06/phishing-scam-takes-950k-from-doordash-drivers

---