每日安全简讯(20230630)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Andariel组织使用新型恶意软件EasyRat攻击目标

Andariel组织是著名的Lazarus组织的一个分支，专门从事网络犯罪活动，如部署DTrack恶意软件和Maui勒索软件。最近，研究人员发现了Andariel组织的一次攻击活动，揭示了一个新的恶意软件家族——EasyRat。EasyRat是一种远程访问木马(RAT)，可以通过Log4j漏洞或钓鱼文档下载到目标机器上，然后收集系统信息并发送给控制服务器。EasyRat的功能比较简单，主要是执行命令。有趣的是，EasyRat与Lazarus组织之前使用过的MagicRat有一些高层次的相似性，比如都使用了框架(QT和PureBasic)并且功能都比较有限。此外，研究人员还发现了Andariel组织在执行命令时的一些错误和拼写错误，表明他们可能是由一个缺乏经验的人类操作员控制的。

https://securelist.com/lazarus-andariel-mistakes-and-easyrat/110119/

---

2 严重的SQL注入缺陷使Gentoo Soko遭受远程代码执行

研究人员在Soko(部署在Gentoo Linux基础设施上的软件)中发现了多个SQL注入漏洞。尽管使用了对象关系映射 (ORM) 库和预编译语句，但还是发生了这些SQL注入。研究人员表示：由于数据库配置错误，这些代码漏洞会导致Soko上的远程代码执行(RCE)。这些漏洞编号为CVE-2023-28424，是在测试环境中发现并重现的。随后，这些问题被负责任地披露给Gentoo Linux维护人员，他们在24小时内部署了修复程序。由于该服务仅显示有关现有Portage软件包的信息，因此不可能执行供应链攻击，Gentoo Linux的用户也不会面临风险。虽然服务器托管多个服务，但受影响的组件被隔离在Docker容器中，攻击者横向移动的风险有限。

https://www.sonarsource.com/blog/why-orms-and-prepared-statements-cant-always-win/

---

3 研究人员对新型信息窃取恶意软件ThirdEye进行分析

ThirdEye是一种针对Windows用户的信息窃取恶意软件，它的目的是从受感染的系统中提取敏感信息。这种恶意软件最早于2023年4月被发现，它通过一个以俄语命名的压缩文件传播，该文件中包含两个具有双重扩展名的可执行文件，伪装成文档文件。ThirdEye的功能相对简单，它收集了各种系统信息，如BIOS和硬件数据，以及文件和文件夹、运行中的进程和网络信息等。它将这些数据发送给位于shlalala [.]ru域名下的控制服务器，并使用“3rd_eye”这个独特的字符串来标识自己。ThirdEye自从被发现后就不断更新，增加了更多的信息收集功能，如浏览器历史记录、剪贴板内容、屏幕截图等。ThirdEye虽然不是一种复杂的恶意软件，但它所窃取的信息可以被用于未来的攻击，因此需要引起用户的警惕。

https://www.fortinet.com/blog/threat-research/new-fast-developing-thirdeye-infostealer-pries-open-system-information

---

4 8Base勒索软件攻击美国和巴西企业

8Base是一种勒索软件组织，自2022年3月以来一直活跃，但在2023年6月出现了大幅的活动增长。8Base的攻击目标涵盖了多个行业，如商业服务、金融、制造和信息技术等。这个组织在其暗网泄露站上提供了受害者的详细信息，以及多种联系方式，包括Telegram频道和Twitter账号。8Base自称是“简单的渗透测试人员”，并使用“.8base”作为加密文件的扩展名。研究人员对8Base的勒索软件进行了分析，发现了一些有趣的发现，引发了一个问题：“这到底是谁的勒索软件？”分析结果显示，8Base的勒索软件与另一个已知的组织——RansomHouse有很多相似之处，比如使用相同的语言、图标和加密算法。这可能意味着8Base是RansomHouse的一个分支或合作伙伴，或者是RansomHouse在伪装自己。无论如何，8Base是一种危险的勒索软件，需要引起用户的注意。

https://blogs.vmware.com/security/2023/06/8base-ransomware-a-heavy-hitting-player.html

---

5 Arcserve UDP存在身份验证绕过漏洞利用代码公开

Arcserve UDP是一种用于数据备份和恢复的软件，它支持多种平台和设备。近日，安全研究人员发现了Arcserve UDP的一个严重漏洞，编号为CVE-2023-26258，该漏洞允许攻击者绕过身份验证，执行任意命令，甚至完全控制受影响的系统。该漏洞影响了Arcserve UDP 7.0.0.0版本及以下，目前还没有官方的补丁或解决方案。安全研究人员已经在GitHub上公开了该漏洞的利用代码，提醒用户尽快升级或禁用Arcserve UDP服务，以防止被黑客攻击。

https://github.com/mdsecactivebreach/CVE-2023-26258-ArcServe

---

6 Microsoft Sysmon新增文件创建事件检测功能

Microsoft Sysmon是一种Windows系统服务和设备驱动程序，它可以在系统重启后持续监控和记录系统活动到Windows事件日志中。它可以提供关于进程创建、网络连接、文件创建时间变化等方面的详细信息。最近，Microsoft Sysmon发布了15.0版本，新增了一个文件创建事件检测功能，该功能可以记录当一个文件被创建或覆盖时的相关信息，如文件名、路径、大小、哈希值、进程ID、用户ID等。这个功能可以帮助安全分析人员发现恶意软件或攻击者在系统中创建或修改的文件，从而进行进一步的调查和响应。该功能默认是关闭的，需要在Sysmon的配置文件中启用。配置文件中还可以设置过滤规则，来包含或排除某些文件或目录。此外，该功能还支持记录文件的备用数据流(ADS)，这是一种常被恶意软件利用的隐藏数据的技术。

https://www.bleepingcomputer.com/news/microsoft/microsoft-sysmon-now-detects-when-executables-files-are-created/

---