每日安全简讯(20230715)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者利用虚假的漏洞概念验证传播恶意软件

研究人员最近发现一个虚假的漏洞概念验证（PoC），该恶意代码伪装成CVE-2023-35829漏洞的概念验证，并最终在Linux服务器中植入后门程序。执行后，该恶意代码会创建一个“kworker”文件，并将其路径添加至“/etc/bashrc”中实现持久化，随后与C2服务器连接以下载执行bash脚本。该脚本会访问“/etc/passwd”文件以窃取数据，修改“~/.ssh/authorized_keys”以授予攻击者对服务器的远程访问，并最终泄露受害服务器的相关信息。

https://www.uptycs.com/blog/new-poc-exploit-backdoor-malware

---

2 攻击者利用Office文档漏洞传播LokiBot窃密木马

研究人员近期发现了几个利用已知漏洞的恶意Office文档文件，包括两个远程代码执行漏洞CVE-2021-40444和CVE-2022-30190。利用这些漏洞，攻击者可以在文档中嵌入恶意宏，当恶意宏执行后会将LokiBot窃密木马植入受害者系统中。LokiBot窃密木马于2015年出现，它针对Windows操作系统进行攻击，用于从受害主机中窃取敏感数据，其目标包括浏览器、FTP工具、电子邮件客户端及安装在电脑中的众多软件工具。

https://www.fortinet.com/blog/threat-research/lokibot-targets-microsoft-office-document-using-vulnerabilities-and-macros

---

3 攻击者利用恶意的TeamViewer安装程序传播njRAT远控木马

研究人员近期发现，攻击者正利用恶意的TeamViewer安装程序传播njRAT远控木马。该安装程序执行后，会释放正常的TeamViewer应用程序及njRAT。njRAT将自身复制到“AppData\Local\Temp”路径中并更名为“System.exe”，通过设置注册表项更改安全设置，并创建防火墙规则允许其于C2服务器进行通信。njRAT通过修改注册表项及复制到启动目录中实现持久化，能够执行键盘记录、收集系统信息等功能，并最终与C2服务器连接以执行攻击者下发的指令。

https://blog.cyble.com/2023/07/13/trojanized-application-preying-on-teamviewer-users

---

4 Zimbra提供补丁程序以修复其零日漏洞

Zimbra提醒管理员手动修复一个零日漏洞，该漏洞可被用于对Zimbra电子邮件服务器协作套件（ZCS）进行攻击。该公司在一份安全漏洞通知中表示，已发现Zimbra Collaboration Suite 8.8.15版本中的一个安全漏洞，该漏洞可能会影响用户数据的机密性和完整性。该漏洞是一种XSS漏洞，攻击者可以利用该漏洞窃取数据或在易受攻击的系统中执行任意代码，并且该漏洞已经存在被利用的迹象。Zimbra目前针对该漏洞提供了一个修复程序，需要管理员手动执行。

https://www.bleepingcomputer.com/news/security/zimbra-urges-admins-to-manually-fix-zero-day-exploited-in-attacks

---

5 思科SD-WAN vManage软件存在安全漏洞

思科SD-WAN vManage软件的REST API请求身份验证中存在漏洞，使得未经身份验证的远程攻击者能够获得配置的读取权限或有限的写入权限。该漏洞是由于在使用REST API功能时对请求验证不足而造成的。攻击者可以通过发送经过构造的API请求来利用此漏洞。攻击者能够利用该漏洞从受影响的思科vManage软件的配置中检索信息并向其发送信息。此漏洞仅影响REST API，不影响基于Web的管理界面或命令行界面。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-unauthapi-sphCLYPA

---

6 BlackSuit勒索组织声称攻击了美国坦帕罗瑞动物园

坦帕罗瑞动物园是美国最受欢迎的动物园之一，该动物园遭受了一次涉及窃取员工和供应商信息的网络攻击事件。坦帕罗瑞动物园证实，他们最近发现了一起网络攻击事件，并通知了受影响的员工及供应商，对于此次事件的调查正在进行。该动物园没有表示此次事件是否与勒索攻击有关，但BlackSuit勒索组织于7月5日声称对该动物园进行了攻击。BlackSuit勒索组织于今年5月份首次出现，并在其数据泄露网站上发布了3个受害者，该组织似乎与Royal勒索组织存在关联。

https://therecord.media/tampa-zoo-targeted-in-cyberattack?&web_view=true

---