每日安全简讯(20230819)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露针对Zimbra用户的大规模钓鱼活动

至少从 2023 年 4 月起，一场大规模网络钓鱼活动试图窃取全球 Zimbra Collaboration 电子邮件服务器的凭据。网络钓鱼电子邮件被发送到世界各地的组织，而不是特定针对某些组织或部门。此次行动背后的威胁者目前仍未知。攻击始于一封假装来自组织管理员的网络钓鱼电子邮件，通知用户即将进行电子邮件服务器更新，否则导致帐户暂时停用。

https://www.welivesecurity.com/en/eset-research/mass-spreading-campaign-targeting-zimbra-users/

---

2 苹果iOS16存在漏洞可在假飞行模式下实现蜂窝访问

研究人员在苹果 iOS 16 上开发了一种利用后持久性技术，该技术可能被滥用以在飞行模式下并保持对苹果设备的访问，即使受害者认为该设备处于离线状态。在成功利用设备后，攻击者会植入人工飞行模式，编辑 UI 以显示飞行模式图标，并切断与除攻击者应用程序之外的所有应用程序的互联网连接。这使得攻击者即使在用户认为设备处于离线状态时也能够保持对设备的访问。

https://thehackernews.com/2023/08/new-apple-ios-16-exploit-enables.html

---

3  攻击者利用GitLab漏洞对加密货币和代理进行劫持

研究人员发现了出于经济动机的目的的 LABRAT 活动。由于攻击者在攻击中强调隐身和防御规避，攻击者通常选择使用未检测到的用 Go 和 .NET 编写的编译二进制文件，以便更有效地隐藏活动。攻击者部署了加密货币挖矿和俄罗斯相关的代理劫持脚本。此外，攻击者还滥用合法服务 TryCloudFlare 来混淆他们的 C2 网络。

https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign/

---

4 研究人员披露Cuba勒索软件新工具

Cuba勒索软件（也称为 COLDDRAW 勒索软件）于 2019 年首次被公开。研究人员披露该组织 6 月份针对美国关键基础设施部门的组织以及拉丁美洲的 IT 集成商发起了网络攻击。此次发现该组织部署了新工具，首次观察到对 Veeam 漏洞 CVE-2023-27532 的利用。

https://blogs.blackberry.com/en/2023/08/cuba-ransomware-deploys-new-tools-targets-critical-infrastructure-sector-in-the-usa-and-it-integrator-in-latin-america

---

5 研究人员披露BlackCat勒索软件新版本

微软发现了 BlackCat 勒索软件的新版本，该勒索软件嵌入了 Impacket 网络框架和 Remcom 黑客工具，两者都能够在被破坏的网络中横向传播。Impacket 是用于处理网络协议的 Python 类的开源集合。Remcom 黑客工具是一个小型远程 shell，允许加密器在网络上的其他设备上远程执行命令。微软将这个新版本识别为 BlackCat 3.0，勒索软件在与附属公司的通信中将其称为“Sphynx”或“BlackCat/ALPHV 2.0”。

https://www.bleepingcomputer.com/news/microsoft/microsoft-blackcats-sphynx-ransomware-embeds-impacket-remcom/

---

6 谷歌浏览器新功能会提醒用户删除恶意扩展程序

谷歌宣布计划在即将推出的 Chrome 网络浏览器版本中添加一项新功能，以便在用户安装的扩展程序已从 Chrome 网上应用店中删除时提醒用户。该功能将与 Chrome 117 一起发布，当开发人员取消发布、因违反 Chrome Web Store 政策而删除或标记为恶意软件时，用户可以收到通知。当用户点击‘审核’时，会跳转到扩展程序，并可以选择删除该扩展程序或隐藏警告。

https://thehackernews.com/2023/08/google-chromes-new-feature-alerts-users.html

---