每日安全简讯(20230902)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Sandworm组织使用Inknown Chisel恶意软件攻击乌克兰

美国政府及其盟友周四发布了俄罗斯黑客组织 Sandworm 在乌克兰战场上使用的恶意软件的技术分析，这是迄今为止克里姆林宫在针对基辅的军事网络行动中使用的恶意软件的最详细分析之一。Inknown Chisel 恶意软件通过一系列组件来针对安卓设备，确保通过 Tor 网络进行持续访问，同时收集信息。该恶意软件会窃取与预定义的扩展名列表（例如 .jpeg 和 .txt 等）匹配的数据。此外，该恶意软件还会查找系统信息，扫描本地网络中的活动主机和开放端口，以及查找特定的乌克兰军事应用程序。

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/infamous-chisel/NCSC-MAR-Infamous-Chisel.pdf

---

2 Anonymous Sudan组织针对X应用程序进行网络攻击

周二上午，Anonymous Sudan 的黑客组织攻击了 X（以前称为 Twitter），影响到了十多个国家，试图向埃隆·马斯克施压，迫使其在这些国家推出星链服务。X 宕机了两个多小时，数千用户受到影响。黑客在 Telegram 上发帖称：“让我们的信息传达给埃隆·马斯克：‘在苏丹开放星链’。” 研究人员在聊天应用程序 Telegram 上与该小组进行了数周的私人对话，并与黑客谈论了他们的方法和动机。

https://www.bbc.com/news/technology-66668053

---

3 僵尸网络Qakbot的基础设施在跨国活动中被摧毁

8 月 29 日，FBI 和司法部宣布开展一项跨国行动，以破坏和拆除名为 Qakbot 的恶意软件和僵尸网络。此次行动发生在美国、法国、德国、荷兰、罗马尼亚、拉脱维亚和英国，是美国主导的对僵尸网络基础设施的最大规模破坏之一，网络犯罪分子利用该僵尸网络基础设施实施勒索软件、金融欺诈和其他活动。其他网络犯罪活动。联邦调查局局长表示，联邦调查局消灭了这个影响深远的犯罪供应链，将其彻底切断。受害者包括东海岸的金融机构、中西部的关键基础设施政府承包商、西海岸的医疗设备制造商。Qakbot 恶意软件主要通过包含恶意附件或链接的垃圾邮件感染受害者计算机。用户下载或单击内容后，Qakbot 向他们的计算机传送了其他恶意软件（包括勒索软件）。该计算机还成为僵尸网络的一部分，并且可以由僵尸网络用户远程控制。一直以来，Qakbot 受害者通常都不知道他们的计算机已被感染。

https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedown

---

4 研究人员披露Spring-Kafka反序列化零日漏洞

8 月初，安全厂商的用户报告了他们最初认为是误报的情况： Spring-Kafka中存在反序列化漏洞。 Spring 由 VMware 和 Pivotal Software 开发，是一个用于构建企业 Java 应用程序的开源框架，而 Spring for Apache Kafka (Spring-Kafka) 项目将 Spring 的核心概念应用于基于 Kafka 的消息传递解决方案的开发。客户之所以认为这是误报，是因为它是在Spring框架本身内发现的，而不是在客户自己的代码中，而且因为 Spring 似乎添加了反序列化保护。但事实证明，该漏洞并非误报。事实上，这是 Spring-Kafka 中的一个零日反序列化漏洞。 VMware 的安全团队确认了零日漏洞，并于 8 月 23 日推出了修复程序。已分配通用漏洞披露 (CVE) 编号 CVE-2023-34040。

https://www.contrastsecurity.com/security-influencers/contrast-assess-uncovers-spring-kafka-deserialization-zero-day

---

5 研究人员披露Ransomed勒索攻击活动

2023 年 8 月 15 日，攻击者 Ransomed 以 RansomForums 别名进行运作，在 Telegram 上发布了他们的新论坛和 Telegram 聊天频道的广告。同一天，域名 ransomed[.]vc 被注册。 但在 Ransomed 上的活动开始之前，该论坛就遭遇了分布式拒绝服务 (DDoS) 攻击。作该网站的运营商迅速将其重新命名为勒索软件博客，与其他勒索软件团体类似，该博客将采用公开列出受害者姓名的方法，同时发出数据泄露威胁，除非支付赎金。 Ransomed 正在利用一种以前从未观察到的勒索策略——根据该组织的通讯，他们利用欧盟 GDPR 等数据保护法来威胁受害者，如果他们不支付赎金，将被处以罚款。这种策略与典型的勒索行为不同，它扭曲了针对受害者的保护法，为他们的非法攻击辩护。截至 8 月 28 日，他们博客的标题为“Ransomed[.]vc – 数字和平税领先公司”。这种措辞可能是为了使他们的活动合法化，使其听起来像是一种服务，而不是一种攻击。LockBit 等其他勒索软件组织也采取了类似的做法，声称他们的活动是“后付费渗透测试服务”。

https://flashpoint.io/blog/ransomed-uncertain-cyber-threat/

---

6 开源工具SapphireStealer可用于窃取凭证和数据

SapphireStealer 是一种开源信息窃取程序，自 2022 年 12 月首次公开发布以来，在公共恶意软件存储库中出现的频率不断增加。SapphireStealer 等信息窃取恶意软件可用于获取敏感信息，包括公司凭证，这些信息通常会转售给其他攻击者，这些攻击者利用该访问权限进行其他攻击，包括与间谍活动或勒索软件相关的操作。SapphireStealer 似乎是作为多阶段感染过程的一部分进行攻击的，攻击者利用 FUD-Loader 等开源恶意软件下载器将 SapphireStealer 交付给潜在受害者。

https://blog.talosintelligence.com/sapphirestealer-goes-open-source/

---