每日安全简讯(20230905)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露RedEyes组织利用恶意LNK传递后门

RedEyes 组织，也称为 APT37、ScarCruft ，该组织使用的恶意软件以前以 CHM 格式传播，现在以 LNK 格式传播。恶意代码通过 mshta 进程执行特定 url 中存在的附加脚本，从攻击者的服务器接收命令，并执行附加的恶意操作。经研究人员确认，已确认的 LNK 文件是由攻击者将包含恶意代码的压缩文件上传到正常站点来分发的。恶意 LNK 文件以文件名 REPORT.ZIP 上传。该文件在 LNK 内包含正常的 Excel 文档数据和恶意脚本代码。近期大量利用 CHM、LNK 的恶意代码正在传播，用户需格外小心。在恶意LNK的情况下，许多文件大小超过10MB的情况已得到证实为恶意软件，因此不应执行未知创建者的大型LNK文件。

https://asec.ahnlab.com/ko/56526/

---

2 UAC-0057组织利用WinRAR软件漏洞进行网络攻击

研究人员检测到 UAC-0057 组织利用 CVE-2023-38831、PicassoLoader JavaScript 变体、Rabbit 算法和 Cobalt Strike Beacon 的一次网络攻击。研究人员发现包含CVE-2023-38831漏洞利用的文件 Zbirnyk_tez_НУОУ_23.rar ，成功利用该文件将导致执行BAT文件 16872_16_2023_03049.pdf .cmd ，这将确保启动 LNK 文件 16872_16_2023_03049.lnk 的一部分，该文件使用 mshta.exe 实用程序执行嵌入在快捷方式文件中的 HTA 文件。启动HTA文件将导致在计算机上创建诱饵文件 16872_16_2023_03049.pdf （“综合防御：反击俄罗斯联邦对乌克兰武装侵略的经验”）并执行JavaScript代码，旨在下载图像 113-1131910-clipart.svg ，使用 Rabbit .NET-file 算法进行位移和解密接收，这反过来将确保计算机被 Cobalt Strike Beacon 程序攻击。上述 JavaScript 文件是之前使用的 PicassoLoader 加载器的功能实现的变体。

https://cert.gov.ua/article/5661411

---

3 研究人员披露Emotet银行木马再次出现

Emotet 恶意软件，也称为 Geodo 和 Heodo，是一种著名的银行木马，但也可用作其他恶意软件的下载程序或植入程序。该恶意软件于 2014 年首次出现，2021 年 1 月，Emotet 基础设施被拆除，但于当年 11 月恢复，并在 2022 年和 2023 年初增加其运营。Emotet 仍然是一种危险且有弹性的恶意软件，因为 Emotet 攻击者利用了多个不同的感染链（恶意宏/VBS/WSF、ZipBombing、LNK 文件、HTA 文件）在短时间内。当 Emotet 在短暂中断后于 2023 年 3 月恢复运营时，最初的感染媒介是带有宏的大量填充的 Microsoft Word 文档。此后不久，根据Microsoft强制执行的政策，他们从 Word 文档转移到 OneNote 部分。在最新版本的 Emotet 有效负载中，我们观察到其 TTP 发生了重大变化，包括用于逃避检测机制的新传递向量。

https://www.trellix.com/en-us/about/newsroom/stories/research/icymi-emotet-reappeared-early-this-year-unfortunately.html

---

4 研究人员披露SuperBear远控木马

一场可能针对韩国民间社会团体的新网络钓鱼攻击导致发现了一种名为SuperBear的新型远程访问木马。这次入侵特别针对一名匿名的活动人士，他于 2023 年 8 月下旬联系到他，并从冒充该组织成员的地址收到了恶意 LNK文件。LNK 文件在执行时会启动 PowerShell 命令来执行 Visual Basic 脚本，该脚本又会从合法但遭到入侵的 WordPress 网站获取下一阶段的有效负载。这包括 Autoit3.exe 二进制文件（“solmir.pdb”）和使用前者启动的 AutoIt 脚本（“solmir_1.pdb”）。AutoIt 脚本本身使用进程空洞技术执行进程注入，其中恶意代码被插入到处于挂起状态的进程中。在这种情况下，会生成一个 Explorer.exe 实例来注入一种前所未见的 RAT（称为 SuperBear），该 RAT 与远程服务器建立通信以窃取数据、下载并运行其他 shell 命令和动态链接库 (DDL) 。

https://interlab.or.kr/archives/19416

---

5 AlphV勒索软件组织称针对乔治亚县进行攻击

AlphV勒索软件组织（也称为 BlackCat）声称对佐治亚州一个大县发动了攻击，该地距亚特兰大约一小时车程。福赛斯县官员承认六月发生过袭击事件，但没有提供有关所发生事件的细节。周二，AlphV 团伙声称对此次袭击负责，并将该县添加到其泄露站点，并威胁要公开 350GB 据称被盗的数据。该县于 6 月份发出了违规通知信，警告该县超过 250000 名居民，文件在未遂攻击期间从县服务器中被删除。完成审查后，他们发现社会安全号码和驾驶执照号码被盗。调查人员搜索了暗网，没有发现任何迹象表明这些数据已被出售。AlphV 周二声称拥有社会安全号码、财务报告、保险信息、贷款申请、商业协议等。

https://therecord.media/forsyth-county-georgia-ransomware-alphv-post?&web_view=true

---

6 悉尼大学遭遇数据泄露影响近日申请者

悉尼大学 (USYD) 宣布，第三方服务提供商的违规行为泄露了最近申请和注册的国际申请者的个人信息。这所公立大学于 1850 年开始运营，拥有近 70000 名学生和约 8500 名学术和行政人员。它被认为是澳大利亚最重要的教育机构之一。在数据泄露公告中，该大学表示该事件的影响有限，初步调查没有发现任何证据表明当地学生、教职员工或校友受到了影响。公开披露的信息并未说明违规事件发生的时间或哪些第三方服务遭到黑客攻击。目前，还没有关于 USYD 系统中断的公告，但是，学生应保持警惕并谨慎对待未经请求的通信。

https://www.sydney.edu.au/students/keeping-your-information-safe.html

---