每日安全简讯(20230906)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露Gamaredon组织乌克兰反攻期间的活动

研究人员发布了威胁趋势的新报告，分析了 Gamaredon 组织在乌克兰反攻前夕的活动增长情况。在军事行动新阶段的背景下，俄罗斯集团的活动日益增多。特别是试图窃取秘密军事信息的活动。在乌克兰反攻之前，Gamaredon 组织准备了基础设施 - 我们看到网络攻击数量显着增加。Gamaredon 组织使用从受损组织窃取的合法文档来感染受害者。这些文件通常伪装成报告或官方通讯，增加了成功攻击的可能性。Gamaredon 组织使用 Telegram 和 Telegraph 等合法服务进行秘密网络通信。该组织的恶意软件库包括 GammaDrop、GammaLoad、GammaSteel、LakeFlash 和 Pterodo。

https://www.rnbo.gov.ua/files/2023_YEAR/CYBERCENTER/%D0%90%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D1%96%D1%81%D1%82%D1%8C%20%D1%83%D0%B3%D1%80%D1%83%D0%BF%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8F.pdf

---

2 研究人员披露RemcosRat恶意软件

研究人员观察到 Remcos RAT 活动，其中恶意 VBS 文件通过网络钓鱼电子邮件传递。网络钓鱼电子邮件包含 ZIP/RAR 附件。在这个 ZIP 中，有一个严重混淆的 VBS 文件。 Remcos 是一种复杂的 RAT，它为攻击者提供对受感染系统的后门访问并收集各种敏感信息。Remcos 结合了不同的混淆和反调试技术来逃避检测。RemcosRat是一种复杂的多阶段威胁。研究人员解开了该恶意软件如何下载和执行 VBS 和 PowerShell 脚本；威胁如何解开不同层并下载最终的 Remcos 远程访问负载。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/peeling-back-the-layers-of-remcosrat-malware/?&web_view=true

---

3 LogicMonitor客户因使用默认密码而遭到黑客攻击

网络安全公司 LogicMonitor 的一些客户因使用默认密码而遭到黑客攻击。LogicMonitor 发言人在一份声明中表示，目前正在解决影响少数客户的安全事件。我们正在与这些客户直接沟通并密切合作，采取适当措施减轻影响。该事件的起因是，直到本周，LogicMonitor 还在为客户分配默认的弱密码，例如“Welcome@”加上一个短号码。当你使用 [LogicMonitor] 设置帐户时，他们会定义一个默认密码，并且你的组织或帐户的所有用户帐户都使用该密码创建。现在该公司设置密码的有效期为 30 天，首次登录时必须更改。

https://techcrunch.com/2023/08/31/logicmonitor-customers-hit-by-hackers-because-of-default-passwords/?&web_view=true

---

4 攻击者针对MS SQL服务器部署FreeWorld勒索软件

攻击者正在利用安全性较差的 Microsoft SQL (MS SQL) 服务器来传播 Cobalt Strike 和名为 FreeWorld 的勒索软件病毒。研究人员将该活动称为“DB#JAMMER”，表示该活动因其工具集和基础设施的使用方式而脱颖而出。其中一些工具包括枚举软件、RAT 有效负载、漏洞利用和凭证窃取软件，最后是勒索软件有效负载。选择的勒索软件有效负载似乎是 Mimic 勒索软件的新变种，称为 FreeWorld。对受害主机的初始访问是通过暴力破解 MS SQL 服务器来实现的，使用它来枚举数据库并利用 xp_cmdshell配置选项来运行 shell 命令并进行侦察。下一阶段需要采取措施削弱系统防火墙并通过连接到远程 SMB 共享来与受害者系统传输文件以及安装 Cobalt Strike 等恶意工具来建立持久性。据称，未知攻击者还尝试通过 Ngrok 建立 RDP 持久性，但未成功。

https://www.securonix.com/blog/securonix-threat-labs-security-advisory-threat-actors-target-mssql-servers-in-dbjammer-to-deliver-freeworld-ransomware/

---

5 VMware Aria SSH身份验证绕过漏洞的POC发布

针对最近披露并修补的影响 VMware Aria Operations for Networks（以前称为 vRealize Network Insight）的关键缺陷，已提供概念验证 (PoC) 漏洞利用代码。该缺陷的编号为CVE-2023-34039，严重程度为 9.8 分（满分 10 分），并被描述为由于缺乏唯一加密密钥生成而导致身份验证绕过的情况。具有 Aria Operations for Networks 网络访问权限的恶意行为者可以绕过 SSH 身份验证来访问 Aria Operations for Networks CLI。研究人员在分析了 VMware 发布的补丁后发布了 PoC，他表示根本原因可以追溯到包含名为 refresh_ssh_keys() 的方法的 bash 脚本，该方法负责覆盖当前的 SSH 密钥支持和ubuntu用户在authorized_keys文件中。

https://kb.vmware.com/s/article/94152

---

6 高尔夫装备公司Callaway数据泄露影响110万条信息

Topgolf Callaway（卡拉威）在8月初遭遇数据泄露，导致超过100万客户的敏感个人和账户数据被泄露。Callaway 是一家美国运动器材制造商和销售商，专注于高尔夫装备和配件，如球杆、球、包、手套和帽子。该公司业务遍及全球 70 多个国家，年收入超过 12 亿美元。它拥有大约 25000 名员工。在2023 年 8 月 29 日发送给受影响个人的信中，该公司解释说，8 月 1 日发生的 IT 系统事件影响了其电子商务服务的可用性，并将某些客户信息泄露给未经授权的攻击者。受损的客户数据包括：姓名、送货地址、电子邮件地址、电话号码、订单历史记录、账户密码、安全问题的答案。该事件影响了美国 1114954 人的个人数据。该通知澄清，支付卡信息、政府身份证或社会安全号码 (SSN) 并未因该事件而泄露。

https://www.documentcloud.org/documents/23933628-topgolf-callaway-me-app-sample?responsive=1&title=1

---