每日安全简讯(20230913)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Charming Kitten组织利用Sponsor后门发起网络攻击

伊朗组织Charming Kitten使用先前未记录的名为 Sponsor 的后门针对巴西、以色列和阿联酋不同实体的发起了新一波攻击。该组织主要针对教育、政府和医疗保健组织，以及人权活动家和记者。Sponsor 后门使用存储在磁盘上的配置文件。这些文件是通过批处理文件谨慎部署的，并故意设计成无害的，从而试图逃避扫描引擎的检测。该活动被称为“Sponsoring Access”，涉及通过机会性地利用暴露于互联网的 Microsoft Exchange 服务器中的已知漏洞来执行妥协后的操作，从而获得初始访问权限，这与澳大利亚、英国和美国于 2021 年 11 月发布的建议相呼应。在研究人员详细介绍的一起事件中，据称一家经营保险市场的身份不明的以色列公司于 2021 年 8 月被对手渗透，以提供下一阶段的有效负载，例如 PowerLess、Plink 和基于 Go 的开源后利用程序在接下来的几个月中，将推出名为Merlin 的工具包。

https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/

---

2 黑客利用Facebook Messenger针对10万个企业帐户发起钓鱼攻击

黑客利用由虚假和受损的 Facebook 帐户组成的庞大网络，发送数百万条 Messenger 网络钓鱼消息，以窃取密码的恶意软件瞄准 Facebook 企业帐户。攻击者诱骗目标下载 RAR/ZIP 存档，其中包含一个基于 Python 的规避性窃取程序的下载器，该窃取程序会抓取受害者浏览器中存储的 cookie 和密码。研究人员警告说，大约七十个目标帐户中就有一个最终受到损害，从而导致巨大的财务损失。黑客首先向 Facebook 企业帐户发送 Messenger 网络钓鱼消息，假装侵犯版权或请求提供有关产品的更多信息。附加的存档包含一个批处理文件，如果执行该文件，则会从 GitHub 存储库获取恶意软件植入程序，以逃避阻止列表并最大程度地减少独特痕迹。除了有效负载 (project.py) 之外，批处理脚本还获取信息窃取恶意软件所需的独立 Python 环境，并通过将窃取程序二进制文件设置为在系统启动时执行来增加持久性。project.py 文件具有五层混淆功能，这使得 AV 引擎很难 捕获威胁。该恶意软件将受害者网络浏览器上存储的所有 cookie 和登录数据收集到名为“Document.zip”的 ZIP 存档中。然后，它通过 Telegram 或 Discord bot API 将窃取的信息发送给攻击者。最后，窃取者会擦除受害者设备上的所有 cookie，以将其从帐户中注销，从而使诈骗者有足够的时间通过更改密码来劫持新被盗用的帐户。由于社交媒体公司可能需要一段时间才能回复有关被劫持帐户的电子邮件，因此威胁行为者有时间利用被黑客入侵的帐户进行欺诈活动。

https://labs.guard.io/mrtonyscam-botnet-of-facebook-users-launch-high-intent-messenger-phishing-attack-on-business-3182cfb12f4d

---

3 新型WiKI-Eve攻击可通过WiFi窃取数字密码

一种名为“WiKI-Eve”的新攻击可以拦截连接到现代 WiFi 路由器的智能手机的明文传输，并以高达 90% 的准确率推断出单个数字击键，从而使数字密码被窃取。WiKI-Eve 利用 BFI（波束成形反馈信息），这是 2013 年随 WiFi 5 (802.11ac) 引入的一项功能，它允许设备向路由器发送有关其位置的反馈，以便后者可以更准确地引导其信号。BFI 的问题在于，信息交换包含明文形式的数据，这意味着这些数据可以被拦截并轻松使用，而无需硬件黑客攻击或破解加密密钥。这个安全漏洞是由中国和新加坡的一组大学研究人员发现的，他们测试了从这些传输中检索潜在秘密的过程。该团队发现，90% 的情况下识别数字击键相当容易，破译 6 位数字密码的准确度为 85%，计算出复杂的应用程序密码的准确度约为 66%。虽然这种攻击仅适用于数字密码，但NordPass 的一项研究表明，最常见的 20 个密码中有 16 个仅使用数字。WiKI-Eve 攻击旨在在密码输入期间拦截 WiFi 信号，因此它是一种实时攻击，必须在目标主动使用智能手机并尝试访问特定应用程序时执行。攻击者必须使用网络上的身份指示符（例如 MAC 地址）来识别目标，因此需要一些准备工作。在攻击的主要阶段，攻击者使用 Wireshark 等流量监控工具捕获受害者输入密码期间的 BFI 时间序列。每次用户按下按键时，都会影响屏幕后面的 WiFi 天线，从而生成独特的 WiFi 信号。论文强调，记录的 BFI 系列可能会模糊击键之间的界限，因此他们开发了一种用于解析和恢复可用数据的算法。

https://arxiv.org/pdf/2309.03492.pdf

---

4 谷歌修复了一个可被攻击利用的Chrome零日漏洞

谷歌发布了紧急安全更新，以修复今年年初以来第四个被攻击利用的 Chrome 零日漏洞。该公司在周一发布的安全公告中透露，谷歌意识到 CVE-2023-4863 的漏洞存在  。新版本目前正在向稳定版和扩展稳定版渠道的用户推出，预计将在未来几天或几周内覆盖整个用户群。建议 Chrome 用户尽快将网络浏览器升级到版本 116.0.5845.187（Mac 和 Linux）和 116.0.5845.187/.188（Windows），因为它修复了 Windows、Mac 和 Linux 上的 CVE-2023-4863 漏洞。 Linux系统。研究人员通过 Chrome 菜单 > 帮助 > 关于 Google Chrome 检查新更新时，此更新立即可用。Web 浏览器还将检查新更新并在重新启动后自动安装它们，无需用户交互。虽然谷歌表示 CVE-2023-4863 零日漏洞已在野外被利用，但该公司尚未分享有关这些攻击的更多细节。在大多数用户更新修复程序之前，对错误详细信息和链接的访问可能会受到限制。这意味着 Chrome 用户可以在发布其他技术细节之前更新其浏览器以阻止攻击，这可能允许更多威胁行为者创建自己的漏洞并在野外部署它们。

https://thehackernews.com/2023/09/google-rushes-to-patch-critical-chrome.html

---

5 米高梅度假村在网络攻击后被迫关闭IT系统

米高梅国际酒店集团 (MGM Resorts International) 今天披露，该公司正在处理影响其部分系统的网络安全问题，包括其主要网站、在线预订以及 ATM 机、老虎机和信用卡机等赌场内服务。“米高梅度假村最近发现了一个影响公司部分系统的网络安全问题，”该公司在 X（以前称为 Twitter）上的个人资料页面上宣布。该公司表示， 在发现问题后立即开始调查，“并立即采取行动保护我们的系统和数据，包括关闭某些系统。”停电似乎是从周日晚上开始的，度假村的计算机系统目前已关闭。网上报道指出，该公司转为手动操作，物业上的 ATM 机和信用卡机都受到了影响。米高梅度假村的主网站也已关闭，目前通知客户可以通过电话“在我们的任何目的地”预订酒店。

https://twitter.com/MGMResortsIntl/status/1701256032369164399

---

6 支付处理公司Square称服务中断是因DNS故障而非网络攻击

支付处理公司 Square 表示，上周发生的大范围中断导致该公司大部分基础设施瘫痪，原因是 DNS 问题。长达 14 小时的中断影响了 Square 支付受理和其他服务，并导致客户从周四中午左右开始无法登录帐户或处理付款。许多客户报告称，由于在此期间无法处理付款，他们损失了数千美元的销售额。Square 的工程团队在官方状态页面的最终更新中表示，这些问题已于 7 月 8 日凌晨得到解决，建议客户访问该公司的支持中心和卖家社区，以获取“常见问题”的答案。虽然 Square 没有在停机期间或停机后不久提供任何信息，说明停机原因，但他们最终在周一发布了一份声明，表示停机是由 DNS 配置错误引起的。该公司今天表示，这次中断影响了我们基础设施的一个重要部分，即域名系统 (DNS)。在对我们的内部网络软件进行多项标准更改时，更新的组合使我们的系统无法正常相互通信，并最终导致了中断。该问题还影响了我们许多用于故障排除和支持的内部工具，使其暂时无法使用。没有证据表明这是网络安全事件，也没有证据表明任何卖家或买家的数据因中断而受到损害。继上周事件之后，Square 表示，它部署了一些 DNS 服务器和防火墙更改，以防止类似问题的发生，并限制未来出现中断的风险。

https://www.issquareup.com/incidents/06zffytdqjdz

---