每日安全简讯(20230920)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT36组织利用伪造的YouTube应用程序感染安卓设备

APT36 黑客组织（又名“透明部落”）使用至少三个模仿 YouTube 的 Android 应用程序，通过其签名远程访问木马“CapraRAT”感染设备。一旦恶意软件安装在受害者的设备上，它就可以收集数据、记录音频和视频或访问敏感通信信息，本质上就像间谍软件工具一样运行。APT36 是一个与巴基斯坦结盟的 APT 组织，以使用恶意或带有恶意的 Android 应用程序攻击印度国防和政府实体、处理克什米尔地区事务的机构以及巴基斯坦的人权活动人士为主要目的。恶意 APK 在 Android 官方应用商店 Google Play 之外分发，因此受害者很可能是通过社交工程下载并安装它们的。这些 APK 于 2023 年 4 月、7 月和 8 月上传到 VirusTotal，其中两个被称为“YouTube”，一个被称为“Piya Sharma”，与可能用于浪漫策略的角色的频道相关。在安装过程中，恶意软件应用程序会请求大量有风险的权限，其中一些权限受害者可能会毫不怀疑地对待 YouTube 等媒体流应用程序。

https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/

---

2 攻击者使用NodeStealer恶意软件针对Facebook企业帐户发起攻击

研究人员披露一项正在进行的活动正在针对 Facebook Business 帐户发送虚假消息，使用基于 Python 的NodeStealer 变体获取受害者的凭据，并可能接管他们的帐户以进行后续恶意活动。这些攻击的受害者主要分布在南欧和北美的不同领域，其中以制造服务和技术行业为首。研究人员于 2023 年 5 月首次记录 NodeStealer，它最初是一种 JavaScript 恶意软件，能够从网络浏览器窃取 cookie 和密码，从而危害 Facebook、Gmail 和 Outlook 帐户。这些档案配有批处理脚本，执行时会打开 Chrome 网络浏览器并将受害者带到良性网页。但在后台，会运行 PowerShell 命令来检索其他有效负载，包括 Python 解释器和 NodeStealer 恶意软件。窃取者除了从各种网络浏览器捕获凭据和 cookie（无论是否来自 Facebook）之外，还旨在收集系统元数据并通过 Telegram 窃取信息。

https://www.netskope.com/blog/new-python-nodestealer-goes-beyond-facebook-credentials-now-stealing-all-browser-cookies-and-login-credentials?web_view=true

---

3 软件开发公司Retool遭遇钓鱼攻击影响27个云客户端

软件开发公司 Retool 披露，其 27 名云客户的账户在一次有针对性的基于短信的社会工程攻击后遭到泄露。这家总部位于旧金山的公司指责2023 年 4 月最近推出的Google 帐户云同步功能使泄露事件变得更严重，称其为“黑暗模式”。该公司工程主管称，Google Authenticator 同步到云端的事实是一种新颖的攻击媒介。该公司最初实施的是多重身份验证。但通过这次 Google 更新，以前的多重身份验证已悄然变成了单因素身份验证。该事件发生于 2023 年 8 月 27 日，不允许对本地或托管帐户进行未经授权的访问。与此同时，该公司将登录迁移到 Okta。这一切都始于针对其员工的短信网络钓鱼攻击，攻击者伪装成 IT 团队成员，指示收件人单击看似合法的链接来解决与工资相关的问题。一名员工落入网络钓鱼陷阱，导致他们进入虚假的登陆页面，诱骗他们交出凭据。在攻击的下一阶段，黑客打电话给该员工，再次冒充 IT 团队人员，通过深度伪造他们的“真实声音”来获取多重身份验证 (MFA) 代码。

https://retool.com/blog/mfa-isnt-mfa/

---

4 BlackCat勒索软件利用Sphynx加密器攻击Azure云存储

BlackCat (ALPHV) 勒索软件团伙现在使用被盗的 Microsoft 帐户和最近发现的 Sphynx 加密器来加密目标的 Azure 云存储。在调查最近的一次违规行为时，Sophos X-Ops 事件响应人员发现攻击者使用了新的 Sphynx 变体，并增加了对使用自定义凭据的支持。 使用被盗的一次性密码获得对 Sophos Central 帐户的访问权限后，他们禁用了防篡改功能并修改了安全策略。使用 LastPass Chrome 扩展从受害者的 LastPass 金库窃取 OTP 后，可以执行这些操作。随后，他们加密了 Sophos 客户的系统和远程 Azure 云存储，并将 .zk09cvt 扩展名附加到所有锁定的文件中。勒索软件运营商总共可以成功加密 39 个 Azure 存储帐户。他们使用被盗的 Azure 密钥渗透到受害者的 Azure 门户，该密钥使他们能够访问目标存储帐户。攻击中使用的密钥在使用 Base64 编码后被注入到勒索软件二进制文件中。在整个入侵过程中，攻击者还使用了 AnyDesk、Splashtop 和 Atera 等多种远程监控和管理工具。

https://infosec.exchange/@SophosXOps/111059622083722634

---

5 UNC3944组织将其战略重点转向勒索软件攻击

出于经济动机的攻击者UNC3944正在转向部署勒索软件，作为其货币化战略扩展的一部分。UNC3944 组织表现出更专注于窃取大量敏感数据以用于勒索目的，而且他们似乎了解西方的商业惯例，这可能是由于该组织的地理构成所致。UNC3944 还始终依赖公开可用的工具和合法软件以及地下论坛上可购买的恶意软件。该组织也被称为 0ktapus、Scatter Swine 和 Scattered Spider，自 2022 年初以来一直活跃，采用基于电话的社交工程和基于短信的网络钓鱼，使用虚假登录页面获取员工的有效凭据并渗透到受害者中组织。虽然该组织最初专注于电信和业务流程外包 (BPO) 公司，但后来将其目标扩大到酒店、零售、媒体和娱乐以及金融服务，这说明威胁日益严重。该组织的关键特征是，他们会利用受害者的凭据冒充员工拨打组织的服务台，试图获取多重身份验证 (MFA) 代码和/或密码重置。

https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware

---

6 LOCKBIT勒索软件组织针对两家纽约医院发起网络攻击

Lockbit 勒索软件组织声称入侵了两家主要医院：迦太基地区医院和克拉克斯顿-赫本医疗中心。这两家医院为纽约州北部的数十万人提供服务。这次网络攻击发生在八月底，过去几周对两家医院造成了严重影响。电话系统于 9 月 2 日恢复，但网络攻击影响了其他几项服务。作为预防措施，迦太基和克拉克斯顿的急诊室已被转移，患者被劫持到其他地区医院，大部分预约也被重新安排。两家医院仍在努力从网络攻击中恢复过来。本周，LockBit 勒索软件组织将这些医院添加到了其 Tor 泄露站点中。该组织声称，如果受害者不支付赎金，他们将在 2023 年 9 月 19 日之前公布涉嫌被盗的数据。目前，该组织尚未发布任何涉嫌被盗数据的样本作为黑客攻击的证据。

https://securityaffairs.com/150835/cyber-crime/lockbit-ransomware-carthage-area-hospital.html?web_view=true

---