每日安全简讯(20230922)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者利用商业软件Remcos和GuLoader进行网络攻击

标榜合法的软件已成为网络犯罪分子的首选武器。此行为的两个著名示例是 Remcos RAT（远程管理工具）和 GuLoader（也称为 CloudEyE Protector）。这些程序被定位为合法工具，经常被用于攻击，并在最流行的恶意软件排名中占据前列。虽然卖家声称这些工具只能合法使用，但更深层次的事实是，他们的主要客户正是网络犯罪分子。由于 Remcos 很容易被防病毒解决方案检测到，因此很难用于犯罪目的。但是，GuLoader 可用于帮助 Remcos 绕过防病毒保护。研究人员发现 GuLoader 现在在与 Remcos 相同的平台上以新名称出售，并被隐式宣传为加密程序，使其有效负载完全无法被防病毒软件 (FUD) 检测到。

https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos/

---

2 攻击者针对Celsius加密货币破产案的索赔人发起钓鱼攻击

诈骗者冒充加密货币贷款机构 Celsius 的破产索赔代理人进行网络钓鱼攻击，试图从加密货币钱包中窃取资金。2022 年 7 月，加密货币贷款机构 Celsius 申请破产并冻结用户账户提款。此后，客户向该公司提出索赔，希望收回部分资金。在过去的几天里，用户报告说收到了冒充来自 Celsius 破产程序索赔代理人 Stretto 的网络钓鱼电子邮件。如果您收到一封声称与摄氏度有关的电子邮件，请忽略它，并在合法的网站上检查该案件的最新更新  。不幸的是，如果您已经访问过这些网络钓鱼网站之一，并且在连接钱包后丢失了资金或 NFT，则可能无法恢复您的资产。

https://twitter.com/search?q=%22case-stretto.com%22&src=typed_query&f=top

---

3 攻击者针对国际刑事法院网络系统发起网络攻击活动

国际刑事法院（ICC）上周发现其系统遭到破坏后，于周二披露了一起网络攻击事件。国际刑事法院表示，上周末，国际刑事法院的服务部门检测到影响其信息系统的异常活动。他们立即采取措施应对这一网络安全事件并减轻其影响。该公司表示，由于荷兰是国际刑事法院的东道国，目前正在荷兰当局的协助下调查这一事件。国际商会还概述了加大力度加强网络安全防御的计划，包括加快云技术的采用。目前，还没有关于网络攻击的性质和对国际刑事法院系统的影响程度的信息，也没有关于犯罪者是否设法从其网络访问或窃取任何数据或文件的信息。法院仅透露，他们将继续分析和减轻这一事件的影响，重点是确保法院的核心工作继续进行。

https://twitter.com/IntlCrimCourt/status/1704118503630872887

---

4 研究人员披露基于Rust的恶意软件针对阿塞拜疆发起攻击活动

研究人员正在以 Operation Rusty Flag 的名义追踪此次行动。位于阿塞拜疆的目标已被挑选为新活动的一部分，该活动旨在在受感染的系统上部署基于 Rust 的恶意软件。它尚未与任何已知的攻击者或组织相关联。该操作至少有两个不同的初始访问向量。这次行动中使用的诱饵之一是 Storm-0978 组织使用的一份修改过的文件。这可能是故意的‘假旗’。这一行动看起来像是一次故意的虚假标记，试图将此次攻击归咎于 Storm-0978。Rust 后门（其中之一伪装为“WinDefenderHealth.exe”）具有从受感染主机收集信息并将其发送到攻击者控制的服务器的功能。

https://www.deepinstinct.com/blog/operation-rusty-flag-a-malicious-campaign-against-azerbaijanian-targets

---

5 GitLab提示用户安装针对关键管道漏洞的安全更新

GitLab 发布了安全更新，以解决一个严重严重的漏洞，该漏洞允许攻击者通过计划的安全扫描策略以其他用户的身份运行管道。GitLab 是一个流行的基于网络的开源软件项目管理和工作跟踪平台，提供免费和商业版本。该漏洞被指定为 CVE-2023-5009  （CVSS v3.1 评分：9.6），影响 GitLab 社区版 (CE) 和企业版 (EE) 版本 13.12 至 16.2.7 以及版本 16.3 至 16.3.4。在用户不知情或没有权限的情况下冒充用户来运行管道任务（一系列自动化任务）可能会导致攻击者访问敏感信息或滥用被冒充用户的权限来运行代码、修改数据或触发 GitLab 系统内的特定事件。考虑到 GitLab 是用来管理代码的，这种妥协可能会导致知识产权丢失、破坏性数据泄露、供应链攻击和其他高风险场景。GitLab 的公告强调了该漏洞的严重性，敦促用户立即应用可用的安全更新。

https://about.gitlab.com/releases/2023/09/18/security-release-gitlab-16-3-4-released/

---

6 研究人员披露FIN12勒索软件组织攻击活动

2023 年 3 月 9 日星期四，研究人员发布布雷斯特大学医院中心 (CHU) 的一台服务器遭到入侵报告。卫生机构的响应能力使得能够快速将信息系统与互联网隔离，并阻碍攻击者作案手法（MOA）的进展，从而防止数据外泄和信息系统的加密“信息”。研究人员发现了与在法国周边观察到并在公开来源中报告的一系列事件的联系，从而将这次攻击与 FIN12 网络犯罪作案手法联系起来。FIN12 的运营商对法国领土上发生的大量勒索软件攻击负有责任。 2020 年至 2023 年间，他们会先使用 Ryuk，然后使用 Conti 勒索软件，然后再参与 Hive、BlackCat 和 Nokoyawa 勒索软件的勒索软件即服务 (RaaS) 计划。据称他们还使用了 Play 和 Royal 勒索软件。

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-007.pdf

---