每日安全简讯(20231002)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 OilRig组织使用Menorah恶意软件进行网络钓鱼攻击

研究人员披露由伊朗支持的名为OilRig的复杂网络攻击者与鱼叉式网络钓鱼活动有关，该活动用一种名为 Menorah 的新型恶意软件感染受害者。该恶意软件是为网络间谍活动而设计的，能够识别机器、从机器读取和上传文件，以及下载另一个文件或恶意软件。尽管诱饵的使用表明至少其中一个目标是位于沙特阿拉伯的一个组织，但目前尚不清楚这些攻击的受害者情况。OilRig 还以 APT34、Cobalt Gypsy、Hazel Sandstorm 和 Helix Kitten 等名称进行追踪，OilRig是伊朗的一个高级持续威胁 (APT) 组织，专门从事秘密情报收集行动，以渗透到目标网络并维持访问。在研究人员记录的最新感染链中，诱饵文档用于创建持久性计划任务并删除可执行文件（“Menorah.exe”），该可执行文件与远程服务器建立联系以等待进一步的指令。命令和控制服务器当前处于非活动状态。

https://www.trendmicro.com/en_us/research/23/i/apt34-deploys-phishing-attack-with-new-malware.html

---

2 攻击者针对豪华酒店目标进行持续性社会工程攻击

研究人员跟踪精心设计的创新社会工程攻击，该攻击针对酒店业，以传播高级信息窃取恶意软件。该活动利用侦察电子邮件和即时消息来诱骗接待电子邮件地址进行响应。一旦对话开始，威胁行为者就会发送一封网络钓鱼电子邮件。该活动使用了几种经过验证的方法来绕过电子邮件安全基础设施，这使目标面临复杂的信息窃取恶意软件的风险，例如 RedLine Stealer、Vidar Stealer、Stealc 等，其中大多数可以在成功感染主机后部署勒索软件。截至目前，该活动仅针对酒店业，主要针对豪华连锁酒店和度假村，并使用与该行业相关的诱惑，例如预订请求、预订更改和特殊要求。侦察电子邮件和网络钓鱼电子邮件的诱饵相应匹配。

https://cofense.com/blog/luxury-hotels-remain-target-of-social-engineering-attack/

---

3 研究人员披露新型ZeroFont网络钓鱼技术

攻击者正在利用一种新技巧，即在电子邮件中使用零点字体，使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。正在利用一种新技巧，即在电子邮件中使用零点字体，使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。正在利用一种新技巧，即在电子邮件中使用零点字体，使恶意电子邮件看起来像是被 Microsoft Outlook 中的安全工具安全扫描过的。研究人员发现的一封新的 网络钓鱼电子邮件中，威胁参与者使用 ZeroFont 攻击来操纵广泛使用的电子邮件客户端（例如 Microsoft Outlook）上的消息预览。相关电子邮件在 Outlook 电子邮件列表中显示的消息与预览窗格中显示的消息不同。

https://isc.sans.edu/diary/A+new+spin+on+the+ZeroFont+phishing+technique/30248/

---

4 ZenRAT远控木马通过虚假的Bitwarden密码管理器软件传播

研究人员近期发现一款称为ZenRAT的新型远控木马家族，该家族隐藏在虚假的软件安装程序中，已被发现的历史活动利用SEO中毒、广告软件捆绑或电子邮件进行传播。ZenRAT最初是在一个外表与Bitwarden密码管理器软件相关的虚假网站上发现的，该网站与真实的bitwarden非常相似，该家族甚至克隆了Scott Nesbitt 从Opensource上发表的一篇有关Bitwarden密码管理器的文章。该恶意软件是一种模块化远程访问木马 (RAT)，具有信息窃取功能，能够反沙箱、反虚拟机，专门针对Windows用户，如果Windows用户单击下载页面上标记为Linux或MacOS的下载链接，他们将被重定向到合法的 Bitwarden站点。

https://www.proofpoint.com/us/blog/threat-insight/zenrat-malware-brings-more-chaos-calm

---

5 谷歌将libwebp中的严重漏洞评定为最高危险级别

近日Google为libwebp安全漏洞分配了一个新的CVE编号(CVE-2023-5129)，该漏洞被用作攻击中的零日漏洞，漏洞存在于libwebp用于无损压缩的霍夫曼编码算法中，它使攻击者能够使用制作的恶意HTML页面执行越界内存写入。该漏洞由Apple安全工程与架构部门(SEAR)和多伦多大学Munk学院的公民实验室于9月6日星期三联合报告，不到一周后Google修复了该漏洞，安全咨询公司创始人Ben Hawke（曾领导Google零项目团队）还将CVE-2023-4863与Apple于9月7日解决的CVE-2023-41064漏洞联系起来。CVE-2023-5129被标记为libwebp中的严重问题，严重程度最高为10/10，并且针对libwebp开源库的更改将对使用libwebp的其他项目也具有重大影响。

https://nvd.nist.gov/vuln/detail/CVE-2023-4863

---

6 租赁公司Progressive Holdings遭遇勒索软件组织攻击

Progressive Holdings是一家专门从事产品租赁的知名公司，该公司在一份官方声明中透露存在攻击者成功渗透到该公司的系统，未经授权访问了大量机密数据，此后Progressive Holdings立即采取行动遏制此次违规行为，并寻求网络安全专家的帮助来调查该事件。AlphV/Black Cat勒索软件团伙在其泄密网站上援引该公司的公告，声称对此次攻击负责，该勒索组织以其激进的策略而闻名。据报道，被盗信息包括客户的个人详细信息、财务记录和专有业务数据。该事件促使Progressive Holdings加强网络安全措施并投资先进的防护技术，该公司还与执法机构密切合作，追查责任方并追究其责任。

https://www.cysecurity.news/2023/09/progressive-holdings-cyberattack.html

---