每日安全简讯(20231007)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客攻击韩国造船业窃取军事机密

韩国国家情报院观察到朝鲜黑客在八月和九月对韩国造船厂进行了“密集的黑客攻击”。该机构表示，它正在向造船商通报其系统和网络受到的威胁，并建议主要造船厂进行独立的安全审计，以堵塞数字基础设施中的安全漏洞。韩国国家情报局没有透露目标造船厂的名称，但表示，国家支持的黑客向目标造船厂的内部员工发送了网络钓鱼电子邮件，试图将恶意代码安装到他们的系统中。微软在9月的东亚威胁报告中表示，自2023年1月以来，朝鲜黑客组织还对巴西、捷克共和国、芬兰、意大利、挪威和波兰的国防公司进行了网络攻击，以提高该国的军事能力。

https://www.nis.go.kr:4016/resources/synap/skin/doc.html?fn=NIS_FILE_1696403626891

---

2 研究人员揭露新型安卓木马GoldDigger的攻击手法

研究人员近日对一种新型的安卓木马GoldDigger进行了深入的分析。该木马主要针对越南的金融机构，通过伪装成合法的应用程序，诱骗用户下载并授予相关权限，从而窃取用户的银行账户信息和短信验证码。研究人员在6月份首次发现了GoldDigger，并在8月份观察到了其活动的增加。研究人员发现，GoldDigger使用了多个域名来分发恶意软件，并使用了多个C2服务器来与受感染的设备通信。他们还发现，GoldDigger使用了一种名为“Android Binder”的技术，将自身与其他应用程序捆绑在一起，以避免被安全软件检测到。此外，GoldDigger还具有自我删除和自我更新的功能，以适应不断变化的环境。研究人员指出，GoldDigger目前主要针对越南的金融机构，但其代码中包含了其他国家和地区的金融应用程序的名称，表明其开发者可能计划扩大攻击范围。

https://www.group-ib.com/blog/golddigger-fraud-matrix/

---

3 美国警方追回被巴基斯坦加密货币诈骗者窃取的300万美元

美国警方近日成功追回了一笔被巴基斯坦诈骗团伙盗走的加密货币，价值约300万美元。这是一起涉及多个国家和地区的跨国网络诈骗案，受害者包括美国、英国、澳大利亚、加拿大、新西兰、印度等居民。诈骗团伙利用电话、电子邮件和社交媒体等方式，冒充政府机构或知名公司的工作人员，向受害者索要加密货币或其他财产，声称他们涉嫌洗钱或逃税等罪行。诈骗团伙还使用了虚假的网站、文件和证件，以增加其可信度。美国警方在与其他国家和地区的执法机构合作下，成功追踪了诈骗团伙的加密货币钱包地址，并通过法院命令将其冻结和没收。目前，已有两名巴基斯坦籍嫌疑人被捕，另有多名嫌疑人在逃。

https://www.hackread.com/us-police-recover-3m-pakistani-crypto-scammers/

---

4 Qakbot黑客团伙传播Ransom Knight勒索软件

Qakbot恶意软件背后的威胁行为者自2023年8月初以来一直在开展活动，通过网络钓鱼电子邮件分发Ransom Knight勒索软件和Remcos后门。研究人员将此新活动归因于Qakbot附属机构，因为此活动中使用的LNK文件中发现的元数据与之前Qakbot活动“AA”和“BB”中使用的机器的元数据相匹配。由于这项新行动自2023年8月初以来一直在持续，并且在被关闭后并未停止，因此研究人员认为FBI行动并未影响Qakbot的网络钓鱼电子邮件传送基础设施，而仅影响其命令和控制服务器。鉴于Qakbot活动仍然活跃，他们可能会选择重建Qakbot基础设施，以完全恢复其拆除前的活动。

https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/

---

5 Lyca Mobile遭网络攻击导致服务中断

Lyca Mobile是一家总部位于英国的国际移动虚拟网络运营商，拥有数百万客户。近日，该公司遭受了一场网络攻击，导致其服务在多个国家出现中断。该公司在其官方网站上发布了一份声明，承认了这一安全事件，并表示正在紧急调查是否有客户的个人信息在攻击中被泄露。该公司表示，它相信所有的记录都是完全加密的，但没有透露使用的加密算法的细节。目前，还不清楚攻击者的身份和动机，以及数据泄露的范围和影响。Lyca Mobile称，它已经恢复了大部分的移动通信服务，但仍有一些运营服务在某些受影响的地区尚未恢复。

https://www.lycamobile.co.uk/en/announcement

---

6 Lorenz勒索软件团伙自身泄露两年的联系人数据

Lorenz勒索软件团伙是一群自2021年2月起活跃的网络犯罪分子，他们采用双重勒索的手段，即在加密受害者的文件之前，先窃取数据，并威胁如果不支付赎金，就会在暗网上泄露数据。他们主要针对美国、中国和墨西哥的中小型企业，利用Mitel的VoIP漏洞(CVE-2022-29499)等关键漏洞进行攻击。然而，Lorenz团伙最近却陷入了自身数据泄露的尴尬境地。研究人员发现，Lorenz团伙的暗网博客泄露了后端代码，并将数据从网站上拉取下来，上传到了一个公开的GitHub仓库。这些数据包括了过去两年内通过其在线联系表单联系他们的每个人的姓名、电子邮件地址和主题。据该研究人员称，这次泄露是由于Lorenz团伙错误配置了他们的Apache2服务器，导致他们的登录表单泄露了后端PHP代码。在泄露的数据中，有一部分人被《The Register》联系到，并且都证实了他们曾在过去两年内联系过Lorenz团伙。这些数据涉及到2021年6月3日至2023年9月17日之间的联系记录，也就是该联系表单出现故障的日期。

https://www.theregister.com/2023/10/05/lorenz_ransomware_group_leaks_details/

---