每日安全简讯(20231008)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lazarus组织洗钱9亿美元的加密货币

据研究人员表示，从2022年7月到2023年7月，朝鲜的Lazarus组织通过跨链犯罪非法洗掉了约9亿美元的加密货币。跨链犯罪是指将加密资产从一个代币或区块链转换到另一个，通常是在很短的时间内，以试图掩盖其来源，这是一种对于加密货币盗窃者来说非常有利的洗钱方法，也是混合器(mixer)等传统手段的替代方案。Lazarus组织利用跨链桥的方式导致了通过这种服务发送的资金比例增加了111%。该黑客组织估计自2023年6月以来已经窃取了近2.4亿美元的加密货币，这些资金来自于对Atomic Wallet(1亿美元)、CoinsPaid(3730万美元)、Alphapo(6000万美元)、Stake.com(4100万美元)和CoinEx(3100万美元)等平台的一系列攻击。该威胁行为者还被发现使用Avalanche Bridge存入了超过9500个比特币，同时使用跨链解决方案来转移一些被掠夺的资产。

https://www.elliptic.co/blog/record-7-billion-in-crypto-laundered-through-cross-chain-services

---

2 RMS Tools钓鱼活动仿冒禁用应用

RMS Tools是一款用于远程管理和监控系统的软件，但也被黑客用于窃取用户的敏感信息和控制其设备。最近，研究人员发现了一场新的RMS Tools钓鱼活动，该活动利用了一些被禁用或下架的应用程序，如TikTok、CamScanner、ShareIt等，来诱骗用户下载和安装RMS Tools。这些应用程序的图标和名称都被修改为与原始应用相似，但实际上都是RMS Tools的变种。一旦用户运行了这些应用程序，RMS Tools就会在后台安装并与黑客的服务器建立连接，从而使黑客能够访问用户的设备和数据。这种钓鱼活动主要针对印度、巴基斯坦、孟加拉国等亚洲国家的用户，因为这些国家曾经或正在禁止一些流行的应用程序。

https://cyble.com/blog/rms-tools-sneaky-comeback-phishing-campaign-mirroring-banned-applications/

---

3 WinRAR漏洞让非法内容消费者面临恶意软件风险

WinRAR是一款广泛使用的文件压缩和解压缩软件，支持多种压缩格式，如RAR、ZIP、CAB、ARJ、LZH、TAR、GZip、UUE、ISO、BZIP2、Z和7-Zip。最近，WinRAR修复了一个严重的远程代码执行漏洞(CVE-2023-40477)，该漏洞可能允许远程攻击者通过让用户打开一个恶意的压缩文件来在目标系统上执行任意代码。然而，研究人员发现了一些利用该漏洞来传播恶意软件的活动，这些恶意软件包括Apanyan Stealer、Murk Stealer和AsyncRAT。这些恶意软件都是用于窃取用户的敏感信息和远程控制其设备的工具，如密码、浏览器历史记录、剪贴板内容、屏幕截图等。这些利用WinRAR漏洞的活动主要针对那些消费非法内容的用户，如色情视频或盗版软件。攻击者通过伪装成这些非法内容的压缩文件来诱骗用户下载和打开它们，从而导致恶意软件的安装和运行。

https://cyble.com/blog/winrar-vulnerability-puts-illicit-content-consumers-at-risk-of-apanyan-stealer-murk-stealer-asyncrat/

---

4 华盛顿特区选举委员会网站被黑客入侵，60万条选民数据被盗

华盛顿特区选举委员会(DCBOE)在10月5日发现，一个名为RansomVC的黑客组织声称已经入侵了DCBOE的记录，并获取了60万条美国选民数据，其中包括华盛顿特区的选民记录。这些数据包括选民的姓名、地址、投票记录和党派隶属等信息。黑客组织还在暗网上出售这些数据，要价为0.5比特币(约合2.3万美元)。DCBOE表示，黑客是通过其网站托管服务商DataNet Systems的漏洞来访问选民记录的，但没有直接危及到DCBOE的内部数据库或服务器。DCBOE在发现入侵后，立即关闭了其网站，并用维护页面替换了原来的内容。DCBOE还进行了漏洞扫描和内部评估，并与数据安全和执法机构合作进行调查。目前，该事件仍在进一步调查中。

https://www.bleepingcomputer.com/news/security/dc-board-of-elections-confirms-voter-data-stolen-in-site-hack/

---

5 23andMe用户数据被盗，涉及数百万用户

23andMe是一家提供基因检测服务的公司，用户可以通过唾液样本来了解自己的遗传特征和健康风险。最近，该公司证实，其部分用户的数据被黑客窃取，并在黑客论坛上公开和出售。该公司表示，这是一次“凭证填充攻击”，即黑客利用其他网站泄露的用户名和密码来尝试登录23andMe的用户账户。该公司称，其系统没有被入侵，而是黑客通过猜测一部分用户的登录凭证，然后利用一个名为“DNA Relatives”的功能来获取更多用户的信息。“DNA Relatives”是一个可选的功能，用户可以通过它与其他23andMe用户分享自己的基因信息，并找到可能的亲属关系。黑客最初在BreachForums上发布了一份数据样本，声称包含了100万条关于阿什肯纳兹犹太人的数据。随后，黑客开始以每个账户1到10美元不等的价格出售更多的数据包，涉及数百万用户。这些数据包包括用户的姓名、性别、出生年份、地理位置、基因祖先结果等信息。这些信息并不包括实际的原始基因数据。该公司表示，它正在调查此事，并已通知受影响的用户，并建议他们更改密码并启用双因素认证。

https://www.bleepingcomputer.com/news/security/genetics-firm-23andme-says-user-data-stolen-in-credential-stuffing-attack/

---

6 MGM度假村遭受勒索软件攻击，影响多个系统和服务

MGM度假村国际(MGM Resorts International)是一家全球知名的酒店和赌场运营商，拥有多个品牌和地点，如贝拉吉奥(Bellagio)、美高梅大酒店(MGM Grand)、曼德勒湾(Mandalay Bay)等。最近，该公司发现了一起严重的网络安全事件，导致其部分网络系统被关闭，以保护其系统和数据。据报道，该事件是由一个名为Scattered Spider的黑客组织发起的一场勒索软件攻击，该组织使用了一个名为BlackCat的勒索软件服务平台。据黑客组织自称，他们从9月10日开始渗透了MGM度假村的基础设施，并在9月13日对其进行了加密。他们声称加密了超过100个ESXi虚拟化服务器，这些服务器是用于运行多个虚拟机的软件。他们还声称获得了大量的敏感数据，如客户信息、财务记录、合同文件等，并威胁要公开或出售这些数据，除非MGM度假村支付他们的赎金。据悉，黑客组织要求的赎金金额为1.5亿美元。由于勒索软件攻击，MGM度假村的多个系统和服务受到了影响，包括其网站、在线预订、数字房卡、老虎机、奖励计划等。

https://securityaffairs.com/152077/cyber-crime/mgm-resorts-ransomware-attack.html

---