每日安全简讯(20231013)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《“游蛇”黑产团伙专题分析报告》

“游蛇”黑产团伙自2022年下半年开始活跃至今，针对国内用户发起了大量的攻击活动。该黑产团伙传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛，因此今年受到国内安全行业的广泛关注。“游蛇”黑产团伙通过即时通讯软件、搜索引擎恶意推广、钓鱼邮件等途径传播恶意程序，利用“白加黑”、“内存执行Shellcode”、“内存解密Payload”等手段最终在受害者主机中植入远控木马。获取受害主机的控制权后，黑产团伙主要控制受害者微信开展后续的攻击活动来获取利益。一方面，黑产团伙利用受害者微信向其好友或所在群组中投放恶意程序，从而进一步扩大感染范围；另一方面，黑产团伙控制受害者微信，通过伪装身份或恶意拉群等方式实施诈骗，以此非法获取经济利益。安天CERT持续对“游蛇”黑产团伙进行监测和追踪，发现了以“游蛇”黑产团伙为主的黑产团伙运营模式，根据对样本的分析归纳出黑产团伙的攻击手段及技术特点，揭示黑产团伙常用的诈骗套路，总结有效的防护建议，以帮助用户了解、识别黑产团伙的惯用伎俩，免遭其远控木马的侵害，避免遭受黑产团伙诈骗而导致经济损失。

https://mp.weixin.qq.com/s/oNxvQt-IfRTcQY0oqHHF_Q

---

2 HTTP/2协议漏洞引发创纪录的DDoS攻击

近日，一种新型的DDoS攻击技术被发现，它利用了HTTP/2协议中的一个漏洞，可以产生巨大的流量压力，对互联网基础设施造成严重威胁。这种攻击技术被称为HTTP/2快速重置，它的原理是客户端不断向服务器发送和取消请求，导致服务器消耗大量资源。这种攻击技术已经被用于针对Cloudflare，谷歌和Amazon AWS等多个互联网巨头的攻击，创造了新的DDoS攻击记录。据统计，Cloudflare每秒收到的请求超过2.01亿次，谷歌观察到峰值为3.98亿次，AWS检测到针对亚马逊CloudFront服务的峰值流量超过1.55亿次。这些数字都远远超过了之前的任何DDoS攻击。为了应对这种攻击，各大公司都在紧急修复HTTP/2协议中的漏洞，并提醒用户及时更新自己的服务器和应用程序。

https://cloud.google.com/blog/products/identity-security/how-it-works-the-novel-http2-rapid-reset-ddos-attack

---

3 CISA将Adobe Acrobat Reader漏洞添加到已知被利用漏洞目录

美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了5个新漏洞，其中包括Adobe Acrobat Reader中的一个高严重性漏洞(CVE-2023-21608)(CVSS 评分：7.8)。该漏洞属于释放后使用问题，攻击者可以触发该漏洞，以当前用户的权限实现远程代码执行(RCE)。“Adobe Acrobat Reader版本22.003.20282(及更早版本)、22.003.20281(及更早版本)和20.005.30418(及更早版本)受到该漏洞的影响，该漏洞可能导致在当前用户的上下文中执行任意代码”。Adobe于2023年1月解决了该漏洞，并且可在线获取该问题的PoC漏洞利用代码。

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

---

4 LinkedIn智能链接攻击再次针对微软账户

近日，研究人员发现了一种新的网络钓鱼攻击，利用LinkedIn的智能链接功能来窃取微软账户的凭证。智能链接是LinkedIn提供的一种服务，可以让用户分享文档和演示文稿，而无需离开LinkedIn平台。攻击者通过发送带有智能链接的LinkedIn消息来诱骗受害者，当受害者点击链接时，会被重定向到一个伪造的微软登录页面，要求输入账户和密码。如果受害者输入了凭证，攻击者就可以获取其微软账户的访问权，并可能进一步利用其信息进行其他攻击。研究人员表示，这种攻击主要针对欧洲、中东和非洲地区的高级职位人员，涉及金融、能源、法律、制药等多个行业。

https://www.bleepingcomputer.com/news/security/linkedin-smart-links-attacks-return-to-target-microsoft-accounts/

---

5 辛普森制造公司在网络攻击后关闭IT系统

近日，辛普森制造公司通过SEC 8-K文件披露了一起网络安全事件，该事件已导致其运营中断，预计这种情况将持续下去。辛普森制造公司是一家美国建筑和结构材料生产商，也是北美结构连接件和锚栓的主要制造商之一，拥有5150名员工，年净销售额为21.2亿美元(2022 年)。该公司表示，上周二检测到IT问题和应用程序中断，但很快意识到这是由网络攻击引起的。针对这种情况，辛普森关闭了所有受影响的系统，以防止攻击蔓延。声明中写道，该公司正在进行的补救过程可能需要一些时间。因此，业务运营的暂停将持续存在。

https://www.bleepingcomputer.com/news/security/simpson-manufacturing-shuts-down-it-systems-after-cyberattack/

---

6 Microsoft Defender新增自动隔离功能，阻止攻击者横向移动

近日，微软宣布推出一个新的功能，名为“contain user”，可以自动隔离被攻击者控制的用户账户，阻止攻击者在网络中横向移动。这个功能是基于微软的自动攻击干扰技术，可以在检测到手动键盘攻击(hands-on-keyboard attack)时，立即采取行动，限制攻击者的权限和范围。手动键盘攻击是指攻击者利用被盗或被泄露的用户凭证，直接登录到受害者的网络，并执行恶意操作。Microsoft Defender通过分析用户的行为和活动，识别出异常或可疑的操作，并将其标记为高风险用户(high-risk user)。然后，会自动启动“contain user”功能，将高风险用户隔离在一个安全的环境中，禁止其访问网络资源或敏感数据。这个功能可以帮助企业快速应对网络入侵事件，减少损失和影响。同时，也可以提高网络安全团队的效率和效果，让他们有更多时间进行深入的调查和恢复工作。

https://www.microsoft.com/en-us/security/blog/2023/10/11/microsoft-defender-for-endpoint-now-stops-human-operated-attacks-on-its-own/

---