每日安全简讯(20231014)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《WatchDog挖矿组织近期活动分析》报告

近期，安天CERT捕获了一批活跃的WatchDog挖矿组织样本，该组织主要利用暴露的Docker Engine API端点和Redis服务器发起攻击，并且可以快速的从一台受感染的机器转向整个网络。WatchDog挖矿组织自2019年1月开始被发现，至今仍然活跃。WatchDog挖矿组织主要利用暴露的Redis服务器发起攻击。在Windows端，首先会从放马服务器上下载名为“init.ps1”的PowerShell脚本，该脚本会分别下载挖矿程序进行挖矿、漏洞扫描程序进行扫描、守护进程对挖矿进程进行守护、脚本文件回传主机名及IP地址、exe文件添加管理员组等。在Linux端，会从放马服务器上下载名为“init.sh”的sh脚本，该脚本同样会下载Linux端的挖矿程序、漏洞扫描程序和守护进程，他们的功能与Windows端一样。另外，该脚本还具有以下功能：清空防火墙规则、清除日志、创建计划任务、结束安全产品、添加SSH公钥、结束竞品挖矿、横向移动和结束特定网络连接等。

https://mp.weixin.qq.com/s/rXChro-x9kAdLe3jvfhOsg

---

2 Magecart攻击者利用404错误页面窃取信用卡信息

Magecart是一种Web skimming的攻击手法，通过在电子商务网站上植入恶意代码，窃取用户的信用卡信息。最近，安全研究人员发现了一种新的Magecart攻击，利用网站的默认404错误页面来隐藏恶意代码。攻击者首先寻找并入侵易受攻击的网站，然后修改其.htaccess文件，将所有不存在的URL重定向到一个特定的404错误页面。攻击者在该404错误页面上植入恶意代码，该代码会检测用户是否访问了电子商务网站，如果是，则会加载一个伪造的支付表单，用于收集用户的信用卡信息。攻击者将收集到的信用卡信息发送到自己控制的服务器，或者直接使用其进行在线购物。安全研究人员称，这种攻击已经影响了数百个网站，其中一些是知名品牌的官方网站。为了防止这种攻击，网站管理员应该定期检查并更新其网站的安全性，避免使用默认的404错误页面，或者在其上添加一些安全措施，如验证码或内容安全策略(CSP)。

https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer

---

3 研究人员发布一款追踪和分析勒索软件攻击的工具

勒索软件是一种恶意软件，通过加密受害者的文件或系统，然后要求支付赎金来解密的一种网络攻击手法。近年来，勒索软件攻击的规模和频率都在不断增加，给全球的个人和组织带来了巨大的损失和威胁。为了应对这一挑战，研究人员推出了一款名为Ransomlooker的工具，可以监控勒索软件团伙的勒索网站，并提供他们在全球范围内的攻击声明的汇总信息。该工具的目的是帮助网络安全专家在日常工作中获取实时更新和可行的洞察，以便更好地防御和应对勒索软件攻击。Ransomlooker的主要功能包括：收集并展示来自不同勒索软件团伙的最新攻击声明，包括受害者的名称、所属行业、地理位置、攻击日期、赎金金额等信息。提供一个可视化的地图，显示各个国家和地区受到勒索软件攻击的情况，以及各个勒索软件团伙的活跃程度。提供一个可搜索的数据库，可以根据不同的条件筛选和查询历史攻击记录，例如受害者名称、行业、地区、日期、赎金金额等。提供一个可订阅的RSS源，可以实时获取最新的攻击声明，并通过电子邮件或其他方式通知用户。Ransomlooker是一个免费且开源的工具，任何人都可以访问其网站或下载其源代码。

https://cybernews.com/ransomlooker/

---

4 WordPress后门创建恶意管理员劫持网站

近日，研究人员发现了一种新型的WordPress后门，该后门可以创建恶意管理员账户，从而劫持WordPress网站。该后门冒充一个合法的缓存插件，名为WP Security Plugin，但实际上是一个PHP脚本，可以执行远程命令。该后门具有以下功能：后门可以在被攻击的网站上创建一个名为wpservices的隐藏管理员账户，该账户可以访问WordPress管理面板，并且不会在用户列表中显示。后门可以远程激活或停用被入侵网站上的任意WordPress插件，并且清除数据库中的痕迹。后门可以检查特定用户的代理字符串，允许攻击者远程激活各种恶意功能，如替换内容或将用户重定向到其他恶意链接。后门可以隐藏自身的活动插件，在WordPress插件页面上显示为一个空白项。后门可以在执行完毕后自动删除自身的文件和数据库记录。研究人员表示，该后门是一种高度危险的恶意软件，可以让攻击者完全控制受害网站，并且难以被发现和清除。

https://www.wordfence.com/blog/2023/10/backdoor-masquerading-as-legitimate-plugin/

---

5 BianLian勒索团伙窃取Air Canada数据并威胁公开

BianLian勒索团伙近日宣称，他们在9月份成功入侵了加拿大最大的航空公司Air Canada的网络，窃取了210GB的数据，并威胁如果不支付赎金，就会公开这些数据。这些数据包括员工的个人信息、机票预订、机场运营、飞行计划等敏感信息。BianLian勒索团伙在其暗网网站上发布了一些数据的截图，作为证据。 Air Canada在9月份时曾经承认遭到了网络攻击，但只是表示受影响的系统包括“一些员工的有限个人信息和某些记录”。该公司还表示，没有证据表明客户或合作伙伴的信息被泄露。然而，BianLian勒索团伙的声明却与此相矛盾，他们声称窃取了大量的数据，并且已经将其加密。据悉，BianLian勒索团伙是一群来自俄罗斯的黑客，他们专门针对大型企业进行攻击，要求高额的赎金。目前，Air Canada尚未对BianLian勒索团伙的声明做出回应。

https://www.bleepingcomputer.com/news/security/bianlian-extortion-group-claims-recent-air-canada-breach/

---

6 Shadow PC遭黑客利用恶意游戏入侵，用户信息被盗卖

Shadow PC是一家提供高端云计算服务的公司，它允许用户在任何设备上享受高性能的游戏体验。然而，该公司近日遭受了一场数据泄露事件，导致用户的私人信息被黑客窃取，并在网上出售。据Shadow PC的首席执行官在周三发出的一封电子邮件中透露，这场数据泄露事件发生在上个月，是由一次“社交工程攻击”引起的。一名公司员工在Discord平台上下载了一个伪装成Steam平台游戏的恶意软件，该软件是由员工的一个熟人提供的，而这个熟人本身也是同样攻击的受害者。这个恶意软件使黑客能够远程访问员工的计算机，并进而访问Shadow PC的一个云服务提供商，从而窃取了用户信息。被盗的信息包括用户的姓名、电子邮件地址、出生日期、账单地址和信用卡到期日期。幸运的是，用户的密码或敏感的银行信息没有被泄露。然而，黑客似乎已经开始试图出售这些信息。研究人员注意到，在一个流行的黑客论坛中，有一个用户声称拥有来自Shadow PC的超过53万用户的数据，并以0.5美元每条记录的价格出售。

https://www.bleepingcomputer.com/news/security/shadow-pc-warns-of-data-breach-as-hacker-tries-to-sell-gamers-info/

---