每日安全简讯(20231017)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯黑客利用WinRAR漏洞攻击乌克兰冲突区

研究人员发现，与俄罗斯有关联的国家级威胁行为者发起了一系列基于网络钓鱼的攻击，目标是乌克兰冲突区域的机构和个人。这些攻击利用了最近发现的影响WinRAR压缩软件6.23之前版本的漏洞，编号为CVE-2023-38831。攻击者通过发送一个恶意的压缩文件来诱骗受害者打开，该压缩文件包含一个伪装成分享指标(IoCs)的PDF文件，以及一个与PDF文件同名(包括末尾空格)的目录，该目录中有一个BAT脚本。由于漏洞的存在，当受害者尝试打开PDF文件时，BAT脚本会被执行，从而启动PowerShell命令，打开一个反向shell，让攻击者能够访问目标机器，并执行一个PowerShell脚本，从Google Chrome和Microsoft Edge浏览器中窃取数据，包括登录凭证。攻击者使用合法的web服务webhook [.]site来传输数据。

https://blog.cluster25.duskrise.com/2023/10/12/cve-2023-38831-russian-attack

---

2 俄罗斯半导体供应商遭遇恶意软件攻击

近日，研究人员发现了一封针对俄罗斯领先半导体供应商的鱼叉式网络钓鱼邮件。在这次定向攻击中，观察到威胁行为者(TA)利用一个远程代码执行(RCE)漏洞，编号为CVE-2023-38831，在受感染的系统上投放其有效载荷。这次攻击的目的是利用一个名为“Athena”的第二阶段有效载荷，完全控制受感染的系统。这个有效载荷是Mythic C2框架的一个代理，它配备了一系列预装的命令，设计用于在受感染的系统上执行各种操作。这些操作包括注入汇编，执行Shellcode，捕获认证细节，加载信标对象文件(BOF)，以及其他各种功能。这次攻击背后的威胁行为者的身份目前仍然不明，研究人员目前无法将其与任何已知的APT组织联系起来。

https://cyble.com/blog/threat-actor-deploys-mythics-athena-agent-to-target-russian-semiconductor-suppliers/

---

3 AgentTesla通过CHM和PDF文件在最近的攻击中传播

AgentTesla是一个基于.NET框架的信息窃取器，旨在渗透计算机并秘密地从受害者的机器中提取敏感信息。近日，研究人员在VirusTotal(VT)中发现了一个恶意的Gzip压缩文件。这个Gzip文件包含了一个CHM文件，它触发了AgentTesla感染的开始。在最近的活动中，研究人员发现了一个被Gzip压缩并很可能通过恶意垃圾邮件发送的CHM文件。这个精心制作的CHM文件充当了一个诱饵。根据CHM文件中可用的内容，它似乎是针对涉及网络工程、电信或信息技术的个人或实体的。当用户打开这个CHM文件时，它悄悄地从远程服务器下载一个PowerShell脚本并执行它。为了避免被检测，PowerShell脚本是Base64编码和Deflated。这个deflated Base64编码字符串又包含了另一层Base64编码，其中包含了一个基于.NET框架构建的加载器DLL文件。

https://cyble.com/blog/agenttesla-spreads-through-chm-and-pdf-files-in-recent-attacks/

---

4 黑客利用币安智能链合约传播恶意代码

近日，研究人员发现一些恶意行为者利用币安智能链(BSC)合约来托管和传播恶意代码。研究人员将其活动代号为EtherHiding，它利用被感染的WordPress网站来诱骗访问者更新他们的浏览器，然后下载信息窃取型恶意软件，如Amadey、Lumma或RedLine。攻击者在被感染的网站上注入了一个混淆的Javascript，用来通过创建一个智能合约来查询BNB智能链，合约中包含了攻击者控制的区块链地址。这样做的目的是从区块链上获取一个第二阶段的脚本，该脚本会从一个命令和控制(C2)服务器上获取一个第三阶段的有效载荷，用来显示虚假的浏览器更新通知。如果受害者点击了更新按钮，他们就会被重定向到从Dropbox或其他合法的文件托管服务下载一个恶意可执行文件。

https://labs.guard.io/etherhiding-hiding-web2-malicious-code-in-web3-smart-contracts-65ea78efad16

---

5 AI算法可防御无人军用机器人遭受的中间人攻击

研究人员开发了一种使用机器学习技术的算法，可以检测和拦截对无人军用机器人的中间人(MitM)攻击。MitM攻击是一种网络攻击，其中攻击者截取了机器人和其合法控制器之间的数据流，以窃听或在流中注入虚假数据。这种攻击可能会干扰无人驾驶车辆的运行，修改传输的指令，甚至夺取控制权，指示机器人采取危险行动。该算法在美国陆军使用的GVR-BOT复制品中进行了测试，记录了99%的攻击预防成功率，只有不到2%的测试案例出现误报。该算法利用了机器人传感器数据的时序特征，以及机器人运动状态和环境信息，来识别出异常情况，并在几秒钟内将其关闭。该算法的优化版本可以应用于类似但更具挑战性的机器人应用，如无人飞机。

https://www.unisa.edu.au/media-centre/Releases/2023/new-cyber-algorithm-shuts-down-malicious-robotic-attack/

---

6 ALPHV勒索软件攻击美国莫里森社区医院

美国伊利诺伊州的莫里森社区医院(MCH)遭到了ALPHV/BlackCat勒索软件团伙的攻击，导致其部分系统被加密，并且有大量的敏感数据被窃取。该团伙在其暗网网站上公布了部分数据的截图，包括患者的姓名、出生日期、社会保险号、诊断信息、医疗保险信息等。该团伙还声称他们已经从医院的服务器上下载了超过5TB的数据，并威胁如果不支付赎金，就会公开更多的数据。ALPHV/BlackCat勒索软件是一种新兴的网络犯罪活动，自2023年7月份开始活跃，主要针对美国、欧洲和亚洲的组织。该团伙使用双重勒索策略，即在加密受害者的系统之前，先窃取其数据，并要求支付赎金以换取解密密钥和删除数据的证明。莫里森社区医院已经启动了应急计划，并正在与执法部门和网络安全专家合作，恢复其受影响的系统和服务。目前尚不清楚医院是否已经与攻击者联系，或者是否打算支付赎金。

https://securityaffairs.com/152486/cyber-crime/alphv-ransomware-morrison-community-hospital.html

---