每日安全简讯(20231021)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布《PLAY勒索软件分析》报告

近日，安天CERT监测到PLAY勒索事件呈现活跃趋势。PLAY勒索软件又名PlayCrypt，由Balloonfly组织开发和运营，最早被发现于2022年6月。该勒索软件主要通过钓鱼邮件、漏洞利用等方式进行传播，采用“威胁曝光企业数据+加密数据勒索”的双重勒索模式。自2022年11月3日起，Balloonfly攻击组织在Tor专用数据泄露站点(DLS)陆续发布未满足攻击者需求的受害者信息和窃取到的数据。截至2023年10月16日，开源情报共披露223名受害者信息(含DLS发布的196名)。攻击者在需求被满足或出于其他原因，会移除受害者信息和窃取到的数据，实际受害者数量远超过这个数字。PLAY勒索软件使用“RSA+AES”算法对文件进行加密，暂未发现公开的解密工具。攻击者攻击成功后会要求受害者通过暗网地址或邮箱联系。

https://mp.weixin.qq.com/s/THdWRWT9DqQnUwOD3a_I-g

---

2 Crambus针对中东政府发起新一轮攻击

Crambus是一个伊朗的间谍组织，长期针对多个国家的目标进行情报收集和监视活动。最近，该组织在2023年2月至9月期间，对中东某国政府进行了为期八个月的入侵。在入侵过程中，攻击者窃取了文件和密码，并在一台计算机上安装了一个PowerShell后门(被称为PowerExchange)，用于监视Exchange服务器上的收件箱，执行攻击者通过邮件发送的命令，并将结果偷偷转发给攻击者。研究人员在至少12台计算机上发现了恶意活动，还有证据表明攻击者在数十台计算机上部署了后门和键盘记录器。除了部署恶意软件，攻击者还经常使用公开的网络管理工具Plink来配置被感染机器上的端口转发规则，从而实现远程桌面协议(RDP)的远程访问。还有证据表明攻击者修改了Windows防火墙规则，以便实现远程访问。在这次攻击中，Crambus使用了三个之前未被发现的恶意软件，以及一个已知的后门PowerExchange，但之前尚未被归因于Crambus。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/crambus-middle-east-government

---

3 多重恶意软件攻击利用后门、键盘记录器和挖矿程序入侵企业

根据研究人员的报告，一种正在进行的多重恶意软件攻击已经对全球超过200个用户的企业发起了超过1万次的攻击。这种攻击利用后门、键盘记录器和挖矿程序，旨在通过任何可能的手段获取经济利益。该攻击主要针对政府机构、农业组织、批发和零售贸易公司等组织，从2023年5月到10月期间进行。受害者主要分布在俄罗斯、沙特阿拉伯、越南、巴西和罗马尼亚，也有少数攻击发生在美国、印度和摩洛哥等国。研究人员还发现了一些新的恶意脚本，它们似乎是通过利用服务器和工作站上的漏洞入侵系统的。一旦进入系统，这些脚本就试图操纵Windows Defender，获取管理员权限，并干扰各种杀毒产品的功能。然后，这些脚本试图从一个已经下线的网站下载一个后门、一个键盘记录器和一个挖矿程序。与此同时，键盘记录器捕获用户在键盘和鼠标按钮上输入的所有按键序列，而后门与一个命令和控制(C2)服务器建立通信，接收和传输数据。这使得攻击者能够远程控制受感染的系统。

https://securelist.com/miner-keylogger-backdoor-attack-b2b/110761/

---

4 研究人员介绍二维码的恶意利用及其防范方法

QR码，或快速响应码，是一种二维条形码，可以存储大量的数据，并且方便快捷地传输数据。QR码在近年来广泛应用于各个领域，如广告、支付、网站访问等。然而，QR码也存在一些安全隐患，如骗局和会话劫持。骗局(quishing)是一种将QR码和网络钓鱼技术结合的攻击方式，利用伪造的QR码诱导用户访问钓鱼网站或下载恶意软件。会话劫持(QRLJacking)是一种利用“通过QR码登录”功能的社会工程学方法，可以导致用户账户被完全控制。为了防范这些威胁，用户需要提高警惕，不要轻信来源不明的QR码，使用可靠的扫描器和防护软件，并定期检查账户安全。

https://slashnext.com/blog/exploring-the-malicious-usage-of-qr-codes/

---

5 Complaint Stealer针对加密货币钱包和酒店业

近日，一系列传播新型恶意软件“Complaint Stealer”的网络钓鱼活动开始升级。这种恶意软件是一种信息窃取器，可以盗取用户的加密货币钱包和程序，以及浏览器中存储的凭据。Complaint Stealer还对显卡和其他与加密货币挖矿相关的信息表现出异常的兴趣，因此加密货币挖矿可能是其后续功能。Complaint Stealer还经常利用一些合法的软件，如AutoIT或PKWARE。目前发现的所有样本都使用相同的C2位置。这次活动使用了社会工程学技巧，类似于最近发生在MGM、凯撒等豪华酒店度假村的数据泄露事件。这些网络钓鱼活动都针对酒店客户，以住宿、员工行为等方面的投诉为主题。这些活动绕过了多个安全电子邮件网关(SEG)，包括思科Ironport和微软ATP。传播Complaint Stealer的网络钓鱼活动都使用从嵌入式mega [.]nz URL下载的密码保护的压缩文件来传递恶意软件。

https://cofense.com/blog/new-complaint-stealer-malware-escalates/

---

6 警方查封Ragnar Locker勒索软件的暗网勒索站点

Ragnar Locker是一种针对Windows和Linux的勒索软件，它可以从受感染的机器中窃取信息，使用Salsa20加密算法加密文件，并要求受害者支付赎金以恢复数据。Ragnar Locker团伙以使用双重勒索的策略而闻名，即如果受害者拒绝支付赎金，他们的数据就会被公开到暗网上。据报道，一组国际执法机构已经查封了Ragnar Locker团伙使用的暗网门户网站。Ragnar Locker网站上现在显示一条消息，称“这个服务已经被一部分针对Ragnar Locker团伙的国际协调执法行动查封”。据查封通知显示，该行动涉及来自美国、欧盟和日本的执法机构。目前尚不清楚该行动的规模，也不清楚该团伙的基础设施是否也被查封，是否有任何人被逮捕，或者是否有任何被盗资金被追回。

https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomwares-dark-web-extortion-sites-seized-by-police/

---