每日安全简讯(20231022)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 越南黑客利用多种恶意软件攻击数字营销行业

根据研究人员的报告，越南的网络犯罪团伙正在使用多种不同的恶意软件即服务(MaaS)信息窃取器和远程访问木马(RAT)来针对数字营销行业。这些攻击者非常重视Facebook商业账户，劫持这些账户似乎是他们的主要目标之一。这些团伙的目标和方法有很大的重叠，表明他们是一个密切相关的操作者/团伙集群。可以通过非技术指标来识别这些团伙进行的活动，例如他们的诱饵主题、诱饵文件和相关元数据。研究人员介绍了一个使用相同或非常相似的诱饵和交付方法来传播多种信息窃取器恶意软件的团伙，包括DarkGate、Ducktail、Lobshot和Redline stealer。

https://labs.withsecure.com/publications/darkgate-malware-campaign

---

2 低成本的网络犯罪武器ExelaStealer在暗网出售

ExelaStealer是一种新出现的信息窃取器恶意软件，它可以从受感染的Windows系统中窃取敏感数据，如密码、信用卡信息、cookies和会话数据、键盘记录、屏幕截图和剪贴板内容。ExelaStealer是用Python编写的，但也使用了其他语言(如JavaScript)的资源。ExelaStealer在暗网上出售，既有开源版本，也有付费定制版本。付费版本的价格为每月20美元，三个月45美元，或终身许可120美元。这种低成本的商品化恶意软件使新手能够轻松地进行恶意攻击。ExelaStealer的二进制文件目前只能在Windows系统上使用Python脚本进行编译和打包。编译过程中使用了代码混淆技术，以增加分析难度。有证据表明，ExelaStealer是通过一个伪装成PDF文档的可执行文件进行传播的。运行该文件会显示一个诱饵文档——一份土耳其的达契亚达斯特汽车登记证书——同时在后台悄悄地激活恶意软件。

https://www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field

---

3 恶意广告商使用Google广告来定位搜索流行软件的用户

恶意广告活动是指利用合法的广告平台或网络来传播恶意软件或勒索软件的一种网络攻击方式。近几周，安全研究人员发现，通过谷歌搜索引擎的恶意广告活动有所增加，一些威胁行为者改进了他们的技术，以逃避整个交付链中的检测。研究人员介绍了一个似乎完全被忽视的恶意广告活动，它在用户指纹识别和分发时间敏感的有效载荷方面具有独特性。该活动针对Notepad++等流行的Windows文本编辑器或类似的软件程序，如PDF转换器。当用户点击这些恶意广告时，会发生第一级别的过滤，可能是一个IP检查，排除VPN和其他非真实IP地址，并显示一个诱饵网站。然而，目标用户会看到一个托管在notepadxtreme[.]com的真实Notepad++网站的副本。当用户点击下载链接时，会发生第二级别的过滤，其中JavaScript代码执行系统指纹识别。作者之前观察到一些恶意广告活动检查模拟器或虚拟机的存在，这里也是如此，尽管使用的代码不同且更复杂。如果任何检查不匹配，用户将被重定向到合法的Notepad++网站。

https://www.malwarebytes.com/blog/threat-intelligence/2023/10/the-forgotten-malvertising-campaign

---

4 Ragnar Locker勒索软件开发者在法国被捕

执法机构在一次联合国际行动中逮捕了一名与Ragnar Locker勒索软件团伙有关联的恶意软件开发人员，并查获了该团伙的暗网网站。10月16日至20日期间，在捷克、西班牙和拉脱维亚开展了搜查行动。该恶意勒索软件的“主要目标”于10月16日在法国巴黎被捕，他在捷克的家也遭到搜查。接下来的几天里，五名嫌疑人在西班牙和拉脱维亚接受了讯问。行动周结束时，涉嫌Ragnar Locker勒索软件的主犯已被带到巴黎司法法院预审法官面前。该勒索软件的基础设施也在荷兰、德国和瑞典被查封，Tor上的相关数据泄露网站在瑞典也被关闭。

https://www.europol.europa.eu/media-press/newsroom/news/ragnar-locker-ransomware-gang-taken-down-international-police-swoop

---

5 思科IOS XE软件中的零日漏洞被利用，植入恶意Lua后门

思科在周五发布了一份更新的通告，警告其IOS XE软件中存在一个新的零日漏洞，该漏洞已被一个未知的威胁行为者利用，向易受攻击的设备植入了一个恶意的Lua后门。该漏洞被追踪为CVE-2023-20273(CVSS评分：7.2)，与Web UI功能中的一个提权漏洞有关，据说已与CVE-2023-20198一起作为一个利用链被使用。思科表示，攻击者首先利用CVE-2023-20198获得初始访问，并发出一个特权15命令，创建一个本地用户和密码组合。这允许用户以普通用户访问权限登录。然后，攻击者利用Web UI功能的另一个组件，利用新创建的本地用户提升到root权限，并将后门写入文件系统，这个缺陷被分配了标识符CVE-2023-20273。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

---

6 Okta支持系统被盗用凭证入侵，部分客户数据泄露

Okta是一家提供身份服务的公司，拥有超过1.7万个客户和5亿个用户。在周五，Okta披露了一起新的安全事件，称一个未知的威胁行为者利用了一个被盗的凭证，访问了其支持案例管理系统。该系统用于处理客户的技术问题和请求。Okta的首席安全官David Bradbury表示，“威胁行为者能够查看某些Okta客户作为最近支持案例的一部分上传的文件”。他还强调，Okta支持案例管理系统与Okta生产服务是分开的，后者没有受到影响。但是，他也警告说，客户支持系统有时会用于上传HTTP归档(HAR)文件，以复制用户或管理员的错误，以便进行故障排除。它进一步表示，它与受影响的客户合作，确保嵌入的会话令牌被撤销，以防止滥用。Okta没有透露攻击的规模、发生时间和发现时间。目前已知受到攻击的客户包括BeyondTrust和Cloudflare。

https://sec.okta.com/harfiles

---