每日安全简讯(20231023)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 BbyStealer恶意软件再次出现，瞄准VPN用户

据研究人员发现，有一种恶意软件活动利用多个钓鱼域名，针对下载虚拟专用网络(VPN)Windows应用程序的用户。在这次活动中，下载的VPN应用程序被用来传播一种名为“BbyStealer”的信息窃取恶意软件。BbyStealer恶意软件最初于2022年初被报道。目前，它已经换了一个开发者，重新出现了，因为之前的开发者已经被项目中除名了。BbyStealer恶意软件旨在从各种网络浏览器和加密钱包扩展中收集敏感信息，并将窃取的信息发送到远程服务器。此外，它还在受害者的系统上执行剪贴板操作。研究人员自10月初以来就发现了许多以VPN应用程序命名的RAR文件上传到VirusTotal。这些文件被用来将BbyStealer恶意软件分发到用户的系统中。

https://cyble.com/blog/bbystealer-malware-resurfaces-sets-sights-on-vpn-users/

---

2 BlackCat勒索软件使用新策略进行隐蔽攻击

BlackCat(也称ALPHV)勒索软件团伙最近使用了一种新的名为“Munchkin”的Linux虚拟机，来加强其攻击的隐蔽性和持久性。Munchkin是一个定制的Alpine OS Linux发行版，以ISO文件的形式提供。在入侵设备后，威胁行为者安装VirtualBox，并使用Munchkin ISO文件创建一个新的虚拟机。然后，在虚拟机中执行恶意代码，对受害者的系统进行加密和破坏。BlackCat勒索软件最初于2021年11月被发现，是一种基于RansomEXX的变种。它主要针对政府、教育、医疗、能源和制造等行业的组织。它使用了多种技术来避免被检测和分析，如删除阴影卷、禁用恢复模式、清除事件日志、杀死安全进程等。

https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/]https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/[/url]

---

3 Kwik Trip确认网络攻击导致系统中断

美国连锁便利店和加油站Kwik Trip在10月9日遭受了一场网络攻击，导致其内部网络系统中断。该公司在10月19日才正式承认这一事实，并表示正在进行全面的取证调查。此前，该公司只是暗示其遭受了“网络事件”，并没有明确说明是网络攻击。据悉，该网络攻击影响了Kwik Trip的忠诚度奖励计划，但没有影响其零售和面向客户的系统。Kwik Trip是一家在密歇根州、明尼苏达州和威斯康星州拥有800多家门店的连锁企业。目前，该公司还没有透露网络攻击的细节，包括攻击者的身份、攻击方式、受影响的数据等。该公司表示，正在与第三方安全专家和执法机构合作，恢复其系统并保护客户和员工的信息安全。

https://www.bleepingcomputer.com/news/security/kwik-trip-finally-confirms-cyberattack-was-behind-ongoing-outage/

---

4 E-Root市场运营者因出售被盗账户被引渡

E-Root市场是一个专门出售被盗的RDP和SSH账户的黑市平台，其运营者Sandu Diaconu在上个月同意被引渡到美国，以面对电信诈骗、洗钱、计算机诈骗和访问设备诈骗等多项指控。据美国司法部称，Diaconu通过E-Root市场非法获利超过100万美元，他向买家提供了超过4万个被盗账户，这些账户可以让买家访问来自世界各地的受害者的计算机。买家可以通过价格范围、地区、ISP、操作系统、RDP或SSH访问等条件来筛选和搜索可用的账户。美国司法部表示，已经有多个证实表明，通过E-Root市场购买的访问权限被用于进行网络犯罪活动，包括勒索软件攻击。例如，一名买家使用从E-Root市场购买的RDP账户，在2020年对一家美国医院发动了勒索软件攻击，导致该医院无法正常运作。Diaconu目前面临最高20年的监禁刑期，他将在明尼苏达州联邦法院接受审判。

https://www.justice.gov/usao-mdfl/pr/moldovan-charged-arrested-and-extradited-administration-site-involved-illicit-sale

---

5 SolarWinds ARM产品存在三个严重远程代码执行漏洞

SolarWinds是一家提供网络管理和监控软件的公司，其访问权限管理器(ARM)是一款用于审计和控制网络资源访问权限的解决方案。近日，该产品被发现存在三个严重的远程代码执行(RCE)漏洞，分别是CVE-2023-35182、CVE-2023-35185和CVE-2023-35187。这些漏洞都是由于产品在处理不可信数据时存在反序列化漏洞而导致的，攻击者可以利用这些漏洞在SolarWinds ARM服务器上执行任意代码，无需身份验证。SolarWinds已经发布了安全更新，修复了这些漏洞，并建议用户尽快升级到最新版本。这不是SolarWinds第一次遭遇安全问题，去年该公司就曾经发生过一起严重的供应链攻击事件，影响了数千家客户。

https://documentation.solarwinds.com/en/success_center/arm/content/release_notes/arm_2023-2-1_release_notes.htm

---

6 卡西欧披露数据泄露影响了149个国家的客户

卡西欧是一家日本电子产品制造商，其ClassPad是一款面向教育领域的平台，提供数学、科学和编程等功能。近日，该公司透露，其ClassPad的服务器遭到黑客入侵，导致来自149个国家/地区的客户的数据被泄露。卡西欧于10月11日检测到该事件，原因是开发环境中的ClassPad数据库发生故障。有证据表明，黑客在10月12日访问了客户信息，包括姓名、电子邮件地址、密码、电话号码、学校名称等。截至10月18日，黑客获得了日本客户的91921条记录，以及其它148个国家/地区客户的35049条记录。尽管被入侵的数据库目前无法访问，但ClassPad.net应用仍在运行。卡西欧已经通知了受影响的客户，并建议他们更改密码和其他敏感信息。该公司还表示正在与相关部门合作，调查事件的原因和影响，并采取措施防止类似事件再次发生。

https://world.casio.com/information/1018-incident/

---