每日安全简讯(20231024)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Pure Clipper恶意软件针对意大利用户发起攻击

近日，研究人员发现了一个由威胁行为者(TA)通过一个伪造的Tor项目网站进行的操作。该TA在这个操作中传播了Pure Clipper恶意软件。Clipper是一种用于窃取或操纵与加密货币相关的数据的恶意软件，特别是加密货币钱包地址。Clipper恶意软件通常通过监视用户的剪贴板来操作，剪贴板是临时存储复制信息的地方。当它检测到复制了一个加密货币钱包地址(例如，比特币或以太坊地址)时，它会用攻击者控制的地址替换该地址。因此，如果用户在进行加密货币交易时粘贴了被篡改的地址，资金就会被发送到攻击者的钱包，而不是预期的收件人。Pure Clipper是由同一名TA“PureCoder”创建的，他之前曾经使用PureLogs进行过多次针对意大利的攻击。PureCoder是这个软件背后的TA，他维护了一个网站，在那里他积极地广告和销售各种恶意软件程序，满足不同的网络犯罪操作。这些产品包括挖矿、信息窃取、VNC(虚拟网络计算)工具和加密器，突出了他们支持的广泛的网络威胁范围。

https://cyble.com/blog/fileless-pure-clipper-malware-italian-users-in-the-crosshairs/

---

2 以色列-巴勒斯坦冲突引发网络攻击风暴

2023年10月，以色列和巴勒斯坦之间的紧张局势再次升级，引发了一场全面的武装冲突。这两个国家自20世纪初以来就一直存在争端，自2008年以来发生了多次激烈的冲突。这场战争也引起了来自黑客活动分子和威胁行为者(TAs)的大量报复性攻击，这与2012年以来观察到的趋势相符。此外，网络攻击通常是现代战争中的辅助手段，这一趋势在2022年俄罗斯-乌克兰冲突爆发之前就已经出现。研究人员一直在收集特定的情报，以在黑客活动分子和不同威胁行为者发动的网络攻击的迷雾中捕捉奇特的发展。研究人员观察到了一些黑客活动分子和威胁行为者采用了不同的恶意技术，以利用关键基础设施的弱点并破坏其功能。对关键基础设施的攻击一直是传统上由国家支持的行为者和勒索软件组织采用的主要攻击方式。然而，俄罗斯-乌克兰和以色列-巴勒斯坦冲突的动态也将黑客活动分子组织纳入了这一威胁范围，从而增加了国家和为关键基础设施做出贡献的企业的担忧。

https://cyble.com/blog/israel-palestine-conflict-and-looming-threat-on-critical-infra/

---

3 TetrisPhantom黑客利用安全U盘窃取政府系统数据

一种新的复杂威胁，被追踪为“TetrisPhantom”，一直在利用被感染的安全U盘，针对亚太地区的政府系统进行攻击。安全U盘在设备的加密部分存储文件，用于在系统之间安全地传输数据，包括那些在隔离环境中的系统。通过自定义软件，可以根据用户提供的密码解密U盘中的内容。这种软件之一是UTetris.exe，它被捆绑在U盘的未加密部分。安全研究人员发现了UTetris应用程序的恶意版本，它们被部署在安全U盘上，作为一场攻击活动的一部分，该活动已经持续了至少几年，并且针对亚太地区的政府机构。据研究人员报告，TetrisPhantom使用了各种工具、命令和恶意组件，表明这是一个复杂和资源充足的威胁组织。研究人员称这次攻击包括了复杂的工具和技术，包括基于虚拟化的软件混淆用于恶意组件、使用直接SCSI命令与U盘进行低级通信、通过连接安全U盘进行自我复制以传播到其他隔离系统以及向U盘上合法的访问管理程序注入代码，该程序充当新机器上恶意软件的加载器。

https://securelist.com/apt-trends-report-q3-2023/110752/

---

4 国际刑事法院遭受针对性的网络间谍攻击

国际刑事法院(ICC)是一个负责审理战争罪、种族灭绝罪和反人类罪等重大国际犯罪的政府间组织。该组织于五周前披露了一起网络攻击事件，称这是一次出于间谍目的的有针对性的行动。该组织在9月19日发现其信息系统出现异常活动后，几天内就公开了这次攻击。该组织表示，他们采取了紧急措施，关闭了部分系统，并与相关方进行了沟通和协调。该组织还表示，他们正在与专业机构合作，调查这次事件的影响和原因，并采取适当的措施，以防止类似事件再次发生。目前还不清楚这次攻击的动机和幕后黑手是谁，以及是否有任何敏感或机密数据被泄露或损坏。国际刑事法院是一个处理一些世界上最严重的犯罪案件的机构，因此它可能成为一些政治或经济利益集团的攻击目标。

https://www.icc-cpi.int/news/measures-taken-following-unprecedented-cyber-attack-icc

---

5 美国家庭保险公司遭受网络攻击，部分IT系统关闭

美国家庭保险公司(AmFam)是一家专注于商业和个人财产、责任、汽车和人寿保险，以及提供投资和退休规划的保险公司。该公司拥有13000名员工，2022年的收入为144亿美元。本周早些时候，该公司确认遭受了网络攻击，并关闭了部分IT系统，以防止攻击的扩散。这导致了客户报告的网站中断。客户无法在线支付账单或提交索赔，只能通过电话联系公司。该公司表示，他们正在调查这次事件，并没有发现任何关键的业务或客户数据处理或存储系统被泄露。该公司希望在确定安全后恢复系统的运行。目前还不清楚该公司遭受了什么类型的攻击，但它与困扰企业的勒索软件攻击有类似的迹象。

https://www.bleepingcomputer.com/news/security/american-family-insurance-confirms-cyberattack-is-behind-it-outages/

---

6 谷歌将推出新的“IP保护”功能，隐藏用户的IP地址

Chrome是一款流行的网络浏览器，它提供了许多功能和选项，以提高用户的网络体验和安全性。最近，谷歌正在准备测试一种新的“IP保护”功能，该功能可以通过使用代理服务器来掩盖用户的IP地址，从而增强用户的隐私。IP地址是一个唯一的数字标识符，它可以显示用户的网络位置和设备信息。一些网站和服务可能会收集和追踪用户的IP地址，以进行广告定向、分析或审查等目的。因此，隐藏或更改IP地址可以帮助用户避免这些潜在的隐私风险。“IP保护”功能将允许用户在浏览器设置中启用或禁用该功能，并在地址栏中显示一个图标，以指示该功能是否处于活动状态。当该功能启用时，用户的网络流量将通过谷歌提供的代理服务器传输，从而使用户的真实IP地址对网站和服务不可见。该功能类似于虚拟专用网络(VPN)或托管代理服务(HPS)，但它只适用于Chrome浏览器，并且不会加密用户的流量。该功能目前仍处于开发阶段，并且只能在Chrome Canary版本中进行测试。谷歌尚未公布该功能的正式发布日期或可用区域。

https://www.bleepingcomputer.com/news/google/google-chromes-new-ip-protection-will-hide-users-ip-addresses/

---