每日安全简讯(20231025)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Quasar RAT利用DLL侧载技术攻击Windows系统

Quasar RAT是一种开源的远程管理工具(RAT)，也被称为CinaRAT或Yggdrasil，是用C#编写的。这种工具可以执行各种恶意功能，如收集系统数据，运行应用程序，传输文件，记录键盘输入，截取屏幕或摄像头画面，恢复系统密码，以及监控文件管理器，启动管理器，远程桌面等操作。Quasar RAT利用了一种称为DLL侧载的技术，它涉及利用受信任的Microsoft文件，包括“ctfmon.exe”和“calc.exe”，来实现其目标。这种技术利用了这些文件在Windows环境中的固有信任。Quasar RAT的侧载执行过程如下：威胁行为者开始使用DLL侧载技术。他们选择了两个不同的Microsoft文件来进行攻击：“ctfmon.exe”和“calc.exe”。在初始阶段，攻击者利用真正的“ctfmon.exe”文件来加载一个恶意的DLL，这个DLL的名字被伪装了，不容易引起注意。执行“ctfmon.exe”二进制文件后，攻击者获得了一个“第一阶段”的有效载荷。这个初始有效载荷是至关重要的，它作为后续恶意行为的入口。“第一阶段”的有效载荷起到了双重作用。它负责将合法的“calc.exe”文件和恶意的DLL释放到系统中。攻击者使用“calc.exe”文件，它在这里不仅仅是一个简单的计算器应用程序。当执行它时，它会触发恶意的DLL，导致“Quasar RAT”的有效载荷渗透到计算机的内存中。在计算机内存中，有效载荷使用“进程空心化”技术将自己嵌入到一个合法的系统进程中，进一步隐藏其恶意意图，并使检测变得复杂。

https://www.uptycs.com/blog/quasar-rat

---

2 西班牙警方捣毁网络钓鱼犯罪集团

西班牙国家警察在一年多的调查后，于周六逮捕了34名犯罪集团成员，包括该集团的头目。警方在行动中没收了8万欧元现金和一份包含敏感信息的数据库。据警方称，该集团的活动可能影响了超过400万人，主要针对银行客户。该犯罪集团使用了各种网络钓鱼手段，包括伪造各种金融机构和公用事业公司的网站，以及进行“陷入困境的子女”诈骗，向受害者发送声称是来自临时电话号码的子女急需钱款的短信。该集团还在地下论坛上向其他犯罪分子出售定制的网络钓鱼页面，并通过投资加密资产来洗钱。

https://www.policia.es/_es/comunicacion_prensa_detalle.php?ID=15928#

---

3 1Password在Okta支持系统遭黑客攻击后发现异常行为

1Password是一款流行的密码管理解决方案，它在9月29日Okta支持系统被入侵后检测到其Okta实例上的可疑活动，但重申没有用户数据被访问。1Password首席技术官在周一的通知中说：“我们立即终止了这些活动，进行了调查，并发现没有用户数据或其他敏感系统被泄露，无论是面向员工的还是面向用户的。”据报道，这次入侵是利用一个被盗的凭证来实现的，该凭证是在IT团队的一名成员与Okta支持共享了一个HAR文件后获得的，威胁行为者执行了以下一系列操作：尝试访问IT团队成员的用户仪表板，但被Okta阻止，更新了一个与生产Google环境相关联的现有IDP并激活了IDP，请求了一份管理员用户的报告。该公司表示，在IT团队成员收到关于“请求”的管理员用户报告的电子邮件后，它被警告了恶意活动。1Password进一步表示，它已经采取了一些措施来加强安全性，包括拒绝来自非Okta IDP的登录，缩短管理员用户的会话时间，更严格的多因素身份验证(MFA)规则，以及减少超级管理员的数量。

https://blog.1password.com/files/okta-incident/okta-incident-report.pdf

---

4 密歇根大学遭黑客窃取员工和学生数据

2023年8月，密歇根大学的网络系统遭到了黑客的入侵，导致包括学生、申请者、校友、捐赠者、员工、病人和研究参与者在内的多个群体的个人、财务和医疗信息被泄露。黑客对服务器的非法访问持续了从8月23日到27日的四天时间，大学方面在一周后发现并披露了这一事件，并强制所有账户重置密码。大学还关闭了所有系统和在线服务，以防止进一步的损失。目前，大学正在与联邦调查局(FBI)合作，调查此次网络攻击的来源和影响，并为可能受到影响的个人提供免费的信用监控服务。该教育机构是美国历史最悠久、规模最大的教育机构之一，拥有超过30000名学术和行政人员以及约51000名学生。

https://publicaffairs.vpcomm.umich.edu/key-issues/august-2023-data-incident/

---

5 华盛顿选举委员会疑似泄露选民个人信息

10月5日，华盛顿特区选举委员会(DCBOE)发现其网站服务器遭到了一名自称RansomVC的黑客的攻击，该黑客声称窃取了60万条美国选民数据，其中包括特区选民记录。DCBOE随即启动了紧急应急计划，并与联邦调查局(FBI)和国土安全部(DHS)合作展开调查。10月22日，DCBOE在推特上发布了最新的消息，称其网站服务器的托管商DataNet Systems公司无法确定黑客是否访问了特区全体选民的个人信息，也无法确定访问了多少条记录。DCBOE表示，目前没有证据表明选民数据被用于非法用途，但仍建议特区选民保持警惕，并及时报告任何可疑活动。DCBOE还承诺将继续与相关机构合作，加强网络安全防护，并保护选民的隐私权利。

https://www.bleepingcomputer.com/news/security/dc-board-of-elections-hackers-may-have-breached-entire-voter-roll/

---

6 费城市政府披露数据泄露事件

费城市政府正在调查一起数据泄露事件，此前攻击者“可能获得”了五个月前(即五月)包含个人和受保护健康信息的市政府电子邮件帐户的访问权限。虽然官员们于5月24日在该市电子邮件环境中出现可疑活动后发现了该事件，但调查发现，在该市意识到该事件后至少两个月内，威胁行为者可能已经访问了受感染电子邮件帐户中的电子邮件。违规通知称：“然而，迄今为止，调查确定，在2023年5月26日至2023年7月28日期间，未经授权的行为者可能获得了对某些市政府电子邮件帐户及其中包含的某些信息的访问权限。”市政府官员尚未提供有关攻击者如何侵入市政府电子邮件帐户的详细信息，以及延迟五个月披露事件的原因。

https://www.phila.gov/media/20231018161713/Notice-of-Privacy-Incident_PDPH-Website_10_20_23.pdf

---