每日安全简讯(20231028)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员揭露类似美国国安局代码的StripedFly恶意软件

研究人员在周四发布的报告中，揭露了一种高度复杂的、持续多年的间谍框架，它与美国国家安全局(NSA)相关的恶意软件有相似之处。报告描述了一个名为StripedFly的框架，它能够截屏、获取系统版本信息、窃取网站登录用户名、密码和其他自动填充数据、访问Wi-Fi网络信息(包括密码)、录制麦克风音频，并识别和窃取敏感文件。StripedFly依赖于一个定制的EternalBlue漏洞利用程序——一种2016年泄露到网上的NSA恶意软件——来感染受害者。EternalBlue的使用——它过去也被其他非美国黑客组织滥用过——引发了关于恶意软件是否真的源自美国黑客行动的疑问。但是研究人员发现的恶意软件的其他组件的复杂性则指向了一个精明的行动者。该框架还包括了一个功能性的门罗币加密货币挖矿模块，一个定制的勒索软件变体ThunderCrypt，以及一个定制的Tor客户端，该框架使用它与一个隐藏的命令和控制服务器安全地通信。与该框架相关联的更新机制数据表明，该框架已经感染了超过100万个目标。表面上看，这种恶意软件可能被轻视为一个普通的加密货币挖矿程序。但是加上间谍和安全通信能力，“似乎违背了常规”。虽然不清楚谁是幕后主使者，但“很难接受这样一种复杂而专业设计的恶意软件只为了一个微不足道的目的，鉴于所有相反的证据”。

https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/

---

2 研究人员发布Rhysida勒索软件的分析报告

Rhysida是一种新出现的勒索软件，它使用了一种独特的加密方案，将受害者的文件分成多个块，并只加密其中的一部分。这种方法旨在提高加密速度，同时使文件难以恢复。Rhysida还使用了一种自定义的RSA-4096公钥加密算法，将对称密钥附加到每个文件的末尾。Rhysida的目标是Windows操作系统，它会删除系统的卷影副本和还原点，以防止受害者恢复文件。Rhysida还会修改注册表，使受害者无法进入安全模式或任务管理器。Rhysida会在每个文件夹中留下一个名为“_readme.txt”的赎金说明文件，要求受害者支付0.05比特币(约合3000美元)来解密文件。该文件还提供了一个电子邮件地址和一个Tor网站，供受害者联系黑客团伙。Rhysida的作者声称他们有一个在线解密器，可以验证他们的能力，并提供了一个免费的测试解密服务。然而，目前没有证据表明任何受害者已经支付了赎金或成功地解密了他们的文件。Rhysida勒索软件是一种危险而狡猾的威胁，它可以在很短的时间内损坏大量的数据，并向受害者施加压力。

https://decoded.avast.io/threatresearch/rhysida-ransomware-technical-analysis/?utm_source=rss&utm_medium=rss&utm_campaign=rhysida-ransomware-technical-analysis

---

3 新型攻击利用苹果芯片漏洞窃取Safari浏览器敏感信息

研究人员发现了一种名为iLeakage的新型侧信道攻击，该攻击利用了运行在苹果iOS，iPadOS和macOS设备上的A系列和M系列ARM处理器的一个弱点，从而能够从Safari浏览器中提取敏感信息。研究人员称，“攻击者可以让Safari渲染任意网页，然后使用推测执行来恢复其中存在的敏感信息”。在一个实际的攻击场景中，这个弱点可以被一个恶意网页利用，来恢复Gmail收件箱内容，甚至恢复由凭证管理器自动填充的密码。iLeakage不仅是针对苹果硅芯片的第一例Spectre风格的推测执行攻击，而且由于苹果的App Store政策要求浏览器厂商使用Safari的WebKit引擎，因此它也适用于iOS和iPadOS上所有的第三方浏览器。苹果已于2022年9月12日收到了研究人员的报告。这个问题影响了所有自2020年以来发布的使用苹果A系列和M系列ARM处理器的苹果设备。问题的核心是在于，一个网页中嵌入的恶意JavaScript和WebAssembly可以在受害者访问攻击者控制的网页时，偷偷地读取目标网站的内容。这是通过一种微架构侧信道实现的，这种侧信道可以被恶意行为者利用，通过其他变量(如时间、功耗或电磁泄漏)来推断敏感信息。这种侧信道是现代CPU中一种性能优化机制的副产品，该机制称为推测执行，自2018年Spectre曝光以来，它已经成为了多种类似方法的目标。推测执行是一种通过使用空闲的处理周期来以乱序方式执行程序指令的方法，当遇到一个条件分支指令，其方向取决于尚未完成执行的前置指令时。这种技术的基石是做出一个预测，即程序将沿着哪条路径进行，并沿着该路径推测性地执行指令。当预测正确时，任务比正常情况下要快地完成。但当出现错误预测时，推测执行的结果被丢弃，处理器沿着正确路径恢复执行。

https://ileakage.com/files/ileakage.pdf

---

4 Octo Tempest跨越边界进行勒索、加密和破坏

Octo Tempest是一个以英语为母语的金融犯罪集团，他们以发起广泛的攻击而闻名，主要使用中间人攻击、社会工程学和SIM卡交换等技术。Octo Tempest最初出现在2022年初，针对移动电信和业务流程外包组织，进行电话号码转移(也称为SIM卡交换)。Octo Tempest在2022年通过出售SIM卡交换给其他犯罪分子和对高净值个人进行账户接管来窃取他们的加密货币来获取利益。在取得初步成功后，Octo Tempest利用他们的经验和获取的数据，逐步提升了他们的动机、目标和技术，采用了更加激进的方式。在2022年底到2023年初，Octo Tempest扩大了他们的目标范围，包括有线电信、电子邮件和技术组织。在这期间，Octo Tempest开始通过勒索受害组织在入侵操作中窃取的数据来获取利益。在2023年中期，Octo Tempest成为ALPHV/BlackCat的合作伙伴，ALPHV/BlackCat是一个人工操作的勒索软件即服务(RaaS)运营商，并且最初的受害者被勒索数据泄露(没有勒索软件部署)使用ALPHV Collections泄露网站。这一点值得注意，因为历史上东欧的勒索软件组织拒绝与以英语为母语的犯罪分子合作。 到了2023年6月，Octo Tempest开始向受害者部署ALPHV/BlackCat勒索软件有效载荷(Windows和Linux版本)，并且最近主要将其部署在VMWare ESXi服务器上。Octo Tempest逐步扩大了勒索目标行业的范围，包括自然资源、游戏、酒店、消费品、零售、托管服务提供商、制造、法律、技术和金融服务。

https://www.microsoft.com/en-us/security/blog/2023/10/25/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction/

---

5 F5警告BIG-IP存在严重远程代码执行漏洞

F5公司发布了一份安全公告，警告客户其BIG-IP产品存在一个严重的安全漏洞，可能导致未经身份验证的远程代码执行。该漏洞源于配置实用程序组件，已被分配CVE标识符CVE-2023-46747，其CVSS评分为10分中的9.8分。F5公司表示：“该漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身IP地址访问BIG-IP系统，从而执行任意系统命令。这不会影响数据平面；这只是一个控制平面问题。”F5公司还提供了一些缓解措施，包括使用一个shell脚本和阻止配置实用程序通过自身IP地址或管理接口的访问。该漏洞是由Praetorian公司的Michael Weber和Thomas Hendrickson于2023年10月4日发现并报告的。Praetorian公司在其技术报告中将CVE-2023-46747描述为一个身份验证绕过问题，可以导致完全控制F5系统，以root用户身份在目标系统上执行任意命令，并指出它与CVE-2022-26377有密切关系。

https://my.f5.com/manage/s/article/K000137353

---

6 日本制表公司确认遭BLACKCAT勒索软件攻击并导致数据泄露

日本制表公司精工(Seiko)近日遭受了BLACKCAT/ALPHV勒索软件团伙的网络攻击，导致部分数据被窃取和泄露。该公司于8月10日公开了这一事件，并表示攻击发生在7月28日，至少有一台服务器被未经授权的第三方访问。该公司聘请了外部网络安全专家进行调查，确认了数据泄露的事实。该公司表示，正在核实受影响服务器上存储的信息的性质，并将在适当时候提供更多信息。BLACKCAT/ALPHV勒索软件团伙在其暗网泄露网站上声称对这次攻击负责，并公布了部分被盗数据。据该团伙称，他们获取了精工的一系列内部文件，包括手表的蓝图和设计、销售报告、发票、员工邮件、员工个人数据、合同和审计等。该团伙还威胁说，由于精工拒绝与他们协商赎金，他们将开始发布或出售被盗数据。

https://www.sii.co.jp/en/news/topics/2023/10/25/12232/

---