每日安全简讯(20231030)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 谷歌商店发现多个恶意安卓应用，已有两百万用户受影响

据报道，谷歌商店中存在多个恶意安卓应用，这些应用在用户安装后会隐藏自己的图标，并向用户推送大量的广告。这些应用已经被超过两百万的用户下载安装，给用户带来了极大的困扰。研究人员指出，这些应用利用了谷歌商店的漏洞，通过伪装成正常的应用，如游戏、相机、翻译等，来欺骗用户。一旦用户打开这些应用，它们就会替换自己的图标为谷歌浏览器或者透明图标，从而难以被发现。同时，它们会在后台运行，并不断地向用户展示各种广告。这些广告不仅影响用户的正常使用，还可能包含恶意链接或者诱导用户下载更多的恶意应用。

https://news.drweb.com/show/review/?lng=en&i=14767

---

2 云服务商被植入恶意设备，XMPP服务遭窃听

jabber.ru和xmpp.ru是俄罗斯最大的XMPP(Jabber)即时通讯服务，分别托管在德国的Hetzner和美国的Linode云服务商上。近日，这两个服务的管理员发现，他们的加密流量至少在过去90天内，可能长达6个月，被一台位于中间位置的恶意设备拦截、解密和重新加密。这种中间人攻击(MITM)利用了Let’s Encrypt等基于ACME协议的证书颁发机构(CA)的特性，通过伪造DNS解析和HTTP请求，获取了目标域名的有效证书。这样，即使用户检查了证书的有效性，也无法发现异常。攻击者还修改了TCP连接的源端口号和序列号，以及数据包的TTL值，使得数据包看起来是直接从服务器发送的。这两个服务的管理员在对服务器进行深入分析后，未能找到任何明显的入侵痕迹，但在Hetzner服务器的内核日志中发现了一个异常记录，显示在2023年7月18日，服务器的物理网络连接断开了19秒。他们怀疑这是攻击者植入恶意设备的时间点。

https://notes.valdikss.org.ru/jabber.ru-mitm/

---

3 CISA推出免费开源日志管理工具

美国网络安全与基础设施安全局(CISA)推出了一款安全工具，旨在帮助资源有限的组织更好地保护其基于Windows的设备和敏感数据。该安全工具名为Logging Made Easy，为公共和私营部门的组织提供了一个免费的开源日志管理解决方案，以帮助主动监测威胁，进行事后调查，并在发生网络事件时指导修复程序。Logging Made Easy最初由英国国家网络安全中心(NCSC)开发和维护，CISA于今年早些时候宣布重新启动该服务，并扩大其可用性。CISA的网络共享服务产品经理Chad Polan表示，该工具可以协助“目标丰富、资源匮乏”的组织，这些组织拥有有价值的数据，但缺乏防御网络攻击的资源。Logging Made Easy的新版本旨在作为一个一站式日志管理工具，为之前在英国国家网络安全中心维护期间实施该服务的组织提供服务。CISA还向寻求可访问日志工具的新用户提供该工具。该服务提供了分步安装说明，并且可以集成到大多数日志和保护性监控策略中。它具有预先构建的弹性安全检测规则，以帮助分析人员快速响应网络事件，以及可以帮助降低实施基本日志和监控功能的成本障碍的编码。

https://www.cisa.gov/news-events/alerts/2023/10/27/cisa-announces-launch-logging-made-easy

---

4 尼日利亚警方捣毁网络犯罪招募和培训中心

尼日利亚警方在接到情报并调查了一群涉嫌网络犯罪的人员后，逮捕了六名嫌疑人，并拆除了位于达坦塔庄园区的一个与网络犯罪活动有关的招募和培训中心。这些网络犯罪活动包括商业电子邮件欺诈、恋爱诈骗和投资诈骗。警方在行动中没收了多台数字设备，认为它们被用于犯罪活动。嫌疑人承认了他们参与了网络犯罪活动，包括身份盗窃、黑客攻击和交易被盗的Facebook账户、恋爱诈骗、计算机相关伪造和其他计算机相关诈骗。尼日利亚警察总监Ag. IGP Olukayode Egbetokun呼吁公众、家庭、朋友和宗教团体谴责这种活动，并向警方举报任何可疑的在线活动，以帮助打击这种类型的犯罪。

https://www.bleepingcomputer.com/news/security/nigerian-police-dismantle-cybercrime-recruitment-mentoring-hub/

---

5 CCleaner用户数据遭MOVEit大规模黑客攻击

CCleaner是一款广受欢迎的优化软件，但其开发商Gen Digital近日向用户确认，该软件在5月份发生的MOVEit大规模黑客攻击中，泄露了大量付费用户的个人信息。据悉，黑客利用了MOVEit文件传输工具的一个漏洞，该工具被CCleaner和数千个组织用于在互联网上传输大量敏感数据。黑客窃取了用户的姓名、联系方式和购买的产品信息。Gen Digital的发言人Jess Monney证实，受影响的信息包括用户的电话号码、电子邮件地址和账单地址。Monney表示，受影响的用户不到2%，但拒绝提供具体的数字。CCleaner有数百万用户。目前尚不清楚为什么CCleaner花了几个月才向受影响的用户披露这一事件。MOVEit大规模黑客攻击始于5月份，迅速成为今年(到目前为止)受害者最多的黑客事件。这个前所未有的漏洞使得臭名昭著的Clop勒索软件能够从数千个存储数据在这些互联网连接系统上的组织中窃取敏感数据。

https://techcrunch.com/2023/10/27/ccleaner-says-hackers-stole-users-personal-data-during-moveit-mass-hack/

---

6 LockBit勒索软件团伙声称入侵波音公司

Lockbit勒索软件组织今天将波音公司添加到其Tor泄露网站的受害者名单中。该团伙声称从该公司窃取了大量敏感数据，并威胁如果波音不在截止日期(2023年11月2日13:25:39UTC)内联系他们，他们将公布这些数据。截至至10月29日时，该组织尚未发布任何样本。“波音公司是一家市值600亿美元的公司，与其子公司一起在全球范围内设计、开发、制造、销售、服务和支持商用喷气式客机、军用飞机、卫星、导弹防御、载人航天以及发射系统和服务。”该组织声称，“如果波音公司不在最后期限内联系，大量敏感数据将被泄露并准备公布！目前我们不会发送清单或样品来保护公司，但在截止日期之前我们不会这样保留。”

https://securityaffairs.com/153149/cyber-crime/lockbit-ransomware-gang-boeing.html

---