每日安全简讯(20231031)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客利用MSIX应用程序包文件传播GHOSTPULSE恶意软件

最近，一种新的网络攻击活动被发现，利用伪造的MSIX应用程序包文件，模仿一些流行的软件，如谷歌浏览器、微软Edge、Brave、Grammarly和Cisco Webex，来分发一种名为GHOSTPULSE的新型恶意软件加载器。目标用户可能通过一些已知的技术，如被入侵的网站、搜索引擎优化(SEO)污染或恶意广告，被诱导下载这些MSIX包文件。运行MSIX文件会打开一个Windows提示框，要求用户点击安装按钮，这样就会通过一个PowerShell脚本从远程服务器悄悄地下载GHOSTPULSE到受感染的主机上。这个过程分为多个阶段，第一个有效载荷是一个TAR归档文件，其中包含一个伪装成Oracle VM VirtualBox服务的可执行文件，实际上是一个与Notepad++捆绑的合法二进制文件。TAR归档文件中还包含handoff.wav和一个被篡改的libcurl.dll版本，后者通过利用gup.exe易受DLL侧加载攻击的事实，将感染过程推向下一个阶段。接下来，被篡改的DLL文件会解析handoff.wav，后者又包含了一个加密的有效载荷，该有效载荷通过mshtml.dll进行解码和执行，这是一种称为模块践踏的方法，最终加载GHOSTPULSE。GHOSTPULSE充当一个加载器，使用另一种称为进程替身的技术来启动最终恶意软件的执行，其中包括SectopRAT、Rhadamanthys、Vidar、Lumma和NetSupport RAT。

https://www.elastic.co/security-labs/ghostpulse-haunts-victims-using-defense-evasion-bag-o-tricks

---

2 动态搜索广告传播恶意软件，危害用户安全

一种利用动态搜索广告(DSA)传播恶意软件的网络攻击活动近期被研究人员发现。网站所有者不知道的是，他们的一个广告是自动创建的，目的是宣传Python开发人员的流行程序，并且人们在Google上搜索该程序时可以看到该广告。点击广告的受害者会被带到一个被黑的网页，其中包含下载该应用程序的链接，结果却安装了十多个不同的恶意软件。动态搜索广告(DSA)是一种Google广告，它使用网站内容自动创建广告。虽然此功能对于广告商来说非常方便，但它也带来了不太可能但有可能被滥用的可能性。事实上，如果有人能够在所有者不知情的情况下修改网站内容，那么自动广告可能会完全产生误导。研究人员建议用户进行安全浏览，并对赞助内容始终保持谨慎。

https://www.malwarebytes.com/blog/threat-intelligence/2023/10/malvertising-via-dynamic-search-ads-delivers-malware-bonanza

---

3 乌克兰“IT军队”攻击俄罗斯运营商

乌克兰自愿“IT军队”是一支由政府领导的网络志愿者组织，旨在对抗俄罗斯的网络攻击和宣传。该组织通过Telegram频道发布任务，要求志愿者对俄罗斯的网站和基础设施进行分布式拒绝服务(DDoS)攻击，以干扰其正常运行。该组织还要求志愿者举报YouTube上散布关于乌克兰战争谎言的频道。乌克兰“IT军队”的目标包括俄罗斯的能源巨头Gazprom，俄罗斯的银行和政府网站，以及俄罗斯的新闻网站。该组织还将白俄罗斯作为俄罗斯的盟友之一，对其注册的网站进行攻击。乌克兰“IT军队”的行动引起了国际红十字会(ICRC)的关注，该组织发布了针对平民黑客参与冲突的行为准则。这些准则包括禁止对医疗和人道主义设施、民用对象和生存必需品进行网络攻击，禁止使用自动传播和无差别破坏的恶意软件或其他工具或技术，禁止发出暴力威胁以在平民中传播恐怖，禁止煽动违反国际人道法的行为等。

https://securityaffairs.com/153192/hacktivism/it-army-of-ukraine-hit-russia-isp.html

---

4 Hive勒索软件团伙疑似改名为Hunters International

据报道，一种名为Hunters International的新勒索软件服务品牌出现了，它使用了Hive勒索软件行动的代码，这让人有理由怀疑原来的团伙在换了个旗号后重新活跃起来。安全研究人员分析了Hunters International的样本，发现它与Hive勒索软件攻击中使用的代码有着惊人的相似之处。具体来说，研究人员首先发现了这种新的加密器，他得出结论认为Hunters International恶意软件是Hive勒索软件版本6的一个样本。在上面的推文的回复中，安全研究人员分享说，他在Hunters International的代码中发现了“一些保留的Hive勒索软件字符串”。研究人员更仔细地观察了Hunters International样本，发现了与Hive勒索软件匹配的多达60%以上的代码重叠和相似之处。Hunters International团伙否认了研究人员的“指控”，称他们是勒索软件界的一种新服务，他们从Hive开发者那里购买了加密器源代码。

https://www.bleepingcomputer.com/news/security/new-hunters-international-ransomware-possible-rebrand-of-hive/

---

5 奥地利警方捣毁非法IPTV网络并查获174万美元

奥地利警方在全国范围内逮捕了20名涉嫌参与非法IPTV网络的人员，该网络从2016年到2023年期间，解密并重新分发了受版权保护的广播节目，服务了数千名客户。据调查，该犯罪团伙由80名土耳其公民组成，分为供应商和分销商两个层级。供应商负责解密和提供电视信号，分销商则以每年最多50美元的价格购买信号，并以每年最多200美元的价格转售给终端客户。虽然该网络曾经通过Facebook广告进行过简短的宣传，但客户主要是通过“口口相传”的方式获得的，许多客户也成为了分销商，形成了金字塔式的扩张。警方的公告称，在奥地利境内，他们确定了15名分销商和3名供应商。每个分销商拥有300到2500名客户，这些客户支付了年度订阅费，以获取非法广播。警方在维也纳、下奥地利、萨尔茨堡、福拉尔贝格和蒂罗尔等地进行了逮捕行动，查获的物品有从60个银行账户中查获160万欧元(174万美元)、用于信号解密和IPTV信号分发的35台服务器、一辆奥迪A7豪华轿车、55台计算机系统、硬盘和智能手机。

https://www.bundeskriminalamt.at/news.aspx?id=766E495644386B38346E493D

---

6 美国学区遭黑客攻击，学生数据被泄露并发送给家长

2023年10月5日，美国内华达州的克拉克县学区(CCSD)发现其电子邮件环境受到了未经授权的访问，随后启动了调查，并与执法部门合作。CCSD是美国第五大学区，拥有超过30万名学生和1.5万名教师。调查结果显示，黑客获取了部分学生、家长和员工的有限个人信息，包括学生照片、地址、学生ID号和电子邮件地址等。攻击发生后，CCSD禁止了外部账户访问其谷歌工作空间，并强制重置了所有学生的密码。然而，事态并没有得到控制，一些家长收到了来自黑客的电子邮件，警告他们他们的孩子的数据已经被泄露，并附上了包含学生数据的PDF文件。这些电子邮件以“CCSD Leak”为标题，声称有超过20万份类似的学生资料被黑客泄露，并建议家长小心保护自己。这一事件引起了家长和学生的恐慌和愤怒，他们担心黑客会利用他们的数据进行其他恶意行为，例如身份盗窃或进一步的网络钓鱼攻击。

https://www.databreaches.net/hackers-escalate-leak-200k-ccsd-students-data-claim-to-still-have-access-to-ccsd-email-system/

---