每日安全简讯(20231121)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT29利用CVE-2023-38831漏洞进行攻击活动

乌克兰国家安全和国防委员会（NDSC）在发布的一份报告表示，APT29组织一直在使用一个恶意的ZIP文件进行攻击活动，该文件在后台运行脚本以显示一个PDF诱饵文件，并下载执行PowerShell代码以获取和执行载荷文件。该文件的名称是“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”，APT29利用该文件针对包括阿塞拜疆、希腊、罗马尼亚和意大利在内的欧洲多个国家进行攻击，主要目标是各国大使馆。APT29曾在五月份的一次活动中使用过这个诱饵文件，当时通过HTML伪装技术传递ISO有效负载，针对乌克兰外交官进行钓鱼攻击。APT29在此次攻击中新利用了WinRAR漏洞，该漏洞被标记为CVE-2023-38831。乌克兰NDSC表示，在这些攻击中，APT29将旧的钓鱼策略与新型攻击手段结合起来，以传播恶意载荷并实现与C2服务器的通信。

https://www.rnbo.gov.ua/files/2023_YEAR/CYBERCENTER/november/APT29 attacks Embassies using CVE-2023-38831 - report en.pdf

---

2 研究人员发现针对韩国用户的恶意安卓和iOS应用程序

研究人员最近发现通过钓鱼网站传播的恶意安卓和iOS应用程序，这类恶意应用程序于十月初开始活跃，已经安装在200多台设备上，且所有设备都位于韩国。攻击者创建了多个钓鱼网站，并将它们伪装得与其他得合法网站相似，并在网站中提供恶意应用程序的安卓和iOS版本。当用户通过这个钓鱼网站下载并运行恶意的应用程序后，它将会窃取受害者的电话号码、相关联系人和短信消息等信息。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-android-and-ios-apps-steal-sms-and-contacts-in-south-korea/

---

3 攻击者利用伪装成WinSCP的钓鱼网站传播恶意程序

研究人员发现，攻击者正在利用谷歌搜索结果和虚假广告，通过伪装成WinSCP的钓鱼网站，诱导用户下载执行恶意程序。研究人员将该攻击活动命名为“SEO#LURKER”。用户将在钓鱼网站中下载到一个ZIP文件（“WinSCP_v.6.1.zip”），其中包含一个可执行程序。该程序执行时，会使用DLL side-loading加载和执行ZIP文件内一个名为python311.dll的DLL文件。该DLL文件下载并执行一个合法的WinSCP安装程序，以进行掩饰，同时在后台释放Python脚本（“slv.py”和“wo15.py”），以执行恶意行为，并建立持久性。这两个Python脚本被用于与C2服务器建立通信，接收并执行相应的命令。

https://www.securonix.com/blog/seolurker-attack-campaign-uses-seo-poisoning-fake-google-ads-to-install-malware/

---

4 清洁公司Stanley Steemer遭受网络攻击并泄露客户数据

清洁公司Stanley Steemer公司表示，他们最初于3月6日检测到可疑的网络活动。经过初步调查，公司确定攻击者于2月10日开始访问其系统，并在公司网络内窃取了一些记录。该公司在3月初发现问题后，立即通知了联邦当局，并采取措施保护其系统并进行审查，对此次事件的审查于9月7日完成。该公司没有详细说明攻击者是如何入侵其网络的，共有66978名客户受到此次事件的影响，攻击者可能已获取客户的姓名、社会安全号码、驾驶执照号码和财务账户信息，包括信用卡和借记卡信息，以及安全码和PIN码。

https://www.cybersecuritydive.com/news/stanley-steemer-hack-67k-customers/700175/?&web_view=true

---

5 攻击者窃取Bloomberg Crypto官方推特账号用以进行钓鱼攻击

攻击者窃取Bloomberg Crypto的官方推特账号，并在账号的个人资料中添加一个指向Telegram频道的链接，该频道链接用于进一步引导访问者加入一个拥有33968名成员的假Bloomberg Discord服务器。在该Discord服务器中，用户首先需要通过Discord的验证，然后将会跳转至攻击者伪造的钓鱼网站中。该钓鱼网站提示用户进行Discord账号验证，以此窃取用户的Discord账户及凭据信息。

https://www.bleepingcomputer.com/news/security/bloomberg-crypto-x-account-snafu-leads-to-discord-phishing-attack/?&web_view=true

---

6 越南邮政暴露1.2TB的数据信息

研究人员发现了越南邮政总公司的一个开放的Kibana实例，数据存储中包含员工姓名、电子邮件等信息以及2.26亿条日志事件，总共1.2TB的数据，并且这些数据正在实时更新。在研究人员发现后不久，越南邮政总公司撤销了公开访问权限。虽然这次泄露不会为攻击者提供对敏感系统或用户账户的直接访问权限，但它包含了员工姓名、电子邮件等信息，但这些信息使潜在的攻击者能够确定在某个时间点哪些员工在工作，以及他们使用的设备。

https://securityaffairs.com/154271/data-breach/vietnam-post-data-leak.html?web_view=true

---