每日安全简讯(20231227)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露Kimsuky组织使用的AppleSeed恶意软件

Kimsuky 组织自 2013 年以来一直活跃。最初对韩国的朝鲜相关研究机构进行了攻击，并确认了 2014 年对韩国能源机构的攻击， 2017 年以来，针对韩国以外国家的袭击也已得到证实。主要通过鱼叉式网络钓鱼攻击攻击国防、军工、媒体、外交、政府机构、学术领域，旨在窃取组织内部信息和技术。Kimsuky 组织通常使用鱼叉式网络钓鱼攻击作为初始渗透路线，但最近，许多攻击案例都是使用LNK格式的快捷方式恶意软件进行的。LNK 恶意软件在近期攻击中所占比例很高，但利用 JavaScript 恶意软件或恶意文档文件进行攻击的案例也不断得到证实。研究人员披露使用 JavaScript 恶意软件的攻击主要用于分发 AppleSeed 恶意软件。AppleSeed 是一种后门恶意软件，可以执行从 C&C 服务器接收到的攻击者命令。攻击者可以使用 AppleSeed 来控制受感染的系统，它还支持安装额外恶意代码的下载程序功能、键盘记录和屏幕捕获，以及从用户系统收集和传输文件的信息盗窃功能。

https://asec.ahnlab.com/ko/59933/

---

2 研究人员披露基于Rust的恶意软件针对印度政府实体的RusticWeb行动

印度政府实体和国防部门已成为网络钓鱼活动的目标，该活动旨在投放基于 Rust 的恶意软件以进行情报收集。该活动于 2023 年 10 月首次检测到，企业安全公司 SEQRITE 将该活动代号为“Operation RusticWeb”。新的基于 Rust 的有效负载和加密的 PowerShell 命令已被用来将机密文档泄露到基于 Web 的服务引擎，而不是专用的命令和控制 (C2) 服务器。该集群与被广泛追踪的“Transparent Tribe”和“SideCopy ”集群之间已发现战术上的重叠，这两个集群均被评估为与巴基斯坦有关。SideCopy 也是透明部落中可疑的从属元素。上个月，SEQRITE详细介绍了该威胁行为者针对印度政府机构发起的多次活动，以传播 AllaKore RAT、Ares RAT 和 DRat 等众多木马。

https://www.seqrite.com/blog/operation-rusticweb-targets-indian-govt-from-rust-based-malware-to-web-service-exfiltration/

---

3 UAC-0099组织利用LONEPAGE恶意软件攻击乌克兰公司

攻击者 UAC-0099 组织与针对乌克兰的持续攻击有关，其中一些攻击利用 WinRAR 软件中的高严重性缺陷来传播名为 LONEPAGE 的恶意软件。攻击者的目标是在乌克兰境外公司工作的乌克兰员工。UAC-0099首次由乌克兰计算机紧急响应小组 (CERT-UA) 于 2023 年 6 月记录，详细说明了其出于间谍动机对国家组织和媒体实体的攻击。攻击链利用包含 HTA、RAR 和 LNK 文件附件的网络钓鱼消息，导致部署LONEPAGE，这是一种 Visual Basic Script (VBS) 恶意软件，能够联系命令和控制 (C2) 服务器来检索其他有效负载，例如如键盘记录程序、窃取程序和屏幕截图恶意软件。HTA 附件的使用只是三个不同感染链之一，另外两个利用自解压 (SFX) 档案和 Bobby-trapped ZIP 文件。ZIP文件利用WinRAR漏洞（CVE-2023-38831，CVSS评分：7.8）来分发LONEPAGE。

https://www.deepinstinct.com/blog/threat-actor-uac-0099-continues-to-target-ukraine

---

4 欧洲刑警组织警告443家网上商店遭受信用卡盗窃者攻击

欧洲刑警组织已通知 400 多个网站，它们的网上商店遭到恶意脚本的攻击，这些脚本会窃取顾客购物时的借记卡和信用卡。浏览器是添加到结账页面或从远程资源加载以逃避检测的 JavaScript 代码小片段。它们旨在拦截和窃取支付卡号、有效期、验证码、姓名和送货地址，然后将信息上传到攻击者的服务器。攻击者利用窃取的数据执行未经授权的交易，例如在线购买，或将其转售给暗网市场上的其他网络犯罪分子。这些攻击可能在数周甚至数月内都未被发现，并且根据被破坏的电子商务平台的受欢迎程度，网络犯罪分子可以收集大量支付卡详细信息。欧洲刑警组织解释说：“在国家计算机安全事件响应小组 (CSIRT) 的支持下，为期两个月的行动使欧洲刑警组织及其合作伙伴能够通知 443 家在线商家，他们的客户的信用卡或支付卡数据已被泄露。”

https://www.group-ib.com/media-center/press-releases/digital-skimming-action/

---

5 攻击者利用恶意Chrome拓展程序针对俄语用户发起网络攻击

三个冒充 VPN（虚拟专用网络）感染的恶意 Chrome 扩展程序被下载了 150 万次，充当浏览器劫持者、现金返还黑客工具和数据窃取者。它们是通过隐藏在《侠盗猎车手》、《刺客信条》和《模拟人生 4》等流行视频游戏的盗版副本中的安装程序进行传播的，这些游戏是从 torrent 网站分发的。研究人员将其调查结果通知了谷歌，这家科技巨头从 Chrome 网上应用店中删除了这些违规扩展，但前提是这些扩展的下载总量已达到 150 万次。具体来说，恶意扩展是 netPlus（100 万次安装）、netSave 和 netWin（50 万次安装）。大多数感染发生在俄罗斯以及乌克兰、哈萨克斯坦和白俄罗斯等国家，因此该活动似乎针对讲俄语的用户。

https://reasonlabs.com/research/the-cashback-extension-killer

---

6 ESET修复了多个产品的安全流量扫描功能中的高严重性漏洞

ESET 修复了安全流量扫描功能中的一个高严重性漏洞，该缺陷可能被利用导致 Web 浏览器信任不应信任的网站。ESET 解决了安全流量扫描功能中的一个漏洞（CVE-2023-5594，CVSS 评分 7.5），防止潜在的漏洞利用，该漏洞可能导致 Web 浏览器信任使用过时且不安全的算法签名的证书的网站。该问题存在于 ESET 产品中实施的 SSL/TLS 协议扫描功能中。ESET 已意识到其 SSL/TLS 协议扫描功能中存在漏洞，该功能在下面受影响的产品部分列出的 ESET 产品中可用。此漏洞会导致浏览器信任一个网站，该网站的证书是用过时的算法签名的，而该算法不应被信任。

https://support.eset.com/en/ca8562-eset-customer-advisory-improper-following-of-a-certificates-chain-of-trust-in-eset-security-products-fixed

---