每日安全简讯(20240215)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Glupteba僵尸网络利用未记录的UEFI Bootkit逃避检测

研究人员发现Glupteba 僵尸网络包含了之前未记录的统一可扩展固件接口 ( UEFI ) bootkit 功能，为恶意软件增加了另一层复杂性和隐蔽性。这个 bootkit 可以干预和控制 [操作系统] 启动过程，使 Glupteba 能够隐藏自身并创建一种极难检测和删除的隐秘持久性。Glupteba 是一个功能齐全的信息窃取程序和后门，能够促进非法加密货币挖掘并在受感染的主机上部署代理组件。它利用比特币区块链作为备份命令和控制 (C2) 系统，使其能够适应网络攻击。其他一些功能允许它提供额外的有效负载、虹吸凭证和信用卡数据、执行广告欺诈，甚至利用路由器来获取凭证和远程管理访问权限。

https://unit42.paloaltonetworks.com/glupteba-malware-uefi-bootkit/#post-132484-_9pnlcgdp770l

---

2 恶意软件PikaBot以精简的代码和欺骗策略重新出现

Pikabot 是一款恶意软件加载程序，最初出现于 2023 年初。在 FBI 牵头取缔 Qakbot 后，2023 年下半年 Pikabot 的使用量显着增加，然而，Pikabot 在 2023 年圣诞节后不久就停止了活动，当时的版本号为 1.1.19。在 2024 年 2 月开始的最近的活动中，Pikabot 重新出现，其代码库和结构发生了重大变化。尽管它似乎处于新的开发周期和测试阶段，但开发人员通过删除高级混淆技术和更改网络通信来降低代码的复杂性，研究人员对其进行技术分析。

https://www.zscaler.com/blogs/security-research/d-evolution-pikabot

---

3  臭名昭著的Bumblebee恶意软件以新的攻击方法重新出现

研究人员发现，在 Proofpoint 威胁数据消失四个月后，Bumblebee恶意软件于 2024 年 2 月 8 日重返网络犯罪威胁领域。Bumblebee 是一种复杂的下载器，被多个网络犯罪威胁者使用，从 2022 年 3 月首次出现到 2023 年 10 月期间一直是受欢迎的有效负载，然后消失。  在 2024 年2 月份的活动中，Proofpoint 观察到数千封针对美国组织的电子邮件，主题为“二月语音邮件”，发件人“info@quarlesaa[.]com”发送，其中包含 OneDrive URL。这些 URL 指向一个 Word 文件，其名称如“ReleaseEvans#96.docm”（文件扩展名前的数字各不相同）。该 Word 文档欺骗了消费电子公司 Humane。 研究人员将继续观察新的、创造性的攻击链、绕过检测的尝试以及来自许多威胁参与者和未归属威胁集群的更新恶意软件。预计这种高行动节奏将持续下去，直到预期的夏季威胁因素爆发。

https://www.proofpoint.com/uk/blog/threat-insight/bumblebee-buzzes-back-black

---

4 大型航空公司喷气发动机经销商披露“未经授权的活动”

威利斯租赁金融公司 (Willis Lease Finance Corporation) 向美国监管机构承认，据称黑客从该公司窃取的数据被发布到 Black Basta 勒索软件组织的泄密博客后，该公司陷入了“网络安全事件”。该勒索软件组织声称窃取了价值 910 GB 的公司数据，涉及客户、员工、人力资源、保密协议 (NDA) 等。Black Basta 在网上发布了一份文件样本，包括其附属公司声称访问过的文件树的屏幕截图，以及各种人力资源文件，这些文件显示了公司各个部门和资历级别员工的社会安全号码。还包括保密协议的扫描件、威利斯与各主要航空公司之间的租赁协议的详细信息，以及大约 40 份身份证件（主要是护照）的扫描件。 研究人员通过互联网和社交媒体搜索交叉引用这些身份证件上的姓名，结果与主要在美国和英国的员工进行了大量匹配，也包括少数其他国家的员工。

https://www.sec.gov/Archives/edgar/data/1018164/000101816424000005/wlfc-20240209.htm

---

5 FCC要求电信运营商在30天内报告PII数据泄露事件

美国联邦通信委员会（FCC）从 2024年 3 月 13 日开始，电信公司必须根据 FCC 更新的数据泄露报告要求，在 30 天内报告影响客户个人身份信息的数据泄露事件。FCC 的最终规则是在2024 年 1 月（一年前的2023 年1 月）发布的几项提案之后制定的，并于 2022 年 1 月首次分发，重点是使委员会的违规通知规则现代化，以便电信运营商必须尽快向客户通知安全漏洞。更新后的数据泄露报告规则旨在确保“电信、互联网络语音协议 (VoIP) 和电信中继服务 (TRS) 提供商有责任保护敏感客户信息，并向客户提供工具”如果他们的数据受到损害，需要保护自己。”

https://www.bleepingcomputer.com/news/security/fcc-orders-telecom-carriers-to-report-pii-data-breaches-within-30-days/?&web_view=true

---

6 英国保德信金融集团遭遇数据盗窃网络攻击

保德信金融集团透露(Prudential Financial) ，其网络遭到破坏，攻击者窃取了员工和承包商的数据，一天后就被阻止访问受感染的系统。这家全球领先的金融服务财富 500 强公司管理着约 1.4 万亿美元的资产，为美国、亚洲、欧洲和拉丁美洲超过 5000 万客户提供保险、退休规划以及财富和投资管理服务。该公司已向执法机构报告了安全漏洞，并向所有相关监管机构通报了数据泄露事件。当前正在进行的调查正在评估该事件的全部范围和影响，包括对保险公司网络上其他信息或系统的潜在访问。然而，目前尚未发现任何迹象表明恶意行为者已获取客户或客户数据。

https://www.sec.gov/Archives/edgar/data/1137774/000119312524033753/d770643d8k.htm

---