每日安全简讯(20240219)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SpyNote Android间谍软件冒充合法加密钱包窃取资金

研究人员最新研究显示，Android 间谍软件 SpyNote 开发人员现在正在考虑加密货币，不仅仅是凭证间谍，还可以启动加密货币传输。研究人员指出，Spynote 是一种臭名昭著的远程访问木马 ( RAT )，现在通过滥用 Accessibility API 瞄准“著名的加密钱包”。该 API 的工作是自动执行 UI 操作，例如记录设备解锁手势，主要对残障人士有帮助。恶意代码滥用 Accessibility API 自动填写表格并将加密货币转移给网络犯罪分子。它读取并记住目标钱包地址和金额，并将其替换为攻击者的加密钱包地址。

https://www.hackread.com/spynote-android-spyware-legit-crypto-wallets/?web_view=true

---

2 基于Go的JKwerlo勒索软件给法国和西班牙用户带来风险

研究人员分析了 JKwerlo，这是一种基于 Go 的复杂勒索软件变体，针对法语和西班牙语用户发起有针对性的攻击。该活动使用特定于语言的 HTML 文件来诱捕毫无戒心的受害者，并根据语言的细微差别定制其方法。JKwerlo 勒索软件会删除Taskmgr.exe和Resmon.exe以禁用监控功能。此外，它还使用PsExec和Rubeus等工具进行横向移动、获得提升的权限、逃避检测等。并利用 Dropbox 链接进行有效负载传输会增加该活动的复杂性，从而利用合法服务达到恶意目的。

https://cyble.com/blog/new-go-based-jkwerlo-ransomware-poses-a-risk-to-french-and-spanish-users/

---

3  研究人员对勒索软件Alpha与NetWalker进行同源分析

Alpha 是一种新型勒索软件，于 2023 年 2 月首次出现，并在最近几周加强了运作，与早已不存在的 NetWalker 勒索软件非常相似，NetWalker 勒索软件于 2021 年 1 月在一次国际 执法行动后消失。 对 Alpha 的分析揭示了与旧版 NetWalker 勒索软件的显着相似之处。这两种威胁都使用类似的基于 PowerShell 的加载程序来传递有效负载。除此之外，Alpha 和 NetWalker 有效负载之间存在大量代码重叠，经分析研究人员认为 Alpha 可能是一个或多个原始 NetWalker 开发人员试图恢复旧勒索软件操作的尝试。或者，Alpha 背后的攻击者可能已经获取并修改了原始 NetWalker 有效负载，以便启动他们自己的勒索软件操作。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware?web_view=true

---

4 Kryptina RaaS勒索工具从付费服务变为公开可用

过去五年多来，勒索软件攻击激增的关键驱动因素之一是勒索软件即服务模式的发展和扩散，这种模式为网络犯罪分子提供易于使用、低成本的工具，开展和管理勒索软件活动。研究人员最近观察到的 Kryptina Raas 是一个专用的 Linux 攻击框架，它为该模型添加了新的变化：从付费服务转变为公开可用的工具。。本文探讨了 Kryptina RaaS 的发展、技术细节和影响及其向开源犯罪软件的发展，并深入探讨防御者需要了解哪些知识来防范最新的 Linux 勒索软件以及开源威胁对组织造成的危险。

https://www.sentinelone.com/blog/kryptina-raas-from-underground-commodity-to-open-source-threat/

---

5 研究人员发现DNSSEC中设计漏洞KeyTrap

研究人员发现，域名系统安全扩展 (DNSSEC) 功能中名为 KeyTrap 的严重漏洞可能会被利用来长时间拒绝应用程序的互联网访问。KeyTrap 的编号为 CVE-2023-50387，它是 DNSSEC 中的一个设计问题，会影响所有流行的域名系统 (DNS) 实施或服务。它允许远程攻击者通过发送单个 DNS 数据包在易受攻击的解析器中造成长期持续的拒绝服务 (DoS) 情况。黑客只需一个 DNS 数据包就可以阻止所有广泛使用的 DNS 实施和公共 DNS 提供商。利用此攻击将对任何使用 Internet 的应用程序造成严重后果，包括导致 Web 浏览、电子邮件和即时消息等技术无法使用。

https://www.athene-center.de/en/news/press/key-trap

---

6 新的Wi-Fi身份验证绕过漏洞暴露家庭和企业网络

研究人员发现开源 WiFi 软件中的两个新漏洞允许攻击者诱骗受害者连接到受信任网络的恶意克隆并拦截其流量，并无需密码即可加入其他安全网络。其中一个漏洞影响连接到企业 WiFi 网络的 Android、ChromeOS 和 Linux 设备，另一个漏洞影响使用 Linux 设备作为无线接入点的家庭 WiFi。

https://www.top10vpn.com/research/wifi-vulnerabilities/

---