每日安全简讯(20240301)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 与伊朗有关的黑客瞄准中东航空航天和国防部门

研究人员发现针对中东国家（包括以色列和阿拉伯联合酋长国（UAE），可能还有土耳其、印度和阿尔巴尼亚）的航空航天和国防工业的涉嫌与伊朗有联系的间谍活动。 研究人员将这一活动归因于伊朗攻击者 UNC1549 ，该攻击者与Tortoiseshell重叠 ，Tortoiseshell是一个已公开 与 伊朗伊斯兰革命卫队 (IRGC)有联系的威胁攻击者。这一可疑的 UNC1549 活动至少自 2022 年 6 月以来一直活跃，并且截至 2024 年 2 月仍在持续。虽然其本质上是区域性的，并且主要集中在中东，但目标包括在全球运营的实体。此外还观察到该活动部署了多种规避技术来掩盖活动路径。

https://thehackernews.com/2024/02/iran-linked-unc1549-hackers-target.html

---

2 TimbreStealer恶意软件以税务为主题瞄准墨西哥用户

据观察，该威胁行为者至少从 2023 年 11 月开始，通过使用墨西哥税务相关主题的垃圾邮件活动来分发 TimbreStealer。该威胁行为者之前曾使用类似的策略、技术和程序 (TTP) 来分发名为“Mispadu”的银行木马。TimbreStealer 是一种新的模糊信息窃取程序，针对墨西哥的受害者。它包含多个嵌入式模块，用于编排、解密和保护恶意软件二进制文件。网络钓鱼活动使用地理围栏技术仅针对墨西哥的用户，任何从其他位置联系有效负载站点的尝试都将返回空白 PDF 文件，而不是恶意文件。据观察，目前的垃圾邮件主要使用墨西哥称为 CDFI 的数字税单标准，研究人员还观察到在同一活动中使用通用发票主题的电子邮件。

https://blog.talosintelligence.com/timbrestealer-campaign-targets-mexican-users/

---

3 Agent Tesla恶意软件利用邮件传播恶意载荷

研究人员发现Agent Tesla 恶意软件活动在大流行开始时有所增加，并不断发展技术并使用新策略交付和执行。攻击者利用电子邮件仿冒品牌，寻求在Booking.com上进行的预订退款，并要求收件人检查随附的 PDF 格式的卡对账单。感染过程之后会出现带有 PDF 附件形式的预订发票的虚假电子邮件，该电子邮件会下载恶意JavaScript，在执行时会下载 PowerShell 脚本。PowerShell 脚本具有复杂的多阶段混淆策略，在反混淆时发现该策略正在执行一系列技术并加载 Agent Tesla 恶意软件。一旦恶意软件成功渗透，攻击者就可以进行恶意活动，例如窃取数据和在受感染的系统上执行命令。

https://www.forcepoint.com/blog/x-labs/agent-tesla-malware-attacks-travel-industry?&web_view=true

---

4 德国黑森州消费者中心遭受勒索软件攻击

黑森州是德国中部的一个州，人口超过 600 万，涵盖德国第二大都市区和主要金融中心法兰克福。黑森州消费者中心是一个非营利组织，旨在向黑森州居民提供有关消费者法、电话和互联网、金融和保险、节能、健康和护理、食品和营养等方面的公正和中立的建议。 近日，黑森州消费者咨询中心的 IT 基础设施遭到攻击。黑森州消费者咨询中心暂时无法使用或只能在有限范围内使用。目前，所有电话、咨询热线以及服务电话现已恢复正常。电子邮件通信也可以再次不受限制，服务器上的大部分数据都可以恢复。尚不清楚这次黑客攻击是如何发生的，黑森州消费者建议中心与外部 IT 安全专家密切合作。

https://www.verbraucherzentrale-hessen.de/pressemeldungen/verbraucherzentrale/hackerangriff-auf-verbraucherzentrale-hessen-92732

---

5 medQ软件平台确认被黑客攻击导致数据泄露

2024 年 2 月 23 日，研究人员发现黑客访问并加密了 medQ 使用的软件平台后，向缅因州总检察长提交了数据泄露通知。通知中表示该事件导致未经授权的一方能够访问消费者的敏感信息，其中包括他们的姓名、社会安全号码、驾驶执照号码、出生日期、健康信息、诊断、实验室结果、药物、治疗信息以及健康保险和索赔信息。调查完成后，medQ 开始向所有信息受到最近数据安全事件影响的个人发送数据泄露通知信。

https://www.jdsupra.com/legalnews/medq-confirms-data-breach-after-8682976/?&web_view=true

---

6 Anycubic 3D打印机在全球范围内遭到黑客攻击

根据 Anycubic 的一波在线报告，有人入侵了他们的 3D 打印机，并警告这些设备面临攻击。据称，此漏洞使潜在攻击者能够使用该公司的 MQTT 服务 API 控制任何受此漏洞影响的 Anycubic 3D 打印机。部分受害机器会收到提醒消息“您的机器存在严重漏洞，对您的安全构成重大威胁。强烈建议立即采取行动，以防止潜在的利用，”建议收到此警告消息的客户断开打印机与互联网的连接，直到修复安全问题。

https://www.bleepingcomputer.com/news/security/anycubic-3d-printers-hacked-worldwide-to-expose-security-flaw/

---