每日安全简讯(20240304)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SPIKEDWINE组织利用WINELOADER后门攻击欧洲官员

最近，研究人员观察到一个新的威胁行为者，被命名为SPIKEDWINE，已经被发现针对欧洲的官员进行了一系列的攻击，利用了一个之前未被发现的后门程序WINELOADER。这个后门程序有一个模块化的设计，可以从控制服务器下载加密的模块，并使用一些逃避技术来保护内存中的敏感数据。SPIKEDWINE组织使用了一个伪装成印度大使的邀请函的PDF文件作为诱饵，该文件包含了一个指向一个恶意ZIP文件的链接，该ZIP文件包含了一个HTA文件，用于启动感染链。SPIKEDWINE组织在多个阶段使用了被入侵的网站，以增加其攻击的隐蔽性。目前，尚不清楚这个组织的真实身份和动机，但是他们可能是一个有国家背景的APT组织，试图利用印度和欧洲国家之间的地缘政治关系来进行间谍活动。

https://www.zscaler.com/blogs/security-research/european-diplomats-targeted-spikedwine-wineloader

---

2 研究人员发现Pikabot恶意软件呈上升趋势

Pikabot是一种新型的恶意软件，它是Qakbot(QBot)木马的继承者，Qakbot是一种在2023年8月被关闭的臭名昭著的木马，曾经被许多勒索软件团伙用来进行初始访问和传递次级载荷。Pikabot是一种模块化的木马，它可以从控制服务器下载加密的模块，并使用一些逃避技术来保护内存中的敏感数据。Pikabot还可以执行任意命令，下载额外的载荷，并将恶意代码注入到受害者计算机上运行的合法进程中。Pikabot的分发主要依赖于电子邮件垃圾邮件活动，但也有通过恶意搜索广告(也称为“恶意广告”)传播的情况。Pikabot的初始访问活动非常精心制作，使用了针对特定国家的地理定位的垃圾邮件，这些邮件通常包含指向外部SMB(服务器消息块)共享的链接，这些共享中托管了恶意的zip文件。SMB共享是利用SMB协议的网络文件夹，SMB协议是一种用于在网络上共享文件和打印机的网络文件共享协议。攻击者经常使用SMB共享来分发恶意软件。在这种情况下，下载并打开托管的zip文件会导致Pikabot感染。Pikabot与Qakbot木马有一些相似之处，包括分发方法、行为和内部活动标识符。然而，目前还没有足够的证据可以明确地将这两种恶意软件家族与同一威胁行为者联系起来。

https://www.malwarebytes.com/blog/business/2024/03/pikabot-malware-on-the-rise-what-organizations-need-to-know

---

3 利用ScreenConnect工具的网络钓鱼活动针对加密货币和医疗用户

研究人员发现了一个复杂的网络钓鱼活动，这个活动利用了ConnectWise开发的ScreenConnect远程支持和管理工具，这是一种广泛使用的工具，可以在Linux，Windows和Mac系统上提供远程桌面查看，文件传输和全面的管理任务。网络钓鱼者使用精心制作的钓鱼网站和子域名接管技术，诱骗受害者下载恶意的ScreenConnect客户端。这样网络钓鱼者就可以获得未经授权的系统访问，造成数据盗窃，恶意软件部署和关键基础设施中断的严重风险。分析表明，这个活动主要关注加密货币爱好者和美国的医疗机构。

https://cyble.com/blog/ongoing-phishing-campaign-targets-healthcare-and-cryptocurrency-users-via-screenconnect/

---

4 CISA等机构联合发布关于Phobos勒索软件防御指南

CISA，FBI和MS-ISAC发布了一份关于Phobos勒索软件的联合网络安全指南，该活动旨在发布一些针对网络防御者的咨询，详细介绍了各种勒索软件变体和勒索软件威胁行为者。这些防御指南内容包括了最近和历史上观察到的TTPs和IOCs，以帮助组织防范勒索软件。Phobos勒索软件是一种RaaS模式的勒索软件，自2019年5月以来，MS-ISAC就经常收到影响州，地方，部落和领土(SLTT)政府的Phobos勒索软件事件的报告。这些事件针对了市政和县政府，紧急服务，教育，公共医疗和其他关键基础设施实体，成功地勒索了数百万美元。联合网络安全咨询提供了Phobos勒索软件的技术细节，包括其分发方法，部署和安装过程，远程控制能力，以及一些反分析技术。

https://www.cisa.gov/sites/default/files/2024-02/aa24-060a-stopransomware-phobos-ransomware_1.pdf

---

5 CISA发布关于Microsoft Streaming Service漏洞被恶意软件攻击利用的警告

CISA发布了一份关于Microsoft Streaming Service漏洞被恶意软件攻击利用的警告，这个漏洞是一个高危的本地提权漏洞，编号为CVE-2023-29360，存在于MSKSSRV.SYS驱动程序中，该驱动程序是Windows系统中负责流媒体服务的组件。这个漏洞允许本地攻击者通过未信任的指针解引用来获取系统权限，从而可以执行任意代码，安装恶意软件，或者访问敏感数据。这个漏洞在2023年6月被公开，并在9月份有一个可用的利用代码发布在GitHub上。CISA表示，这个漏洞已经被恶意软件攻击者利用，尤其是Raspberry Robin蠕虫，这是一种可以通过USB驱动器传播的恶意软件，与EvilCorp和Clop勒索软件团伙有关联。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-microsoft-streaming-bug-exploited-in-malware-attacks/

---

6 网络新闻农场模仿60多个主流媒体的网站进行剽窃

研究人员发现了一个网络新闻农场，该网络新闻农场运营着60多个域名，这些域名与流行的媒体网站非常相似，例如BBC，Bloomberg，CNBC，CNN，Crunchbase，Forbes，Huffington Post，卫报，Metro，Mirror，Telegraph，Reuters，Washington Times和Washington Post等。这些网站直接复制了其他来源的新闻文章，没有适当的引用，实际上是在剽窃它们。这些网站的内容质量很低，有些甚至包含了错误的信息，例如错误的日期，作者，来源和图片。这些网站的目的可能是为了提高他们的在线赌博业务的搜索引擎优化，或者诱骗用户点击恶意链接。研究人员的分析显示，这些网站都使用了同一个Google Analytics ID，表明它们都由同一个实体控制。

https://www.bleepingcomputer.com/news/security/news-farm-impersonates-60-plus-major-outlets-bbc-cnn-cnbc-guardian/

---