每日安全简讯(20240309)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Snake恶意软件通过Facebook消息传播

研究人员最近发现威胁行为者正在利用Facebook信息来传播一种名为Snake的基于Python的信息窃取软件。该软件被发现可以窃取从感染系统中收集的凭据，并通过滥用Discord、GitHub和Telegram的API将它们传输到不同的平台。威胁行为者通过Facebook信使直接向受害者发送信息，试图诱使他们下载RAR或ZIP文件。这些归档文件包含两个下载器，一个批处理脚本和一个cmd脚本，最终下载器会在受害者的系统上释放适当的Python Infostealer变体。研究人员还指出，该信息窃取软件能够收集各种网络浏览器的敏感数据，并存在针对越南社区的特定需求，可能将受害者的Facebook帐户也纳入攻击范围。根据脚本中的评论、命名约定以及针对Coc Coc Browser的攻击行为等迹象，研究人员将此活动归因于越南人，该报告还包括了对此活动的MITRE ATT＆CK映射。

https://www.cadosecurity.com/spinning-yarn-a-new-linux-malware-campaign-targets-docker-apache-hadoop-redis-and-confluence/

---

2 嵌入式PLC恶意软件威胁扩展至工控系统

研究人员发表的一篇论文中指出，嵌入到工业固件中的Web服务器可能为黑客提供了一个攻击的新途径。这些Web服务器被嵌入到以往依赖串行通信协议的可编程逻辑控制器(PLC)中，是目前占据全球市场80%份额的每一家大型PLC供应商的产品。这种嵌入Web服务的便利性深刻而不可逆转地改变了工业控制系统(ICS)生态系统。攻击者可以利用嵌入式Web PLC恶意软件来伪造传感器读数、禁用安全警报、操作物理执行器，甚至造成人员伤亡等灾难性事件。传统的PLC恶意软件受固有硬件约束和实时操作系统的限制，而这些新型的Web PLC恶意软件则可以通过浏览器执行，对工业设备及其控制系统造成严重损害。黑客可以通过多种方式感染PLC Web服务器，包括通过用户自定义的Web页面或利用HTML5特性“service worker”，该特性允许JavaScript资产在Web浏览器和Web服务器之间充当代理，即使主要恶意载荷被从设备上彻底移除，缓存的JavaScript文件还是可以重新感染设备。与传统PLC恶意软件不同，Web PLC恶意软件无需深入了解物理过程或执行器设置，可以简单地通过虚拟操作界面造成破坏。此外，攻击者可以滥用管理员设置进一步破坏或窃取工业间谍数据。随着这种新型恶意软件的出现，过去在控制室内操作的场景可能被转移到了使用平板电脑或开着谷歌Chrome的控制室内。因此这代表了对运营技术环境的新威胁，可能导致比历史上著名的Stuxnet病毒更严重的后果。

https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf

---

3 比利时Duvel啤酒厂遭勒索软件攻击

比利时著名的啤酒酿造厂Duvel Moortgat因勒索软件攻击而宣布生产设施暂时停摆。该公司发言人在周三对当地媒体表示，勒索软件于前一晚凌晨1点30分被检测到，随即紧急停止了生产。目前尚不清楚何时能够恢复，但公司希望在今天或明天重启生产。IT团队正在应对此次网络攻击并试图迅速找到解决方案。Duvel Moortgat没有透露更多有关攻击的细节，也不清楚哪个组织是幕后黑手。虽然生产操作受阻，但公司称已有充足的库存，暂时的停工不会影响啤酒供应。遭受此类网络攻击的制造业组织通常不会如此幸运，任何停工都可能造成运营和财务上的损失。

https://www.nieuwsblad.be/cnt/dmf20240306_93861112

---

4 FBI发布报告表示去年勒索软件攻击激增

根据FBI互联网犯罪投诉中心(IC3)最新发布的互联网犯罪报告，2023年，IC3接到了创纪录的880418起投诉，较去年增加近10%。报告的损失总计超过了125亿美元，较去年增长约22%。上一年度最常见的网络犯罪类型包括钓鱼攻击、个人数据泄露、货物未付款或未交付、勒索和技术支持诈骗。投资欺诈在去年成为了损失最严重的犯罪类型，损失增加了38%，达到了45.7亿美元。商业电子邮件妥协导致了29亿美元的损失。技术支持与客户服务诈骗(包括政府冒充诈骗)造成了13亿美元的损失，超过半数的受害者年龄在60岁以上，并报告了近60%的总损失。勒索软件对关键基础设施的攻击尤为猖獗，IC3收到来自该领域受害者的报告增加了18%，损失总计达到了6000万美元，相对于2022年增加了74%。尤其是医疗保健和公共卫生机构在报告勒索软件攻击方面数量最多，其次是关键制造业和政府设施。攻击者可能会针对这些部门，因为它们由于系统中断对生命或基本业务流程构成风险，可能更倾向于支付赎金。

https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/2023ic3report-1.pdf

---

5 Play勒索软件组泄露瑞士政府机密数据

瑞士IT服务提供商Xplain于2023年6月遭受了Play勒索软件团伙的网络攻击。攻击者通过利用漏洞锁定Xplain为州服务托管的服务器，要求支付赎金以换取解锁工具。波及影响包括联邦警察局、联邦海关和边境保护办公室、瑞士联邦铁路和阿尔高州政府。此外，6月瑞士联邦政府网站及瑞士联邦铁路在线门户也遭遇了DDoS攻击，数个网站因此不可访问，负责攻击的是自称为亲俄团体“NoName”。Play勒索软件团伙在其暗网泄露网站上公布了约65000份瑞士联邦政府文件，包括机密文件和登录凭证。瑞士国家网络安全中心(NCSC)已共同进行调查，并发布了攻击后果的详细信息。约有70%(约47413份)的文件属于Xplain，14%(9040份)属于联邦行政部门。其中，约95%的文件来自瑞士联邦政府，主要涉及联邦司法与警察部门、联邦司法办公室、联邦警察局、移民秘书处和ISC-FDJP。联邦行政部门的文件中，约半数包含敏感内容，例如个人数据、技术信息、分类信息和密码。有4779份文件含有个人数据，278份文件含有技术信息。121个项目被列为信息保护条例下的机密，其中4个包含可读密码。

https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2024/bericht-datenanalyse-xplain.html

---

6 芝加哥儿童医院遭勒索攻击并遭数据泄露

芝加哥一家儿童医院在1月底发现的网络攻击之后，终于恢复了电子健康记录(EHR)系统的访问，但儿科医院的MyChart患者门户和其他一些系统仍在努力恢复在线。同时，勒索软件团伙Rhysida据称本周在暗网上销售了在对安妮&罗伯特H·卢瑞儿童医院(Ann & Robert H. Lurie Children's Hospital of Chicago)的攻击中窃取的数据。Rhysida勒索软件团伙大约在一周前首次以60比特币(约合340万美元)的价格出售这些数据。卢瑞儿童医院每年接待的患者超过22万人，医院在周三对网络攻击的最新情况更新中表示，最近重新激活了其Epic EHR平台和其他关键系统，但MyChart目前仍然不可用。医院表示：“我们的团队正在不懈地努力，尽快激活所有剩余的系统，包括MyChart。”医院还指出，作为一个学术医疗中心，其系统高度复杂，恢复过程需要时间。医院正在与内部和外部专家密切合作，遵循仔细的流程逐步恢复系统，这包括在重新上线之前验证和测试每个系统。

https://www.luriechildrens.org/en/cybersecurity-matter/

---