每日安全简讯(20240318)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 ShadowSyndicate针对aiohttp漏洞发起扫描攻击

研究人员监测到，自2024年2月27日公布了aiohttp(异步HTTP客户端/服务器框架)漏洞(CVE-2024-23334)的概念验证(PoC)及教学视频后，网络犯罪集团ShadowSyndicate可能开始利用这一漏洞进行网络攻击。此漏洞为目录遍历问题，可能让未经认证的远程攻击者访问服务器上的敏感文件。根据研究人员的数据显示，全球有超过43000个aiohttp实例暴露在互联网上，其中美国、德国和西班牙的实例数量尤为突出。因此，这些未修补的实例潜在面临严重威胁，强烈建议立即修补至最新版本。研究人员监测到2月29日开始，有大量针对该漏洞的扫描尝试。通过对攻击源IP地址的分析发现，ShadowSyndicate自2022年7月活跃至今，涉嫌与多起勒索软件攻击事件有关。鉴于该集团对aiohttp漏洞的兴趣，组织应尽快更新软件至推荐版本3.9.2并采取必要的防护措施，以避免未来潜在的系统安全风险。

https://cyble.com/blog/cgsi-probes-shadowsyndicate-groups-possible-exploitation-of-aiohttp-vulnerability-cve-2024-23334/

---

2 Xehook Stealer窃取110种加密货币及2FA扩展

研究人员在2024年1月发现了一种针对Windows操作系统的.NET基础恶意软件Xehook Stealer，该软件起源于Cinoshi项目，并随后进化为Agniane Stealer。Xehook Stealer擅长从基于Chromium和Gecko的浏览器动态收集数据，支持超过110种加密货币和2FA扩展。此外，Xehook Stealer具备创建自定义流量机器人的API，并能恢复失效的谷歌Cookies。此恶意软件与Agniane Stealer有大量代码重叠，并展现出代码库和功能的演进关系。两者的配置数据相似，且都与同一指挥控制服务器(C&C)通信。Xehook Stealer通过恶意软件分发媒介SmokeLoader传播，显示出其被积极推广。通过技术分析表明，Xehook Stealer使用多重探测方法以避免被沙箱环境和恶意软件分析工具检测。它还可以通过网络监测、Fake Error Message和强化日志删除等技术隐藏其痕迹，表明了其隐蔽性和持续的恶意活动。

https://cyble.com/blog/xehook-stealer-evolution-of-cinoshis-project-targeting-over-100-cryptocurrencies-and-2fa-extensions/

---

3 黑客利用GitHub破解软件传播RisePro信息窃取器

GitHub平台上的多个代码仓库被发现提供破解软件下载链接，用以传播名为RisePro的信息窃取器。这场代码命名为“gitgub”的运营涉及11个不同账号的17个仓库，目前已被GitHub母公司微软关闭。这些仓库中的README.md文件承诺提供免费的破解软件，并利用仿冒正常构建状态的绿色Unicode圆点和当前日期，伪装合法性和最新性。受影响的仓库包括了多种软件的破解版，如AVAST、VoiceMod、CCleaner等，每个仓库中都附有指向下载链接(digitalxnetwork[.]com)的RAR文件。RAR文件需要密码(在仓库的README.md中提供)来解压，解压后的安装文件会释放出下一阶段的负载，即一个可执行文件。该文件膨胀至699MB，旨在破坏像IDA Pro这样的分析工具。实际文件内容仅为3.43MB，作为装载器将RisePro(版本1.6)注入AppLaunch.exe或RegAsm.exe中。RisePro首次在2022年末因通过名为PrivateLoader的PPI恶意软件下载服务而引起关注。以C++编写的RisePro旨在从受感染的主机收集敏感信息，并将其窃取到两个Telegram频道，这些频道常被威胁行为者用于提取受害者数据。更有趣的是，最近Checkmarx的研究显示，可以从攻击者的Telegram机器人渗透并转发消息到另一个Telegram账户。研究人员详细描述了蛇形键盘记录器(Snake Keylogger)的策略和技术，将其描述为"利用多方位方法执行数据泄露"的窃取器恶意软件。它使用FTP来安全传输文件，利用SMTP发送含有敏感信息的电子邮件，并通过与Telegram的集成提供实时通信平台，以便立即传输被盗数据。

https://www.gdatasoftware.com/blog/2024/03/37885-risepro-stealer-campaign-github

---

4 宾夕法尼亚斯克兰顿学区遭受勒索软件攻击

近日，宾夕法尼亚州斯克兰顿的学区遭受了勒索软件攻击，导致信息技术中断。斯克兰顿学区正在与第三方取证专家合作，调查安全漏洞并恢复受影响的系统。斯克兰顿学区在Facebook上发布的一篇帖子中表示：“攻击暂时中断了我们的部分电脑系统和服务。我们正在与第三方取证专家通力合作，调查此事件的来源，并尽快全面恢复系统的功能。”斯克兰顿学区代理校长帕特里克·莱菲(Patrick Laffey)报告称，学区的电脑系统最近被黑客攻破并感染了勒索软件。学区命令全体校工不得使用任何电子设备，并卸载所有移动设备上与学校相关的应用程序。斯克兰顿教师联合会主席罗斯玛丽·博兰(Rosemary Boland)表示：“由于我们在系统中增强了安全措施，某些功能可能会比平时慢。”目前，斯克兰顿学区的官方网站无法访问，Facebook账户在编写本文时也不可用。学区尚未透露有关勒索软件攻击的详细信息，目前还不清楚针对该组织的是哪个勒索软件家族，以及学校是否遭遇了数据泄露。

https://www.thetimes-tribune.com/news/education/scranton-school-district-computers-hacked-infected-with-ransomware/article_3019e563-fd47-508e-b6af-91a9f9361a5e.html

---

5 美国从币安平台追回230万美元“养猪盘”诈骗资金

美国司法部(DoJ)正在追回价值230万美元的与“养猪盘”诈骗计划相关的加密货币，该计划在美国至少对37名受害者构成欺诈。“养猪盘”是一种社会工程骗局，骗子通过社交媒体和即时通讯平台与受害者(即“猪”)建立信任，最终诱导受害者向假冒投资网站存入加密货币，在伪造的平台上虚假展示利润丰厚的投资回报。然而受害者的存款并未投资，而是直接流入诈骗者的口袋(即“宰杀”)，受害者仅获得一个虚拟余额，以尽可能延长欺骗时间。这类诈骗通常起始于浪漫诈骗，恶意行为者首先与受害者建立信任关系，然后引诱他们参与加密货币投资计划。在调查2023年针对一名马萨诸塞州居民的养猪盘诈骗案中，执法调查人员追踪到两个币安钱包中持有的约230万美元加密货币。进一步的调查显示，这些额外的资金与全国其他36人遭受同一威胁行为者多种欺诈计划有关。

https://www.bleepingcomputer.com/news/cryptocurrency/us-moves-to-recover-23-million-from-pig-butchers-on-binance/

---

6 黑客声称从Viber通讯应用获取740GB数据

一群自称“Handala Hack”的亲巴勒斯坦黑客组织声称已经访问了Viber通讯应用的服务器，并盗取了包括源代码在内的740GB数据。黑客组织要求支付8比特币(约583000美元)的赎金用于偿还被盗信息。Viber是一款于2010年推出并在2014年被日本跨国公司乐天集团以9亿美元收购的通讯应用。尽管Viber否认遭到数据泄露，但它已经启动了调查，以核实是否发生了安全漏洞。如果确认，这可能是近期最大的一起数据泄露事件。专家认为，这次泄露可能涉及个人消息、通话记录、联系方式和财务信息，可对Viber用户造成严重影响。

https://www.hackread.com/hackers-claim-740gb-of-data-viber-messaging-app/

---