每日安全简讯(20240412)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 8220挖矿组织利用ScrubCrypt加载器传播VenomRAT

研究人员最近发现一个由攻击者分发的包含恶意SVG文件的网络钓鱼电子邮件。该电子邮件引诱受害者点击附件，该附件会下载一个ZIP文件，其中包含使用BatCloak工具混淆的Batch文件，然后使用ScrubCrypt加载器投放最终有效载荷VenomRAT，同时保持与命令和控制（C2）服务器的连接，以在受害者的环境中下载执行其他恶意软件，包括其他版本的VenomRAT、Remcos、XWorm、NanoCore和专门用于窃取加密钱包信息的木马。

https://www.fortinet.com/blog/threat-research/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins

---

2 攻击者利用恶意Visual Studio项目传播Keyzetsu恶意软件

攻击者正在滥用GitHub自动化功能和恶意Visual Studio项目来传播“Keyzetsu”剪贴板劫持器的新变种以窃取加密货币。该恶意软件活动使用了多个以热门主题和项目命名的GitHub存储库，攻击者利用GitHub Actions修改日志文件并进行微小的随机更改，以非常高的频率自动更新这些存储库。这样做是为了让存储库在按“最近更新”排序的搜索结果中排名靠前。另一个潜在的自动化过程是创建虚假的GitHub帐户，在这些存储库上添加虚假的星星，以营造一种虚假的受欢迎程度和可信度。这些相关恶意项目最终投放的都是Keyzetsu剪贴板劫持器的变种，它会将Windows剪贴板的内容替换为攻击者自己的数据。

https://www.bleepingcomputer.com/news/security/malicious-visual-studio-projects-on-github-push-keyzetsu-malware/

---

3 研究人员披露Pikabot恶意软件使用的混淆手段

Pikabot是一种恶意软件加载器，最初于2023年初出现，其突出功能之一是代码混淆，用以规避检测并阻止安全人员进行逆向分析。Pikabot采用混淆手段来加密二进制字符串，包括命令和控制（C2）服务器的地址。研究人员发现，在2024年初出现的Pikabot新变种中，混淆手段出现了变化：以前版本的Pikabot使用由AES-CBC和RC4 算法组合的加密技术，而这些技术已被更简单的算法所取代。

https://www.zscaler.jp/blogs/security-research/automating-pikabot-s-string-deobfuscation

---

4 研究人员披露Spectre V2安全漏洞

研究人员已经证明了Spectre V2漏洞，该漏洞是一种新的推测执行侧信道漏洞，该漏洞会影响在许多Intel CPU上运行的Linux系统。推测执行是一种性能优化技术，现代处理器可以猜测接下来将执行哪些指令，并在知道需要它们之前开始实现它们。虽然此功能提高了性能，但它也会在CPU缓存中留下特权数据的痕迹，从而引入安全风险，包括帐户密码、加密密钥、敏感的个人或公司信息、软件代码等。两种攻击方法是分支目标注入（BTI）和分支历史注入（BHI），前者涉及操纵CPU的分支预测以执行未经授权的代码，后者操纵分支历史记录以导致所选工具（代码路径）的推测执行，从而导致数据泄露。英特尔已经将CVE-2022-0001和CVE-2022-0002分别分配给BTI和BHI，而CVE-2024-2201涉及针对Linux内核的新Spectre V2漏洞。

https://www.bleepingcomputer.com/news/security/new-spectre-v2-attack-impacts-linux-systems-on-intel-cpus/

---

5 新的勒索组织Muliaka针对俄罗斯企业进行攻击

一个以前不为人知的勒索组织在使用Conti黑客组织泄露的源代码，使用勒索软件攻击俄罗斯企业。研究人员将该组织称为“Muliaka”，意为“浑水”，其攻击留下的痕迹很少，但可能至少自2023年12月以来就一直活跃。攻击者通过加密Windows系统和VMware ESXi虚拟基础设施来攻击一家未具名的俄罗斯企业。为了远程访问受害者的设备，攻击者使用了该公司的虚拟专用网络（VPN）服务，并将勒索软件伪装成安装在公司计算机上的流行企业防病毒软件。研究人员无法确定该组织的起源，也没有具体说明要求赎金的规模或目标公司是否支付了赎金。

https://therecord.media/muliaka-ransomware-group-targeting-russian-businesses-conti

---

6 攻击者声称泄露印度耳机厂商boAt的用户数据

印度耳机厂商boAt的750多万客户的个人数据已被泄露，现在正在暗网上流传。此次事件泄露了许多个人身份信息（PII）。一个名为ShopifyGUY的黑客声称发起了此次攻击，4月5日，ShopifyGUY声称已经窃取了boAt Lifestyle的数据库，转储了大约2GB的数据，其中包含7550000名客户的PII。此信息包括姓名、地址、联系电话、电子邮件ID和客户ID以及其他敏感详细信息。初步的验证确认了这些数据的真实性。

https://cybersecuritynews.com/massive-boat-data-breach/

---