每日安全简讯(20240420)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者通过虚假的游戏作弊器传播Redline窃密木马

研究人员称，新的Redline窃密木马利用Lua字节码来规避检测，将恶意软件注入合法进程，并利用即时（JIT）编译。攻击者通过虚假的“Cheat Lab”和“Cheater Pro”的游戏作弊工具传播Reline窃密木马。该恶意软件以ZIP文件的形式进行传播，其中包含一个MSI安装程序，该安装程序在启动时解压缩两个文件（compiler.exe和lua51.dll），并释放一个包含恶意Lua字节码的“readme.txt”文件。此外，该恶意程序还会弹出弹窗以诱导用户将恶意安装程序分享给好友。安装后，compiler.exe程序编译存储在readme.txt 文件中的Lua字节码并执行，然后通过创建计划任务来设置持久性。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/

---

2 研究人员披露一种名为“MadMxShell”的后门

从2024年3月开始，研究人员发现攻击者利用一组伪装成合法IP扫描软件的网站，传播一种未曾发现的后门。攻击者使用拼写错误的手段注册了多个相似的域名，并利用Google广告将这些恶意域名推送到针对特定搜索关键字的搜索引擎结果顶部，从而引诱受害者访问这些网站。此次新发现的后门使用了多种技术，例如DLL侧加载、滥用DNS协议与命令和控制（C2）服务器通信、以及规避内存取证。研究人员将此后门命名为“MadMxShell”，因为它使用DNS MX查询进行C2通信，并且C2请求之间的间隔非常短。

https://www.zscaler.com/blogs/security-research/malvertising-campaign-targeting-it-teams-madmxshell

---

3 法国一家医疗机构CHC-SV遭受网络攻击

法国的一家医疗机构CHC-SV表示，他们遭受了网络攻击，并严重影响了其运营。由于网络攻击，本周早些时候该机构被迫将所有计算机离线，只剩下电话系统可用于通信。CHC-SV没有透露有关攻击的许多细节，但表示尚未收到网络犯罪分子的赎金要求。到目前为止，还没有人要求赎金，也没有发现任何数据盗窃。关于此次网络攻击事件的调查仍在进行中。

https://www.bleepingcomputer.com/news/security/chc-sv-hospital-in-france-postpones-procedures-after-cyberattack/

---

4 美国通信供应商Frontier Communications遭受网络攻击

美国通信供应商Frontier Communications正在恢复系统，此前一个网络犯罪团伙在最近的一次网络攻击中破坏了其部分IT系统。在发现该事件后，该公司关闭了部分系统，以防止攻击者进行横向移动，这也导致了其部分运营中断。Frontier表示，根据公司的调查，他们已经确定第三方攻击者可能是一个网络犯罪团伙，该团伙获得了个人身份信息等数据。

https://www.bleepingcomputer.com/news/security/frontier-communications-shuts-down-systems-after-cyberattack/

---

5 美国医疗保健供应商Cherry Health遭受勒索软件攻击

在2024年4月16日的数据泄露通知信中，Cherry Health表示，他们经历了一起涉及患者个人数据的数据泄露事件。Cherry Health遭受了勒索软件攻击，勒索组织渗透受害者的网络、窃取和加密数据，然后要求支付赎金以换取失窃数据。涉及的数据包括名字和姓氏以及以下一个或多个数据元素的组合：名字、地址、电话号码、出生日期、健康保险信息、健康保险身份证号码、患者 ID 号、提供程序名称、服务日期、诊断/治疗信息、处方信息、财务账户信息、社会安全号码。

https://cybernews.com/news/cherry-health-ransomware-attack/

---

6 R00TK1T组织声称窃取了雀巢公司的机密数据

名为R00TK1T的黑客组织称，他们成功进入雀巢公司的系统，并获得了机密数据，但该组织尚未公布有关该事件的更多细节。雀巢公司尚未就该事件发表正式声明。然而，公司内部消息人士表示，内部调查正在进行中。

https://cybersecuritynews.com/r00tk1t-claims/

---