每日安全简讯(20240514)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 FIN7组织利用恶意Google广告传播NetSupport RAT

据观察，出于经济动机的威胁行为者FIN7利用欺骗合法品牌的恶意Google广告作为提供MSIX安装程序的手段，最终部署NetSupport RAT。攻击者利用恶意网站冒充知名品牌，包括AnyDesk、WinSCP、BlackRock、Asana、Concur、华尔街日报、Workable和Google Meet。FIN7（又名Carbon Spider和Sangria Tempest）是一个持续存在的网络犯罪组织，自2013年以来一直活跃，最初涉足针对销售点(PoS)设备的攻击以窃取支付数据，后来转向通过勒索软件活动破坏大型公司。多年来，攻击者改进了其策略和恶意软件库，采用了各种自定义恶意软件系列，例如BIRDWATCH、Carbanak、DICELOADER（又名Lizar和Tirion）、POWERPLANT、POWERTRASH和TERMITE等。

https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads/

---

2 AT&T由于来自微软服务器的异量大量垃圾邮件而延迟了Microsoft 365电子邮件发送

由于来自Microsoft服务的“大量”垃圾邮件浪潮，AT&T的电子邮件服务器正在阻止来自Microsoft 365的连接。从周一开始，AT&T客户开始报告他们无法再从Microsoft 365电子邮件地址接收电子邮件。当Microsoft 365客户尝试向@att.com、@sbcglobal.net或@bellsouth.com地址发送电子邮件时，AT&T服务器将拒绝连接并且不接受电子邮件递送。从那时起，AT&T客户就该问题在公司论坛中创建了许多主题，并收到了数百条回复，其中一些人声称这也影响了Gmail。

https://www.bleepingcomputer.com/news/technology/att-delays-microsoft-365-email-delivery-due-to-spam-wave/

---

3 加拿大不列颠哥伦比亚省正在调查针对政府网络的网络攻击

不列颠哥伦比亚省政府正在调查多起影响该省政府网络的“网络安全事件”。州长戴维·伊比（David Eby）在周三的一份声明中表示，没有证据表明攻击者从受感染的网络访问或窃取了敏感信息。然而，正在进行的调查正在评估事件的影响，并调查哪些数据（如果有）可能被访问。“最近，不列颠哥伦比亚省政府发现了涉及政府网络的复杂网络安全事件，”伊比说。“政府正在与加拿大网络安全中心（网络中心）和其他机构密切合作，以确定事件的严重程度，并采取额外措施来保护数据和信息系统。”不列颠哥伦比亚省政府尚未披露影响其网络的网络安全事件的数量以及发现时间。

https://www.bleepingcomputer.com/news/security/british-columbia-investigating-cyberattacks-on-government-networks/

---

4 恶意Python包在虚假请求库徽标中隐藏Sliver C2框架

研究人员发现了一个恶意Python包，该包声称是流行的requests库的一个分支，并且被发现在该项目徽标的PNG图像中隐藏了Golang版本的Sliver命令与控制(C2)框架。使用这种隐写术的包是requests-darwin-lite，在从Python包索引(PyPI)注册表中删除之前，该包已被下载417次。Requests-darwin-lite似乎是流行的requests包的一个分支，有一些关键的区别，最明显的是包含一个恶意的Go二进制文件，打包到实际requests侧边栏PNG徽标的大版本中。这些更改已在程序包的setup.py文件中引入，该文件已配置为解码并执行Base64编码的命令以收集系统的通用唯一标识符(UUID)。

https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/

---

5 CITRIX警告客户手动更新XENCENTER系统上安装的PUTTY版本

Citrix本周通知客户自行修补PuTTY SSH客户端漏洞，该漏洞可能允许攻击者窃取XenCenter管理员的SSH私钥。XenCenter帮助从Windows桌面管理Citrix Hypervisor环境，包括部署和监控虚拟机。该安全漏洞（编号为CVE-2024-31497）影响Citrix Hypervisor 8.2 CU1 LTSR的XenCenter的多个版本，这些版本会捆绑并使用PuTTY在单击“打开SSH控制台”按钮时建立从XenCenter到guest虚拟机的SSH连接。Citrix表示，从XenCenter 8.2.6开始，PuTTY第三方组件已被删除，8.2.7之后的任何版本将不再包含它。

https://support.citrix.com/article/CTX633416/citrix-hypervisor-security-update-for-cve202431497

---

6 俄亥俄州彩票遭遇勒索软件攻击影响超过538000名人员信息

俄亥俄州彩票公司正在向超过538000名受到该组织系统在圣诞节前夕遭受网络攻击影响的个人发送数据泄露通知信。向缅因州总检察长办公室提交的一份文件显示，该事件影响了538959人。攻击者获得了受影响人员的姓名、社会安全号码和其他个人标识符。“2023年12月24日左右，俄亥俄州彩票检测到由于网络安全事件而对我们的内部办公网络进行未经授权的访问，导致我们维护的数据暴露。该事件并未影响博彩网络，”俄亥俄州彩票乐透说道。“经过广泛的取证调查和我们的手动文件审查，我们于2024年4月5日获悉，包含您个人信息的某些文件受到了未经授权的访问。”虽然俄亥俄州彩票公司没有透露这起影响移动和奖金兑现操作的事件的性质，但DragonForce勒索软件团伙在几天后声称对此次攻击负责。

https://www.bleepingcomputer.com/news/security/ohio-lottery-ransomware-attack-impacts-over-538-000-individuals/

---