每日安全简讯(20240519)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Turla组织针对欧洲外交部部署LunarWeb和LunarMail后门

俄罗斯Turla组织针对欧洲外交部(MFA)及其在中东的三个外交使团部署LunarWeb和LunarMail。研究人员确认了该活动，并以中等可信度将其归因于与俄罗斯结盟的网络间谍组织Turla（又名Iron Hunter、Peptic Ursa、Secret Blizzard、Snake、Uroburos和Venomous Bear），理由是与之前确定为由威胁行为者部署在服务器上的LunarWeb使用HTTP(S)进行其C&C[命令与控制]通信并模仿合法请求，而部署在工作站上的LunarMail则作为Outlook加载项保留并使用电子邮件进行C&C通信。

https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-landing-diplomatic-missions/

---

2 Phorpiex僵尸网络发送了数百万封钓鱼电子邮件以开展LockBit Black勒索软件活动

自4月份以来，已通过Phorpiex僵尸网络发送了数百万封钓鱼电子邮件，以开展大规模的LockBit Black勒索软件活动。攻击者使用包含部署LockBit Black有效负载的可执行文件的ZIP附件，该有效负载一旦启动就会对接收者的系统进行加密。这些攻击中部署的LockBit Black加密器很可能是使用一名心怀不满的开发人员于2022年9月在Twitter上泄露的LockBit 3.0构建器构建的。不过，据信该活动与实际的LockBit勒索软件操作没有任何关系。

https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/

---

3 恶意PyPi包使用Sliver开源对抗框架测试套件在Mac上安装后门

一个新包模仿了Python包索引(PyPI)上流行的“请求”库，以带有Sliver C2对抗框架的macOS设备为目标，用于获得对企业网络的初始访问权限。研究人员发现，该活动涉及多个步骤和混淆层，包括在PNG图像文件中使用隐写术在目标上秘密安装Sliver有效负载。截至撰写本文时，恶意PyPI软件包已被删除，但它的发现是Sliver越来越多地采用远程访问企业网络的另一个迹象。Sliver是一款跨平台（Windows、macOS、Linux）开源对抗框架测试套件，专为“红队”操作而设计，在测试网络防御时模拟对手的行为。其主要功能包括自定义植入生成、命令和控制(C2)功能、后利用工具/脚本以及丰富的攻击模拟选项。

https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/

---

4 微软修复了QakBot恶意软件攻击中利用的Windows零日漏洞

微软修复了一个零日漏洞，该漏洞被利用来在易受攻击的Windows系统上传播QakBot和其他恶意软件负载。此权限提升错误被追踪为CVE-2024-30051，是由DWM（桌面窗口管理器）核心库中基于堆的缓冲区溢出引起的。成功利用该漏洞后，攻击者可以获得系统权限。桌面窗口管理器是Windows Vista中引入的一项Windows服务，允许操作系统在渲染玻璃窗框架和3D过渡动画等图形用户界面元素时使用硬件加速。研究人员在调查另一个Windows DWM核心库权限升级漏洞（编号为CVE-2023-36033）时发现了该漏洞，该漏洞也被用作攻击中的零日漏洞。

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-zero-day-exploited-in-qakbot-malware-attacks/

---

5 INC勒索软件源代码在黑客论坛上售价30万美元

一名名为“salfetka”的网络犯罪分子声称正在出售INC Ransom的源代码，INC Ransom是一项于2023年8月推出的勒索软件即服务(RaaS)操作。INC此前的目标是施乐商业解决方案公司(XBS)的美国分部、菲律宾雅马哈汽车公司，以及最近的苏格兰国家医疗服务体系(NHS)。在涉嫌出售的同时，INC赎金业务正在发生变化，这可能表明其核心团队成员之间存在裂痕，或者计划进入涉及使用新加密器的新篇章。威胁行为者宣布在Exploit和XSS黑客论坛上出售INC的Windows和Linux/ESXi版本，要价30万美元，并将潜在买家数量限制为三个。

https://www.bleepingcomputer.com/news/security/inc-ransomware-source-code-selling-on-hacking-forums-for-300-000/

---

6 Android 15推出高级功能以保护用户免受诈骗和恶意应用的侵害

谷歌在Android 15中推出了一系列新功能，以防止设备上安装的恶意应用程序捕获敏感数据。这构成了Play Integrity API的更新，第三方应用程序开发人员可以利用该更新来保护其应用程序免受恶意软件的侵害。开发人员可以检查是否有其他应用程序正在运行，这些应用程序可能会捕获屏幕、创建叠加层或控制设备。这对于想要向其他应用程序隐藏敏感信息并保护用户免受诈骗的应用程序很有帮助。此外，Play Integrity API可用于在执行敏感操作或处理敏感数据之前检查Google Play Protect是否处于活动状态以及用户的设备是否没有已知恶意软件。

https://thehackernews.com/2024/05/android-15-introduces-new-features-to.html

---