每日安全简讯(20240821)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Xeon Sender工具滥用云API发起大规模短信钓鱼攻击

研究人员在报告上指出，恶意行为者正在利用名为Xeon Sender的云攻击工具，进行大规模的短信钓鱼和垃圾邮件活动。该工具通过合法的SaaS服务提供商发送消息，滥用诸如Amazon SNS、Nexmo、Plivo等服务。值得注意的是，这种攻击并未利用这些服务提供商的固有漏洞，而是通过合法的API进行批量短信发送。Xeon Sender的旧版本早在2022年就已被发现，而最新版本可通过Telegram上的Orion Toolxhub频道下载。该工具支持通过命令行界面与API后台进行交互，进行批量短信攻击。虽然Xeon Sender本身的设计较为简单，但其依然有效地通过提供商特定的Python库进行API请求，增加了检测难度。

https://www.sentinelone.com/labs/xeon-sender-sms-spam-shipping-multi-tool-targeting-saas-credentials/

---

2 新型UULoader恶意软件在东亚传播Gh0st RAT和Mimikatz

研究人员发现一种名为UULoader的新型恶意软件，该软件用于分发Gh0st RAT和Mimikatz等恶意工具。UULoader以合法应用程序的恶意安装程序形式传播，主要针对韩国和中文用户。分析显示，这种恶意软件可能由中文使用者开发，因为其程序数据库（PDB）文件中含有中文字符串。UULoader的核心文件被打包在一个Microsoft Cabinet存档（.cab）文件中，其中包含两个主要的可执行文件（.exe和.dll），这些文件头部被删除。一些可执行文件利用DLL侧载技术加载最终阶段的隐蔽文件“XamlHost.sys”，从而加载远程访问工具Gh0st RAT或凭证窃取工具Mimikatz。此恶意软件的伪装机制还包括使用假Chrome更新程序作为干扰手段。

https://cyberint.com/blog/research/meet-uuloader-an-emerging-and-evasive-malicious-installer/

---

3 黑客利用热门软件搜索传播FakeBat恶意软件

研究人员发现了FakeBat恶意软件的传播激增，这种恶意软件通过恶意广告活动进行分发。研究人员报告称，攻击者利用伪装的MSIX安装程序，通过PowerShell脚本下载次级载荷。FakeBat，也称为EugenLoader和PaykLoader，与名为Eugenfest的威胁攻击者有关，并被追踪为NUMOZYLOD，归属于UNC4536。攻击链利用“驱动下载”技术，将用户引导至伪造的软件下载站点，诱使其下载包含恶意软件的安装程序。这些伪装的MSIX安装程序模拟了流行软件如Brave、KeePass、Notion、Steam和Zoom，执行脚本后加载主应用程序。FakeBat不仅传播IcedID、RedLine Stealer等恶意软件，还可能创建快捷方式以维持持久性，并收集系统信息。

https://www.googlecloudcommunity.com/gc/Community-Blog/Finding-Malware-Unveiling-NUMOZYLOD-with-Google-Security/ba-p/789551

---

4 加密爱好者一夜间向npm注入28万虚假软件包

2024年7月，npm注册表遭遇严重骚扰，Sonatype监测到短短一天内，出现了281512个无功能的虚假包。这些包大多使用无意义的拉丁语短语命名，充斥着整个JavaScript生态系统。这一事件引发了对开源注册表的担忧，因为类似行为不仅浪费资源，还可能掩盖真正的安全威胁。这些包大多数内容为空或是从“Tea”区块链项目的GitHub仓库中复制的无效代码。此次事件再次突显了开源注册表被滥用的风险，并可能对开发者造成负面影响。

https://www.sonatype.com/blog/crypto-enthusiasts-flood-npm-with-281000-bogus-packages-overnight

---

5 弗林特市遭勒索软件袭击致在线服务中断

2024年8月14日，密歇根州弗林特市遭遇勒索病毒攻击，导致网络系统和在线服务出现中断。此次攻击影响了市政支付和通讯服务，但未涉及紧急服务如911和公共安全。市内的账单系统BS&A也遭到干扰，暂停了水费、污水费和税款的在线及信用卡支付。虽然市政府承诺不会收取滞纳金，也不会断水，但GIS地图及市内邮件、电话、语音邮件服务受到了影响。弗林特市长谢尔顿·尼利表示，市政府正在与执法机关和网络安全专家合作调查此事件，并恢复服务，但尚无法确定恢复时间。市政府提醒居民关注个人数据安全，防范身份盗窃。

https://www.cityofflint.com/internal-network-and-internet-outage-causes-disruptions-to-city-of-flint-online-services/

---

6 Carespring医疗中心数据遭入侵致77000人信息泄露

俄亥俄州的Carespring Healthcare Management发生数据泄露事件，近期被证实涉及约77000人的个人和医疗信息。虽然事件在2023年10月28日被发现，但经过约九个月的调查，才确认数据被未经授权的个人访问或获取。泄露的信息包括姓名、出生日期、地址、社会保障号码、医疗和诊断信息及健康保险信息。Carespring表示，目前未发现泄露信息用于欺诈，但建议受影响的个人定期检查财务账户。为保护受影响者，Carespring提供了为期12个月的身份监控服务。调查仍在继续，而Carespring的名称曾出现在多个勒索软件组织的泄密网站上。

https://www.carespring.com/notice-regarding-data-security-incident/

---