每日安全简讯(20241005)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 假冒求职简历攻击HR人员传播More_eggs恶意软件

近期，一场鱼叉式网络钓鱼攻击活动瞄准招聘人员，伪装成求职简历，传播名为More_eggs的JavaScript后门病毒。该恶意软件被作为“恶意软件即服务”（MaaS）出售，具备窃取银行、电子邮件和管理员账户凭证的能力。该活动归因于Golden Chickens黑客组织（又称Venom Spider），并且还被其他犯罪团伙如FIN6、Cobalt和Evilnum利用。攻击者通过发送伪装简历的压缩文件，诱使目标下载并执行恶意LNK文件，从而启动感染链，最终安装More_eggs后门程序。此类攻击活动表明网络犯罪分子正持续针对HR行业，以获取高价值数据。

https://www.trendmicro.com/en_us/research/24/i/mdr-in-action--preventing-the-moreeggs-backdoor-from-hatching--.html

---

2 MedusaLocker勒索软件新变种每月感染超百家企业

据研究人员最新研究显示，一个名为“PaidMemes”的犯罪分子使用MedusaLocker勒索软件的新变种“BabyLockerKZ”，自2022年以来每月感染超过100家企业。此攻击者通过公开可用的工具，如Mimikatz，利用网络扫描器和恶意软件绕过防御系统并窃取Windows凭证。受害者分布广泛，涵盖欧洲、南美、美国、亚洲等多个地区，主要为中小型企业。PaidMemes并非针对特定目标，而是采取机会主义攻击，每次勒索金额在3万至5万美元之间。研究人员指出，该攻击活动与常见系统管理员的工具和手段类似，但带有明显的恶意倾向。

https://blog.talosintelligence.com/threat-actor-believed-to-be-spreading-new-medusalocker-variant-since-2022/

---

3 假冒交易应用通过App Store和Google Play全球诈骗

一场全球范围的欺诈活动通过假冒的交易应用程序，瞄准了受害者，诱导他们投资虚拟货币等金融产品。据研究人员的报告，这些假应用通过Apple App Store和Google Play商店发布，利用社会工程学手段，如伪装成投资顾问或恋爱关系，诱骗受害者投入资金。这些应用程序通过承诺高回报进一步引诱用户投资，直到他们试图提现时，才被要求支付额外费用，资金最终被转移到攻击者账户中。受害者遍布亚太地区、欧洲、中东和非洲，提醒用户在下载应用时应仔细检查来源与评论。

https://www.group-ib.com/blog/pig-butchering/

---

4 攻击者假冒朝鲜IT工人渗透西方科技公司骗取薪资

德国国内情报局近日发布警告，指出朝鲜IT工人通过虚假身份和VPN伪装，成功在西方科技公司获得远程工作。这些工人通常通过自由职业平台，如Fiverr、Upwork和Freelancer.com，伪装成南韩、日本或东欧的技术人员，利用虚假或被盗身份申请工作，甚至通过人工智能修改照片增强可信度。朝鲜工人不仅以非法薪资获取为目的，还可能在受雇公司植入后门，为未来的金融剥削或网络间谍活动做准备。

https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/2024-10-01-security-advisory.pdf

---

5 Optigo网络交换机现严重漏洞可轻松控制设备

Optigo的Spectra Aggregation Switch网络交换机中发现了两个严重的安全漏洞，影响版本为1.3.7及更早版本。根据美国网络安全与基础设施安全局（CISA）的报告，这些漏洞允许远程攻击者无需认证即可接管设备。第一个漏洞（CVE-2024-41925）涉及PHP远程文件包含，攻击者可利用它绕过认证并执行任意代码。第二个漏洞（CVE-2024-45367）则是服务器认证不完整，允许攻击者无需密码即可访问设备。目前尚无补丁，建议限制设备的网络访问。

https://www.cisa.gov/news-events/ics-advisories/icsa-24-275-01

---

6 夏威夷诊所通知12.4万患者数据泄露

位于夏威夷毛伊岛的Mālama I Ke Ola Health Center通知了近12.4万名患者，5月发生的数据盗窃事件可能导致其敏感信息泄露。黑客组织LockBit 3.0声称对这一攻击负责，并于6月在其泄露网站上发布了被盗数据。这起事件发生在全球执法部门本周宣布对该组织的打击行动之前。受影响的数据包括个人身份信息（如姓名、社会安全号码、出生日期、驾照号码等）以及医疗信息（如诊断、治疗记录和生物识别数据）。尽管诊所表示暂未发现任何身份盗用的证据，但已为部分患者提供了免费信用监控服务。目前，几家律师事务所正在调查是否会对诊所提起集体诉讼。

https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/ac47803d-f89e-4fe4-ba50-30f2bb8b1f1b.html

---