每日安全简讯(20241209)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Bitsight揭示Socks5Systemz代理恶意软件的演化及其影响

Bitsight TRACE近期发布报告，揭示了一款名为Socks5Systemz的代理恶意软件的演化及其影响。尽管其活跃时间可以追溯到2013年，但Socks5Systemz直到最近才因大规模传播活动引起关注。此恶意软件旨在将受感染设备转化为代理出口节点，曾作为独立产品或集成至Andromeda、Smokeloader和Trickbot等恶意软件中进行分发。最新调查显示，Socks5Systemz的一个僵尸网络在其高峰时拥有多达25万个受感染系统，覆盖几乎所有国家。这些节点被用于代理服务PROXY.AM，支持更广泛的网络犯罪活动。调查还发现，该恶意软件在2013年首次出现在俄罗斯地下论坛，由用户“BaTHNK”出售，并逐步被定制为适配Andromeda等主流恶意软件的代理模块。Socks5Systemz长期未被关注，可能是因为其功能多作为其他恶意软件模块的一部分运行，从而掩盖了其单独的威胁特性。

https://www.bitsight.com/blog/proxyam-powered-socks5systemz-botnet

---

2 Check Point Research发布Akira勒索软件Rust版本分析报告

Check Point Research深入分析了2024年初传播的Akira勒索软件Rust版本的构造及控制流，重点研究其针对ESXi服务器的独特功能。报告揭示了Rust语言惯用语法、模板代码及编译器优化如何共同作用，形成复杂的汇编结构。Akira v2是Akira勒索软件即服务(RaaS)平台的新变种，采用Rust语言开发，支持跨平台功能，特别针对ESXi服务器。Rust程序以难以逆向分析而闻名。分析显示，该恶意软件以多线程方式执行加密逻辑，核心控制流包括Main、default_action、lock及lock_closure等函数。Main函数负责解析命令行参数，default_action确定目标行为及文件，lock启动线程执行加密，最终由lock_closure完成实际加密逻辑。研究还详细分析了Rust标准库在内存中处理命令行参数的方式，揭示了程序通过跨平台抽象层（PAL）调用C语言FFI获取参数并将其转换为内存中的动态数组。

https://research.checkpoint.com/2024/inside-akira-ransomwares-rust-experiment/

---

3 8Base勒索软件组织攻击克罗地亚里耶卡港

克罗地亚最大的干货港口特许经营商——里耶卡港（Luka Rijeka d.d.）近日遭到8Base勒索软件组织的攻击。攻击者声称窃取了包括发票、收据、会计文件、个人数据、合同和保密协议在内的大量敏感信息，并在其Tor泄密网站上公布了部分详情。8Base勒索软件组织要求在2024年12月10日前支付赎金，但里耶卡港首席执行官杜什科·格拉博瓦茨（Duško Grabovac）向当地媒体表示，此次事件并未影响港口运营，公司也明确表示不会向攻击者支付赎金。此次网络攻击突显了港口作为关键基础设施在网络安全方面的脆弱性，同时也表明勒索软件团伙对基础设施和经济服务机构的攻击日益猖獗，且威胁范围不仅限于运营中断，还涉及大量敏感数据泄露。

https://securityaffairs.com/171779/cyber-crime/8base-ransomware-croatias-port-of-rijeka.html

---

4 Zscaler ThreatLabz发现两起利用Venom Spider进行的攻击活动

2024年8月至10月期间，Zscaler ThreatLabz发现了由Venom Spider提供的恶意软件即服务（MaaS）工具支持的两场重大网络攻击活动。这些活动引入了两个新型恶意软件家族——RevC2和Venom Loader，表明该威胁组织正在持续发展其攻击技术。RevC2是一种后门程序，采用WebSockets进行C2通信，能够窃取密码和Cookie、代理网络流量，并支持远程代码执行（RCE）。Venom Loader则是一种为每位受害者定制的加载器，利用受害者计算机名称对有效载荷进行编码。这些恶意软件通过Venom Spider的VenomLNK、TerraLoader等工具部署，分别利用API文档诱饵和ActiveX控件注册机制展开攻击。技术分析表明，RevC2的通信协议基于JSON格式，初次通信包括客户端注册，随后通过C2命令控制执行屏幕截图或系统命令等任务。其高级的沙箱规避能力和定制化设计显示出极高的威胁水平。

https://www.zscaler.com/blogs/security-research/unveiling-revc2-and-venom-loader

---

5 两起数据泄露事件导致医疗机构被罚款170万美元

美国健康与人类服务部（HHS）对两起涉及敏感医疗数据泄露的事件开出了超过170万美元的罚款。佛罗里达州的Gulf Coast Pain Consultants因内部数据泄露被罚119万美元，而科罗拉多州的儿童医院因两次邮件攻击被罚54.8万美元。Gulf Coast事件中，一名前业务顾问在合约终止后，未经授权访问了包含35000名患者受保护健康信息（PHI）的电子健康记录，用于涉嫌的医保欺诈。调查发现，该机构未能遵守HIPAA安全规则的四项要求，包括风险分析、访问审查以及终止前员工访问权限的程序。科罗拉多儿童医院则报告了两起邮件相关的数据泄露：2017年一次钓鱼攻击导致3370名患者信息泄露，2020年三名员工邮箱被黑导致10840名患者信息暴露。调查发现，该机构未启用多因素认证且员工培训不足，违反了HIPAA隐私规则与安全规则。

https://www.govinfosecurity.com/insider-breach-email-attacks-net-17m-in-hipaa-fines-a-26996

---

6 荷兰反勒索软件行动引领全球打击勒索软件

由荷兰公共与私营部门合作推动的反勒索软件计划“Melissa项目”在全球范围内有效削弱了勒索软件威胁。根据莱顿大学的评估，该项目协助执行了包括Genesis Market黑市的取缔和LockBit勒索软件基础设施的查封等行动。“Melissa项目”由荷兰网络安全中心和Cybersafe Netherlands联合安全企业于2023年启动，旨在通过信息共享推动犯罪中断与起诉。项目还帮助获取了超过150个Deadbolt勒索软件的解密密钥。评估报告指出，该项目的成功在于其“清晰的目标与有限的范围”。项目成员每六周定期会议讨论黑客策略，有效拉近了网络安全机构与私营企业间的合作。参与公司包括荷兰ESET和德勤。尽管项目取得重大成就，但其法律框架对数据共享的限制被视为信息交流的潜在障碍。报告建议在保持勒索软件聚焦的前提下，吸纳更多网络安全专家参与研究，以增强项目的效能。

https://www.govinfosecurity.com/dutch-counter-ransomware-initiative-led-to-global-takedowns-a-26994

---