每日安全简讯(20210407)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客针对LinkedIn求职者投送more_eggs后门

eSentire安全团队发现，黑客正通过LinkedIn虚假工作机会对相关专业人士进行鱼叉式网络钓鱼攻击，以投送more_eggs后门。黑客利用目标个人资料中列出的职位信息，使用带有对应职位的恶意zip文件对受害者进行鱼叉钓鱼攻击。一旦打开虚假的工作邀请，将启动无文件后门more_eggs的隐蔽安装。后门加载后，可以下载其它恶意插件，并提供对受害者计算机的实际访问权。


https://www.esentire.com/securit ... ware-warns-esentire

---

2 Sierra Wireless在勒索软件攻击后恢复生产

加拿大物联网解决方案提供商Sierra Wireless宣布，在3月20日内部网络和公司网站遭受勒索软件攻击后，造成停产的生产基地恢复了生产。在攻击发生后，该公司聘请了相关公司对该事件进行响应和调查。目前该公司网站已恢复上线，IT员工正在恢复其内部系统。该公司补充到，因受影响的内部IT系统是分开的，所以勒索软件攻击并未影响其面向客户的产品和服务。


https://www.bleepingcomputer.com ... -ransomware-attack/

---

3 Apple Mail零点击漏洞允许攻击者访问邮件

研究人员在Apple的macOS Mail中发现了一个零点击漏洞（CVE-2020-9922），攻击者只需向目标发送一封带有两个.ZIP文件的电子邮件即可触发该漏洞。该漏洞允许攻击者在Mail的沙箱环境中添加或修改任何文件，从而导致一系列攻击，包括未经授权地将敏感信息泄露给第三方；修改受害者的邮件配置，包括邮件重定向，该重定向使密码重置可以接管受害者的其他帐户；更改受害者的配置，从而使攻击能够以类似蠕虫的方式传播到通信对象。在macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15.5中已对该漏洞进行了修复。


https://threatpost.com/apple-mai ... lnerability/165238/

---

4 第三方供应商泄露新加坡求职机构e2i数据

新加坡求职机构e2i称，因第三方供应商i-vic International遭恶意软件破坏，导致3万人的个人信息可能被非法访问。第三方供应商i-vic International的一名雇员的电子邮件帐户感染了恶意软件，导致该邮箱被未经授权访问，该邮箱具有来自e2i的3万人数据，具体包括姓名、身份证号码、联系方式、学历和工作经历。e2i表示已将该事件通知有关当局。


https://www.zdnet.com/article/th ... b-matching-service/

---

5 数百名OnlyFans创作者的私人内容在线泄漏

研究人员在黑客论坛发现了一个公开的谷歌云端硬盘，其包括来自数百名OnlyFans创作者的私人视频和图像。OnlyFans是一个网站，允许内容创作者通过与付费订阅其内容的粉丝共享图像、视频和直播来赚钱。研究人员表示，从共享文件夹中的文件日期来看，大部分内容似乎是在2020年10月上传。为了帮助OnlyFans内容创作者确定其内容是否属于此泄漏的一部分，研究人员创建了一个“OnlyFans Lookup Tool”网页。该工具允许OnlyFans创作者输入其成员名称，并确定他们的内容是否在未经允许的情况下被分享。


https://www.bleepingcomputer.com ... tors-leaked-online/

---

6 黑客从ForceDAO窃取36.7万美元的加密货币

ForceDAO平台遭黑客攻击，被窃取了183个以太坊（ETH），其价值为36.7万美元。由于ForceDAO使用的SushiSwap智能合约存在缺陷，因此导致该盗窃发生，该合约包含一种机制，该机制可以还原失败交易中使用的代币。黑客利用此缺陷铸造了xFORCE代币，然后将其撤回并换成ETH。


https://www.infosecurity-magazin ... ng-oversight-costs/

---