每日安全简讯(20210421)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lazarus APT组织使用BMP图像隐藏恶意代码

Malwarebytes研究人员发现Lazarus APT组织针对韩国的网络钓鱼活动，该活动中，Lazarus将恶意代码隐藏在BMP（位图）图像中以释放RAT。该活动可能始于分发带有恶意文档的网络钓鱼电子邮件，恶意文档据称是韩国某城市的展览会的参会申请表，打开后显示韩语的蓝色主题，并要求用户启用宏以查看文档。启用宏后，将获取具有嵌入式zlib对象的图像文件，调用函数将PNG格式的图像转换为BMP格式，然后获取WMI对象以调用Mshta执行BMP文件。解压缩后的BMP文件包含一个HTA文件，该文件执行Java脚本以释放有效载荷。有效载荷作为加载器将第二阶段有效载荷解码并解密到内存中。第二阶段有效载荷具有接收和执行命令/shellcode以及与C2服务器进行渗出和通讯。


https://blog.malwarebytes.com/ma ... le-to-drop-its-rat/

---

2 Primitive Bear利用时事主题攻击乌克兰

Anomali研究人员发现了一项针对乌克兰政府官员的恶意活动，研究人员认为该活动是由网络间谍组织Primitive Bear（Gamaredon）发起的。该活动似乎从2021年1月开始，至少在2021年3月底结束，使用了以时事为主题的.docx诱饵文件，.docx文件试图通过远程模板下载.dot文件。这次活动的最终目标还不清楚，因为在研究人员发现时远程模板域已经关闭。


https://www.anomali.com/blog/pri ... -with-timely-themes

---

3 专家发现Zebrocy针对哈萨克斯坦的攻击活动

2021年3月，SentinelOne观察到一系列针对哈萨克斯坦的攻击活动，其中涉及使用Delphi编写的恶意软件Delphocy，该恶意软件以前与Zebrocy组织相关。攻击活动使用的Word文档声称来自一家名为Kazchrome的哈萨克斯坦公司，该公司是一家采矿和金属公司，并且是世界上最大的铬矿石和铁合金生产商之一。研究人员发现了六个与Zebrocy有关的Delphocy Word文档，所有这些文档都包含释放PE的相同VBA脚本。


https://labs.sentinelone.com/a-d ... rocys-dropper-docs/

---

4 勒索软件攻击影响布里斯托尔附近24所学校

英格兰布里斯托尔附近的24所学校受到勒索软件攻击影响。网络犯罪分子于3月16日对城堡学校教育基金会（CSET）发起了攻击，不仅影响了其7所学校，还影响了当地政府依靠该学院的IT基础设施维护的17所其他学校。相关人员已将该事件报告给南格洛斯特郡议会。该议会表示，目前已经重建了16台服务器，后台办公系统已经到位，服务也正在恢复，为每所学校提供核心功能和获取管理信息的权限。


https://www.bristolpost.co.uk/ne ... -24-schools-5308911

---

5 美国汽车保险公司Geico泄露客户驾照号码

美国第二大汽车保险公司Geico遭遇数据泄露，网络欺诈者从其网站上窃取了客户的驾照号码。在向加利福尼亚州总检察长办公室提交的数据泄露通知中，Geico表示，网络欺诈者在1月21日至3月1日期间，通过其网站上在线销售系统未经授权地访问了客户驾驶执照号码。该公司并未透露有多少客户受到该泄露事件的影响。


https://techcrunch.com/2021/04/1 ... se-numbers-scraped/

---

6 饮料经销商MCB发生安全事件后关闭IT系统

饮料巨头C&C集团的子公司英国和爱尔兰的酒精饮料和软饮料经销商Matthew Clark Bibendum（MCB）在发生安全事件后关闭了IT系统。MCB在4月18日的声明中表示，其在4月16日意识到这一安全事件后，迅速做出反应，制定了网络安全响应计划，并关闭了所有IT系统，正在暂时由人工为客户和供应商提供支持。MCB还表示该事件未影响C&C集团总部的IT系统。


https://portswigger.net/daily-sw ... g-security-incident

---