每日安全简讯(20211231)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布Kimsuky组织针对韩国新闻行业的钓鱼活动分析

近期，安天CERT（安天应急响应中心）在梳理安全事件时，发现一例伪装成韩国互联网安全局（KISA）研究员针对韩国新闻行业重要人物进行鱼叉钓鱼的网络攻击活动，经研判分析，此次活动来自Kimsuky组织。Kimsuky是一个疑似来源于半岛方向的网络间谍组织，其至少自2012年以来一直保持活跃。该组织的最初攻击目标主要是韩国的政府、军队、外交、智囊团以及各领域专家，如今已扩展覆盖至欧美、俄罗斯、日本等亚洲国家和地区，其情报收集活动的重点也从最初的与半岛方向相关外交政策和国家安全问题拓展到数字货币等领域。此次钓鱼攻击手法可总结如下：攻击者首先通过老版本的BBS论坛程序漏洞入侵一批网站，上传Webshell控制网站服务器用作跳板，挂载功能脚本和待分发的载荷。然后攻击者发送鱼叉式钓鱼邮件，等待受害者的机器中招后下载跳板上的载荷，执行后可获得受害机器的系统信息、文件和凭证等重要数据。


https://mp.weixin.qq.com/s/O_3PFAB4RGxJXHnx_o9f3Q

---

2 攻击者利用隐藏在HP iLO设备固件内的rootkit清除数据

一家伊朗网络安全公司Amnpardaz表示，他们发现了一个隐藏在HP iLO设备固件内的rootkit，被用来攻击伊朗组织的服务器。Amnpardaz将其命名为iLOBleed。HP iLO是一种可以作为附加板添加到服务器或工作站的硬件设备。研究人员表示，为了避免被发现，攻击者将iLOBleed rootkit伪装成iLO固件本身的模块，并且攻击者还制作了一个虚假的更新UI，以便在系统管理员尝试更新iLO固件时向他们展示。但是，即使rootkit提供了对受感染主机的完全控制，攻击者似乎也只是使用它来清除受感染的系统，作为某种数据清除操作的一部分。Amnpardaz团队解释说:“当我们的安全分析团队发现恶意软件时，攻击者决定清除服务器的磁盘，并完全隐藏他们的踪迹。”


https://therecord.media/threat-a ... it-to-wipe-servers/

---

3 RedLine恶意软件可窃取存储在浏览器中的密码

RedLine信息窃取恶意软件的目标是流行的网络浏览器，如Chrome、Edge和Opera，这种恶意软件是一种商品信息窃取者，可以在网络犯罪论坛上花大约200美元购买，无需太多知识或努力就可以部署。然而，AhnLab ASEC的一份新报告警告说，在浏览器上使用自动登录功能正成为重大安全问题。在分析师们给出的一个例子中，一名远程员工的VPN账户凭证被“RedLine Stealer”窃取者获取，三个月后，这些人利用这些信息入侵了该公司的网络。即使受感染的电脑安装了反恶意软件解决方案，它也无法检测和删除“RedLine Stealer”。


https://www.bleepingcomputer.com ... -saved-in-browsers/

---

4 德国电信公司T-Mobile遭受SIM交换攻击导致客户数据被泄露

T-Mobile证实，最近有关新的数据泄露的报告与发送给“极少数客户”的通知有关，这些客户是SIM卡交换攻击的受害者。T-Mobile的一名发言人称:“我们通知极少数客户，他们账户上手机号码的SIM卡可能被非法重新分配，或者有限的账户信息被查看。不幸的是，未经授权的SIM卡交换是整个行业普遍存在的现象，但这个问题很快被我们的团队纠正了，我们使用了保护措施，并积极地为他们采取了额外的保护措施。所有T-Mobile客户都要注意任何假装来自T-Mobile的可疑短信或电子邮件。如果收到链接，请不要点击，因为攻击者可能会利用它们获取您的凭证。”


https://www.bleepingcomputer.com ... y-sim-swap-attacks/

---

5 挪威媒体公司Amedia遭网络攻击被迫关闭多个系统

挪威最大的媒体公司之一media遭到了严重的网络攻击，被迫关闭了其计算机系统。此次攻击发生在12月27日至28日的晚上，攻击对象是该集团旗下的IT公司Amedia Teknologi管理的系统。这次袭击封锁了印刷业，无法印刷周三的纸质报纸。网络攻击还影响了该公司的广告和订阅系统。12月28日星期二晚上，Amedia的几个中央计算机系统被关闭。虽然网络报纸的制作正常，但纸质报纸将于10日停止发行。这是因为纸质报纸的发布、广告、订阅管理等系统无法正常工作。该公司发表的声明中写道。媒体表示，所有可用的资源都在努力解决问题，并揭露网络攻击的严重程度，同时也在努力恢复操作。媒体公司通知了当地政府。目前还不清楚该公司是否受到勒索软件攻击，或者威胁者是否窃取了用户和员工的个人信息。


https://securityaffairs.co/wordp ... ia-cyberattack.html

---

6 密码管理器LastPass在调查后确认没有帐户被盗

密码管理器LastPass帮助存储通过单一主密码访问的加密密码，解决了用户对主密码泄露导致未经授权的帐户访问的担忧。LastPass用户说，他们收到了电子邮件警告，这些警告通常会发送给从不同设备和地点登录的用户，导致他们认为自己的主密码已经被泄露。LastPass表示，已经对这种行为进行了调查，并没有发现LastPass账户因这些凭证填充尝试而被未经授权的第三方入侵。LastPass的高级工程总监表示：“没有迹象表明LastPass的证书被恶意软件、恶意浏览器扩展或网络钓鱼活动获取。调查发现，一些发给LastPass用户的安全警报很可能是错误触发的。因此，我们调整了我们的安全警报系统，这个问题也得到了解决。”


https://www.govinfosecurity.com/ ... compromised-a-18218

---