每日安全简讯(20220909)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 伊朗黑客组织APT42部署新型定制间谍软件

伊朗黑客组织APT42部署新型定制Android间谍软件来监视感兴趣的目标。该组织对伊朗政府特别感兴趣的个人和组织进行网络间谍活动。APT42黑客组织从七年前开始针对政府官员、政策制定者、记者、全球学者和伊朗持有不同政见者进行长期鱼叉式钓鱼活动，窃取帐户凭据。黑客还会部署一个定制的Android恶意软件，能够跟踪受害者、访问设备的存储和提取通信数据。

https://www.bleepingcomputer.com/news/security/new-iranian-hacking-group-apt42-deploys-custom-android-spyware/

---

2 名为DangerousSavanna的攻击活动针对非洲法语区国家金融机构

研究人员发现了一个名为DangerousSavanna的恶意活动，该活动在过去两年中一直针对非洲法语区国家的多个主要金融服务集团。该活动背后的威胁行为者使用鱼叉式网络钓鱼作为初始感染手段，向至少五个不同法语国家的金融机构员工发送带有恶意附件的电子邮件。攻击者的能力在初始感染阶段就展现出来，他们不断地获取目标公司的员工资料，不断尝试利用各种恶意文件类型的感染链，从自写的可执行加载程序和恶意文档，到各种组合的ISO、LNK、JAR和VBE文件。威胁参与者不断演变的感染链反映了过去几年中威胁格局的变化，即感染媒介变得越来越复杂和多样化。

https://research.checkpoint.com/2022/dangeroussavanna-two-year-long-campaign-targets-financial-institutions-in-french-speaking-africa/

---

3 研究人员发现前Conti勒索软件组织成员正在攻击乌克兰

研究人员发现UAC-0098威胁组织的一部分成员是前Conti勒索软件组织成员，该威胁组织的目标是乌克兰组织和欧洲非政府组织(NGO)。在4月中旬至6月中旬期间观察到了这个威胁组织的攻击事件。每次针对特定组织时，他们都会频繁更改策略、技术和程序。而后UAC-0098威胁组织在针对多个乌克兰组织和欧洲非政府组织的网络攻击中注入了IcedID和Cobalt Strike恶意负载。

https://www.bleepingcomputer.com/news/security/google-says-former-conti-ransomware-members-now-attack-ukraine/

---

4 微软警告伊朗黑客组织Phosphorus正在发动勒索软件攻击

微软的研究人员将多个勒索软件攻击活动与DEV-0270（也称为Nemesis Kitten）联系到一起，它是伊朗黑客组织Phosphorus的一个子组织。DEV-0270利用高危漏洞获取设备访问权限，在整个攻击链中广泛使用远程二进制文件(LOLBIN)来进行发现和凭据访问，利用内置的BitLocker工具来加密受感染设备上的文件。

https://www.microsoft.com/security/blog/2022/09/07/profiling-dev-0270-phosphorus-ransomware-operations/

---

5 思科针对多个产品的新漏洞发布安全补丁

思科针对多个产品的新漏洞发布了补丁，包括CVE-2022-28199漏洞、CVE-2022-20696漏洞和CVE-2022-20863漏洞。CVE-2022-28199漏洞是由于DPDK的网络堆栈中缺乏适当的错误处理，使远程攻击者能够触发拒绝服务(DoS)条件并对数据完整性和机密性产生影响；CVE-2022-20696漏洞为消息服务器容器端口中缺乏“足够的保护机制”，利用这个漏洞可能导致配置更改或系统重启；CVE-2022-20923为Cisco Webex应用程序的消息界面中存在漏洞，该漏洞可能允许未经身份验证的远程攻击者能够修改链接或其他内容并进行网络钓鱼攻击。

https://thehackernews.com/2022/09/cisco-releases-security-patches-for-new.html

---

6 200000个North Face账户在撞库攻击中被黑

户外服装品牌“The North Face”成为大规模撞库攻击的目标，该攻击导致thenorthface.com网站上的194905个账户遭到黑客攻击。撞库攻击是指威胁参与者使用从数据泄露中获得的电子邮件地址/用户名和密码组合来尝试入侵其他网站上的用户帐户。这些攻击的成功依赖于密码重复使用的做法，即一个人在多个在线平台上使用相同的凭据。The North Face网站的撞库攻击始于2022年7月26日，但该网站的管理员在2022年8月11日才检测到异常活动，并于2022年8月19日阻止了它。在对攻击进行调查后，North Face确定攻击者使用有效凭据成功入侵了近200000个帐户。

https://www.bleepingcomputer.com/news/security/200-000-north-face-accounts-hacked-in-credential-stuffing-attack/




感谢哈理工杨老师对每日安全简讯提出的宝贵意见。