每日安全简讯(20220910)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 CNCERT发布关于“魔盗”窃密木马大规模传播的风险提示

近期，CNCERT和安天联合监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数（以IP数计算）最多已超过1.3万，由于该窃密木马会收集浏览器书签、邮箱账户等信息，故将其命名为“魔盗”。攻击者利用“cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多个软件下载页面，用于投放伪装成实用软件的“魔盗”窃密木马。窃密木马运行后会收集受害者主机中已安装的软件列表与多款浏览器的历史记录、书签数据和邮件客户端邮箱账户信息，并加密回传至攻击者服务器。由于部分恶意程序具备在线升级能力，因此攻击者可随时更改攻击载荷（如勒索、挖矿、窃密等不同目的的攻击载荷），给受害者造成更大损失。

https://mp.weixin.qq.com/s/AXORtlDzPTgiWoSxhEJsKA

---

2 Lazarus黑客组织对美国能源供应商发起攻击

朝鲜APT组织Lazarus(APT38) 正在利用VMWare Horizon服务器访问美国、加拿大和日本的能源供应商的企业网络。Lazarus是国家支持的威胁行为者，以在过去十年中进行间谍活动、数据盗窃和加密货币窃取活动而闻名，对国际上数百起复杂的攻击事件负责。研究人员发现Lazarus在2022年2月至2022年7月期间针对能源组织发起攻击，利用VMWare Horizon漏洞进行初始访问。

https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-take-aim-at-us-energy-providers/

---

3 Bumblebee恶意软件增加了新的感染技术

研究人员发现Bumblebee恶意软件正在通过垃圾邮件进行传播，并且增加了一个新的感染技术，即使用PowerSploit框架将DLL有效载荷隐蔽注入内存。Bumblebee是BazarLoader恶意软件的替代品，它充当下载器并提供攻击框架和开源工具，如Cobalt Strike、Shellcode、Sliver、Meterpreter等。它还下载其他类型的恶意软件，如勒索软件、木马等。

https://www.bleepingcomputer.com/news/security/bumblebee-malware-adds-post-exploitation-tool-for-stealthy-infections/

---

4 百特国际Sigma Spectrum输液泵被发现存在四个漏洞

研究人员发现百特国际Sigma Spectrum输液泵存在四个漏洞，该输液泵用于为患者提供药物和营养。这些设备支持TCP/IP协议，通常连接到医疗保健网络，利用这些漏洞可能允许攻击者更改系统配置并访问敏感的患者数据。这些漏洞是在大约5个月前发现的，并已报告给百特国际。

https://www.hipaajournal.com/4-vulnerabilities-identified-in-baxter-sigma-spectrum-infusion-pumps/

---

5 葡萄牙总参谋部遭黑客攻击，数百份北约机密文件被放在暗网售卖

葡萄牙武装部队总参谋部(EMGFA)遭受黑客攻击，导致几百份北约机密文件被放到暗网售卖。EMGFA是负责葡萄牙武装部队控制、规划和行动的政府机构。美国网络情报人员注意到被盗文件的出售，并向美国驻里斯本大使馆发出警报，后者又警告葡萄牙政府数据泄露。随即，来自国家安全局（GNS）和葡萄牙国家网络安全中心的专家组被派往EMGFA，对该机构的整个网络环节进行全面筛查。

https://www.bleepingcomputer.com/news/security/classified-nato-documents-stolen-from-portugal-now-sold-on-darkweb/

---

6 攻击者使用GIFShell攻击技术进行网络钓鱼活动

研究人员发现一种名为“GIFShell”的新攻击技术允许威胁攻击者利用Microsoft Teams进行新型网络钓鱼攻击，并使用GIF文件窃取数据。由于数据泄露是通过Microsoft的服务器完成的，因此将Microsoft Team的流量视为合法的安全软件将更难检测到恶意行为，攻击者可通过将窃取的数据与合法的Microsoft Teams网络通信混合以规避安全软件检测。

https://www.bleepingcomputer.com/news/security/gifshell-attack-creates-reverse-shell-using-microsoft-teams-gifs/