每日安全简讯(20220925)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现针对电信公司、ISP和大学的APT组织

研究人员发现了一个名为“Metador”的新的APT组织，该组织主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。Metador的攻击链旨在绕过本地安全解决方案，同时将恶意软件直接部署到内存中。研究人员发现了两个不同的Windows恶意软件，称为metaMain和Mafalda，专门用于在内存中运行和逃避检测。metaMain还充当部署Mafalda的管道，这是一种支持67个命令的灵活交互式植入程序。metaMain本身就具有丰富的功能，使攻击者能够保持长期访问、记录击键、下载和上传任意文件以及执行shellcode。

https://www.sentinelone.com/labs/the-mystery-of-metador-an-unattributed-threat-hiding-in-telcos-isps-and-universities/

---

2 匿名者黑客组织声称入侵了俄罗斯国防部的网站

匿名者黑客组织声称入侵了俄罗斯国防部的网站，泄露了305925人的数据，这些人可能会在普京总统宣布的三波动员中的第一波中被调动，作为应对俄罗斯军队在乌克兰面临的困难的攻势升级的一部分。该黑客组织通过ProtonDrive共享了一个90MB大小的TXT文件，该文件包含超过30万人的姓名、出生日期和地区。目前无法验证已发布文件的确切来源。

https://securityaffairs.co/wordpress/136127/hacktivism/anonymous-russian-ministry-of-defense.html

---

3 攻击者利用恶意OAuth应用程序发起网络钓鱼活动

微软表示，攻击者在撞库攻击中获得了对托管Microsoft Exchange服务器的云租户的访问权限，其最终目标是部署恶意OAuth应用程序和发送网络钓鱼电子邮件。“调查显示，攻击者对未启用多因素身份验证(MFA)的高风险账户发起撞库攻击，并利用不安全的管理员账户获得初始访问权限，”Microsoft 365 Defender研究团队表示。对云租户的未经授权的访问使攻击者能够创建一个恶意OAuth应用程序，该应用程序在电子邮件服务器中添加了一个恶意的入站连接器。然后，攻击者使用此入站连接器和传输规则以规避检测，通过受感染的Exchange服务器传递网络钓鱼电子邮件。

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-via-oauth-apps-for-phishing/

---

4 Sophos警告被积极利用的防火墙RCE漏洞

9月23日，Sophos警告该公司防火墙产品中的一个关键代码注入漏洞正在被积极利用。Sophos观察到此漏洞被用于针对一小部分特定组织，主要是在南亚地区。该漏洞被跟踪为CVE-2022-3236，在Sophos Firewall的用户门户和Web管理员中发现，允许攻击者执行代码 (RCE)。该公司表示，它已针对受此安全漏洞影响的Sophos Firewall版本（v19.0 MR1(19.0.1)及更早版本）发布了修补程序，这些修补程序将自动推广到所有实例，因为默认情况下启用了自动更新。

https://www.bleepingcomputer.com/news/security/sophos-warns-of-new-firewall-rce-bug-exploited-in-attacks/

---

5 乌克兰捣毁了窃取3000万账户的黑客团伙

乌克兰安全局(SSU)的网络部门抓捕了一群黑客，他们窃取了大约3000万人的账户并在暗网上出售。黑客使用恶意软件获取乌克兰和欧盟受害者系统上可用的凭据和其他敏感数据。SSU表示，威胁行为者提供了数据包，这些数据包由亲克里姆林宫的宣传人员大量购买，然后他们使用这些账户在社交媒体上传播假新闻，造成恐慌，并在乌克兰和其他国家造成不稳定因素。根据初步统计，黑客出售了大约3000万个账户，并获得了近1400万UAH（380000美元）的“利润”。

https://www.bleepingcomputer.com/news/security/ukraine-dismantles-hacker-gang-that-stole-30-million-accounts/

---

6 攻击者伪造成CircleCI平台窃取GitHub账户

GitHub发布了一份公告，详细说明了可能正在进行的网络钓鱼活动，目标是其用户通过冒充CircleCI DevOps平台来窃取凭据和两因素身份验证(2FA)代码。微软旗下的代码托管服务公司表示，它于2022年9月16日获悉此次攻击，并补充说该活动影响了“许多受害组织”。攻击者伪造通知声称用户的CircleCI会话已过期，并且他们应该通过单击链接使用GitHub凭据登录。CircleCI发送的另一封虚假电子邮件提示用户通过邮件中嵌入的链接登录其GitHub账户以接受公司的新使用条款和隐私政策。

https://thehackernews.com/2022/09/hackers-using-fake-circleci.html