每日安全简讯(20221114)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT29利用Windows功能入侵欧洲外交部门的网络

一个欧洲外交部门遭到了网络钓鱼攻击，研究人员从中发现APT29利用了Windows的凭据漫游功能，并针对Active Directory执行了大量的异常LDAP查询。经过进一步的调查后，研究人员发现了一个任意文件写入漏洞，该漏洞被标记为CVE-2022-30170，CVSS评分为7.3。攻击者可以利用此漏洞实现远程代码执行，并可以获得远程交互式登录权限，普通账户通常不会拥有这样的权限。

https://thehackernews.com/2022/11/apt29-exploited-windows-feature-to.html

---

2 研究人员在Google Play商店中发现Xenomorph木马

研究人员最近在Google Play商店的应用程序中发现了Xenomorph木马，该应用程序的名称是“Todo: Day Manager"，下载量已经超过1000次。Xenomorph木马能够从设备中窃取银行应用程序的相关凭据，在正常的银行应用程序上创建一个页面，诱骗受害者输入他们的凭据；Xenomorph木马还能够拦截用户的短信通知，以窃取一次性密码和验证码信息。

https://www.zscaler.com/blogs/security-research/rise-banking-trojan-dropper-google-play-0

---

3 研究人员发现针对乌克兰的勒索攻击与Sandworm黑客组织相关

自10月以来，乌克兰和波兰的运输物流行业遭受了一系列的Prestige勒索软件攻击，研究人员认为这些攻击与Sandworm黑客组织相关。研究人员在报告中表示攻击组织通过多种方式部署Prestige勒索软件，包括使用Windows计划任务、经过编码的PowerShell命令和默认域组策略对象。

https://www.bleepingcomputer.com/news/security/russian-military-hackers-linked-to-ransomware-attacks-in-ukraine/

---

4 微软修复MotW绕过漏洞

研究人员发现三种不同的MotW绕过方法，这些技术适用于大多数版本的Windows。微软接收到了研究人员的通报，但只解决了其中的两个问题。其中一种MotW绕过漏洞被标记为CVE-2022-41049，攻击者可以利用此漏洞在ZIP压缩包中传递恶意软件。另一个漏洞被标记为CVE-2022-41091，攻击者可以利用此漏洞创建一个绕过MotW防御的恶意软件，Magniber勒索软件已经利用此漏洞进行勒索攻击活动。

https://www.securityweek.com/microsoft-patches-motw-zero-day-exploited-malware-delivery

---

5 攻击者使用IPFS托管恶意软件

研究人员发现多个恶意软件家族目前托管在IPFS中，并在恶意软件攻击的初始阶段进行检索。IPFS是一个分布式文件系统，目标文件的URL是内容的散列，而不是服务器的位置，节点和散列之间的关系由IPFS网关维护，用户不知道节点的物理位置。研究人员在其报告中表示，这些技术在各种实际应用中具有合法用途，但是也为攻击者创造了传播恶意软件的机会。

https://www.securityweek.com/attackers-using-ipfs-distributed-bulletproof-malware-hosting

---

6 攻击者使用电子邮件进行大规模的勒索诈骗

研究人员发现近期出现一个活跃的勒索骗局，攻击者发送主题为”您的网站、数据库和电子邮件已经被黑客入侵“的电子邮件，并要求2500美元的赎金。这些电子邮件似乎并没有针对性，会发送给个人博主、政府机构和各家大公司，并且在勒索信中附有两个比特币地址。尽管此次事件只是一个骗局，但是研究人员已经在其中的一个钱包地址中发现了比特币交易，这表明已经有受害者遭受到了欺骗。

https://www.bleepingcomputer.com/news/security/new-extortion-scam-threatens-to-damage-sites-reputation-leak-data/