每日安全简讯(20221117)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lazarus使用新版本DTrack后门程序攻击欧洲的组织

Lazarus正在使用新版本的DTrack后门程序攻击欧洲和拉丁美洲的组织。DTrack是一个模块化的后门程序，具有键盘记录、屏幕截图、浏览器历史记录检索、获取正在运行的进程信息、获取IP地址和网络连接信息等功能。除了上述功能外，它还能够接收远程指令、获取其他有效负载、窃取文件和数据以及在受害设备上执行进程。与过去版本相比，研究人员发现新版本的DTrack在功能和代码上没有太多的更改，但是其部署范围更加广泛，已经在德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国发现了与DTrack相关的攻击活动，涉及的行业包括政府研究中心、政策机构、化学品制造商、IT服务提供商、电信提供商、公用事业服务提供商和教育等。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-european-orgs-with-updated-malware/

---

2 商业恶意软件Typhon Stealer出现新版本并更名为Typhon Reborn

2022年8月初，研究人员发现了一个新的恶意软件，恶意软件作者将其命名为Typhon Stealer。近期，他们在Telegram频道中宣传该恶意软件的新版本，并更名为Typhon Reborn。这两个版本都能够窃取加密钱包、针对敏感应用程序进行键盘记录并规避反病毒产品的检测。新版本的恶意软件中增加了一些反分析技术，并对窃密功能进行了改进，但也去除了旧版本中的键盘记录、剪贴板监控等功能。研究人员推测攻击者去除一些功能可能是为了降低被反病毒产品检测的几率，并且可能会将这些功能添加到他们开发的其他恶意软件中。目前，Typhon Reborn的售价为100美元。

https://unit42.paloaltonetworks.com/typhon-reborn-stealer/

---

3 研究人员发现伪装成印度尼西亚人民银行的网络钓鱼活动

最近，研究人员发现了伪装成印度尼西亚人民银行进行的网络钓鱼活动，此活动背后的攻击者从网络钓鱼攻击开始，利用安卓恶意应用程序从受害者的手机中自动获取OTP一次性密码。研究人员发现多个钓鱼网站，网站模仿印度尼西亚人民银行网站的样式，以对每笔交易提供低税率为主题诱骗受害者提交银行凭证。受害者提交凭据信息后，钓鱼网站会提示受害者下载并安装恶意应用程序，此恶意程序会申请SMS权限，以此窃取短信接收的OTP信息。

https://blog.cyble.com/2022/11/15/phishing-campaign-targeting-indonesian-bri-bank-using-sms-stealer/

---

4 研究人员发现RapperBot的新变种正在构建僵尸网络

研究人员发现RapperBot恶意软件的相关样本，这些样本被用来构建一个僵尸网络，能够对游戏服务器发起分布式拒绝服务攻击。RapperBot于2022年8月首次被发现，其新变种除了支持使用通用路由封装（GRE）隧道协议的DoS攻击外，还能够执行Telnet暴力破解进行自我传播。除此之外，研究人员发现了与此次活动存在关联的另一组样本，并表示这两次网络攻击活动可能由同一个攻击者或者使用共享源代码的不同攻击者所发起。

https://thehackernews.com/2022/11/warning-new-rapperbot-campaign-aims-to.html

---

5 推特的双因素身份验证存在漏洞

研究人员发现推特的多因素身份验证包含一个允许潜在账户接管的漏洞。推特允许用户通过短信以外的其他方式设置多因素身份验证，包括身份验证应用程序和安全密钥。该漏洞允许攻击者伪造注册的电话号码，以禁用双因素身份验证，并可能会使攻击者通过重置密码或填充密码的方式接管账户。

https://www.govinfosecurity.com/twitter-two-factor-authentication-has-vulnerability-a-20475

---

6 研究人员发现了影响Spotify BackStage的漏洞

研究人员在Spotify BackStage中发现了一个关键的远程代码执行漏洞，CVSS评分为9.8。Spotify BackStage是一个用于构建开发人员门户的开放平台，由Spotify内部创建，其代码已经开源，并被美国航空公司、Netflix、Splunk、Fidelity Investments和Epic Games等多个公司所使用。研究人员表示，未经身份验证的攻击者可以利用Scaffolder核心插件中的vm2沙箱逃逸在BackStage上执行任意命令。BackStage团队在1.5.1版本的产品中解决了这个问题。

https://securityaffairs.co/wordpress/138591/security/spotify-backstage-rce.html