每日安全简讯(20221121)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 瓦努阿图政府网站疑似遭受勒索攻击

瓦努阿图政府的服务器疑似遭到网络攻击，并且已经关闭十余天。网络攻击导致该国议会、警察和总理办公室的网站瘫痪，并且影响了学校、医院、其他紧急服务以及所有政府服务部门的电子邮件系统、内网和在线数据库。一份政府声明称其在线系统遭受黑客入侵，且有报道说瓦努阿图政府拒绝支付攻击者索要的赎金。目前还没有与勒索攻击及其背后组织的详细信息。

https://www.bbc.com/news/world-asia-63632129

---

2 美国联邦网络遭受网络攻击

美国网络安全基础设施和安全局（CISA）发现了针对美国联邦网络的网络攻击，攻击者攻击了该组织的数据中心，并且可能部署了挖矿程序和凭据窃取程序。攻击者利用未打补丁的VMWare Horizon服务器中的Log4Shell漏洞，对联邦民用行政部门（FCEB）发起攻击，部署XMRig挖矿程序、横向移动工具，窃取凭据信息，并在多台主机上植入Ngrok反向代理以保持持久性。

https://cybersecuritynews.com/u-s-federal-network-hacked/

---

3 新的网络钓鱼攻击利用Windows安全绕过漏洞投放恶意软件

新的网络钓鱼攻击利用Windows漏洞，在不显示Web安全警告标记的情况下投放Qbot恶意软件。在正常情况下，当用户尝试打开具有MoTW属性的文件时，Windows将会显示一条安全警告，询问是否要打开该文件。但是攻击者可以使用嵌入式base64编码的签名块对JS文件或其他类型的文件进行签名， 以利用针对该安全机制的漏洞阻止显示Web标记安全警告，并自动允许恶意软件执行。


https://www.bleepingcomputer.com/news/security/new-attacks-use-windows-security-bypass-zero-day-to-drop-malware/

---

4 攻击者滥用谷歌Looker Studio进行SEO中毒攻击

攻击者正在滥用谷歌的Looker Studio（曾经称为Google Data Studio）来提高传播垃圾邮件、种子和盗版内容的非法网站的搜索引擎排名。研究人员发现此SEO中毒攻击使用谷歌的datastudio.google.com子域名来为恶意域名增加可信度。这些链接并不是合法的Google Data Studio项目，而是托管盗版内容链接的网站，且链接将进一步进行多次重定向，最终跳转至垃圾网站。

https://www.bleepingcomputer.com/news/security/google-search-results-poisoned-with-torrent-sites-via-data-studio/

---

5 研究人员分析RDP暴力攻击中使用的主要密码

研究人员发布一份研究报告，分析了针对远程桌面协议（RDP）端口的实时攻击中使用的主要密码。研究人员在其部署的蜜罐系统中收集了超过460万个密码，并在包括RDP端口和其他端口攻击的数据分析中揭示了几种密码模式，其中超过88%的密码少于12个字符，近24%的密码仅包含8个字符，略低于19%的密码仅包含小写字母。

https://www.helpnetsecurity.com/2022/11/17/top-passwords-rdp-attacks

---

6 OpenSSF采用微软内置的供应链安全框架

开源安全基金会（OpenSSF）宣布采用安全供应链消费框架（S2C2F），这是微软构建的用于使用开源软件的框架。S2C2F定义了对开源软件（OSS）的现实威胁，并包括缓解这些威胁的要求，以消费为中心的框架采用基于威胁的降低风险的方法来减轻供应链对开源软件的威胁。该框架包括八个不同的实践领域，包括摄取、库存、更新、执行、审计、扫描、重建和修复。

https://www.securityweek.com/openssf-adopts-microsoft-built-supply-chain-security-framework