每日安全简讯(20221225)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lazarus组织使用经证书签名的恶意软件攻击macOS用户

恶意软件的作者经常使用签名的二进制文件来绕过 Apple 安全机制并感染 macOS 用户。近期研究人员发现具有朝鲜背景的APT组织Lazarus通过发布虚假的Coinbase就职机会诱骗用户接收精心定制的恶意软件程序，程序运行后会展示一个与Coinbase公司工作机会相关的PDF文档，同时在后台悄悄地推送一个经过证书签名的二进制文件来进行恶意下载行为，由于研究人员分析过程中C2服务器无法相应，因此未能找出后续有效载荷，但溯源分析发现这此的攻击活动是属于Lazarus名为Operation Interception的恶意软件活动集群的一部分。

https://labs.k7computing.com/index.php/lazarus-apts-operation-interception-uses-signed-binary/

---

2 伊朗黑客组织Moses Staff入侵以色列重要单位摄像头

以色列公共广播公司发布调查报告称一个名为Moses Staff的伊朗背景黑客组织控制了数十个以色列安全摄像头，并且发布了来自以色列各地的多段视频，包括去年一个武器设施的镜头和上个月在耶路撒冷发生的恐怖袭击，以及以色列海法拉斐尔国防承包商工厂周围的拍摄画面，黑客能够在长时间控制摄像机的同时平移、倾斜和缩放摄像机。此外，该组织在6月声称对一次网络攻击负责，该攻击导致耶路撒冷和南部城市埃拉特的部分地区响起了火箭警报。广播公司表示以色列国防安全机构一年前就知道该黑客攻击的存在，但未采取任何措施阻止它。

https://securityaffairs.co/wordpress/139934/hacking/iranian-group-hacked-israeli-cctv-cameras.html

---

3 英国卫报遭遇严重的勒索软件攻击

英国卫报在周二深夜遭遇严重的IT安全事件，据信这是勒索软件攻击，报媒体集团首席执行官安娜贝特森和主编凯瑟琳维纳在对外信件中，该事件影响了公司的部分技术基础设施，员工被告知在家工作，后台服务也出现了一些中断，在线出版基本上不受影响，卫报技术团队一直在努力处理这一事件的各个方面，绝大多数员工都像大流行期间那样在家工作。目前尚不清楚是否有任何敏感数据被攻击者窃取。

https://www.infosecurity-magazine.com/news/ransomware-attack-guardian/?&web_view=true

---

4 伪装成YouTube机器人的恶意软件窃取用户敏感信息

YouTube机器人是可以在 YouTube 平台上自动执行任务的软件程序，例如观看、喜欢或不喜欢视频、订阅或取消订阅频道、发表评论以及将视频添加到播放列表等，最近安全研究人员在跟踪新活跃的恶意软件家族时发现了一种新的伪装成YouTube bot的恶意软件，它表面上可以对YouTube视频执行查看、点赞和评论等活动，此外它还可以从浏览器窃取敏感信息例如Cookie、账号自动填充记录、历史登录的密码数据等，并从命令和控制 (C&C) 服务器接收命令以进行其他恶意活动，例如强制用户观看指定的YouTube视频，或者在受害者的机器上下载和执行其他恶意文件。

https://blog.cyble.com/2022/12/23/new-youtube-bots-malware-spotted-stealing-users-sensitive-information/

---

5 Zerobot僵尸网络背后的研发人员为其增添新功能

微软安全威胁情报团队警告说，主要通过物联网和 Web 应用程序漏洞传播的Zerobot僵尸网络增加了新的漏洞利用和攻击能力。Zerobot又名 ZeroStresser，其通过恶意软件即服务的商业模型在地下网络犯罪中出售，这使得其开发人员定期更新其功能相对容易。微软研究人员近期观察到Zerobot利用Apache ( CVE-2021-42013 ) 和 Apache Spark ( CVE-2022-33891 ) 中的漏洞来破坏防火墙、路由器和摄像头等设备，获得设备访问权限后，Zerobot 会注入一个恶意负载，它可能是一个名为 zero.sh 的 通用脚本，它会尝试直接下载并执行Zerobot，或者是一个下载特定架构的包含Zerobot二进制文件的脚本。此次更新中，还具有七种新的 DDoS 攻击功能，这使得僵尸网络对潜在买家更具吸引力。

https://www.infosecurity-magazine.com/news/zerobot-botnet-devs-add-new?&web_view=true

---

6 Shoemaker Ecco泄露超过60GB的数百万份敏感文件

Shoemaker Ecco是全球知名的鞋类制造商和零售商，近日研究人员发现托管Ecco大量铭感数据的ElasticSearch服务器存在严重配置错误并在网络上公开暴露，自2021年6月以来，超过50 个暴露的索引和60GB的数据可供访问，服务器配置错误并允许所有应用程序编程接口 (API) 请求通过，涵盖 Ecco 公司生活各个方面的数以百万计的敏感文件，从销售到系统信息都可以访问，任何有权访问的人都可以查看、编辑、复制和窃取或删除数据。攻击者可能会更改其中的可见代码、名称和URL以进行网络钓鱼，或者可能让受害者在他们的浏览器和设备上安装不需要的文件，例如勒索软件加载程序或远程访问工具，从而造成巨大的损害。

https://securityaffairs.co/wordpress/139885/data-breach/shoemaker-ecco-data-leaks.html?web_view=true