俄罗斯电商公司e.way泄露大约700万条用户的数据；Nodaria利用恶意信息窃取程序Graphiron攻击乌克兰

1、俄罗斯电商公司e.way泄露大约700万条用户的数据

      据媒体2月7日报道，Cybernews发现了一个暴露的数据库，包含1.1TB数据。研究人员在1月24日发现了该数据库，并将其归因于俄罗斯电气工程公司Elevel旗下的在线商店e.way。这个数据库包含700万条数据，泄露了两年的客户信息，如姓名、电话号码、电子邮件地址和送货地址等。此外，它包含以URL编码的登录数据和密码，这是一种较弱的保护机制，很容易被解码。目前，数据库已经无法访问，但该公司尚未做出回应。

https://cybernews.com/privacy/russian-e-commerce-giant-data-leak/

2、Nodaria利用恶意信息窃取程序Graphiron攻击乌克兰

      Symantec在2月8日称其发现俄罗斯Nodaria利用新型恶意软件Graphiron攻击乌克兰的活动。最早的攻击可追溯到2022年10月，并至少持续到2023年1月中旬。Graphiron是用Go开发的，由downloader和payload组成，旨在从窃取系统信息、凭据、屏幕截图和文件等多种信息。Graphiron与旧的Nodaria工具（例如GraphSteel和GrimPlant）有一些相似之处。除此之外，与早期的恶意软件一样，Graphiron使用端口443与C&C服务器通信，并使用AES密码对通信进行加密。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/nodaria-ukraine-infostealer

3、Sophos近期发现通过恶意OneNot文件分发QBot的活动

      据2月6日报道，新一轮QakNote攻击活动利用Microsoft OneNote文件分发恶意软件QBot。1月31日开始，QBot的运营人员开始试验这种新的分发方法，使用OneNote文件，其中包含一个嵌入的HTML应用程序（HTA文件），可以检索到QBot恶意软件的payload。此外，QBot payload将自身注入Windows辅助技术管理程序（“AtBroker.exe”）以绕过AV工具的检测。作为应对措施，Sophos建议管理员阻止所有.one文件，因为它们通常不作为附件发送。 

https://news.sophos.com/en-us/2023/02/06/qakbot-onenote-attacks/

4、Medusa僵尸网络回归新增勒索软件和暴力破解模块

      媒体2月7日称，基于Mirai代码的新版DDoS僵尸网络Medusa出现，具有勒索软件模块和Telnet暴力破解程序。Medusa的勒索软件模块使用256位AES加密文件，但加密方法似乎已损坏，将勒索软件变成了数据擦除程序。此外，只有在删除文件后，它才会显示一个要求0.5 BTC的赎金记录。这似乎是有问题的，因此研究人员推测新变体或此功能仍在开发中。暴力破解功能可针对联网设备尝试常用的用户名和密码，在建立Telnet连接后，恶意软件会使用主要的Medusa payload感染系统。

https://www.bleepingcomputer.com/news/security/medusa-botnet-returns-as-a-mirai-based-variant-with-ransomware-sting/

5、Ahnlab披露利用私人HTS分发Quasar RAT的活动

      Ahnlab于2月8日披露了近期通过私人家庭交易系统（HTS）发现Quasar RAT的分发活动。HTS一种使投资者使用家庭或办公室PC进行股票交易的系统，而无需访问股票交易公司或打电话。第一个安装的程序是NSIS安装程序HPlusSetup.exe，Asset.exe是安装后执行的第一个程序，后者既是启动程序又是更新程序。HPlusSocketManager20221208.exe会启动vbc.exe并注入Quasar RAT。

https://asec.ahnlab.com/en/47283/

6、Outpost24发布2022年勒索攻击态势的分析报告

      2月7日，Outpost24发布了2022年勒索攻击态势的分析报告。研究人员在2022年总共检测到各种勒索团伙在DLS上总共披露了2363个组织。最活跃的勒索团伙为LockBit、BlackCat、Conti和Hive等，其中LockBit对当年34%的攻击负责，平均每月约67次。商业和商业相关公司受勒索攻击的影响最大，如商业设施、金融、建筑、法律以及批发零售行业，这表明攻击者主要针对具有更高支付能力的组织。在地理分布方面，仅美国就占42%，而欧洲国家约占28%。

https://outpost24.com/blog/ransomware-report-2023

DefaScan

      一个 python 工具，用于污损扫描和警报。

https://github.com/RamXtha/DefaScan

curio

      致力于数据安全的静态代码分析工具（SAST）。

https://curio.sh/

Clop新Linux变体使用存在漏洞的加密算法

https://www.sentinelone.com/labs/cl0p-ransomware-targets-linux-systems-with-flawed-encryption-decryptor-available/

微软推出人工智能聊天驱动的Bing和Edge浏览器

https://www.bleepingcomputer.com/news/microsoft/microsoft-launches-new-ai-chat-powered-bing-and-edge-browser/

网站和电子邮件中的网络信标

https://securelist.com/web-beacons-on-websites-and-in-email/108632/

CISA为遭到ESXiArgs勒索攻击的用户发布恢复脚本

https://www.bleepingcomputer.com/news/security/cisa-releases-recovery-script-for-esxiargs-ransomware-victims/

研究人员利用1.4w个合作伙伴的信息入侵丰田供应商门户

https://www.bleepingcomputer.com/news/security/researcher-breaches-toyota-supplier-portal-with-info-on-14-000-partners/

俄罗斯加密货币交易所高管承认洗钱Ryuk资金

https://therecord.media/russian-crypto-exchange-exec-pleads-guilty-to-laundering-ryuk-ransomware-funds/

爱尔兰大学因IT问题取消所有课程

https://therecord.media/all-classes-canceled-at-irish-university-as-it-announces-significant-it-breach/

谷歌Android操作系统中的多个漏洞

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-android-os-could-allow-for-privilege-escalation_2023-014

推荐阅读：