维他命每日安全简讯（2023.04.25）

每日头条

1、美国海军承包商FMG遭到勒索攻击导致运营暂时中断

据媒体4月21日报道，美国海军承包商Fincantieri Marine Group(FMG)遭到勒索攻击，影响了其电子邮件服务器和部分系统。攻击发生在4月12日清晨，该造船厂透露，攻击针对的服务器主要用于保存向其计算机数控制造设备提供指令的数据，导致它们宕机数天。目前没有员工的个人信息受到影响。美国海军在一份声明中表示，FMG已采取措施进行响应，海军正在积极监督这些工作。

https://www.infosecurity-magazine.com/news/us-navy-contractor-cyberattack/

2、斯坦福等多所大学的网站被黑并分发Fortnite垃圾邮件

据4月21日报道，美国多所大学的网站被黑并分发堡垒之夜（Fortnite）和礼品卡垃圾邮件。涉及斯坦福大学、麻省理工学院、伯克利大学和加州理工学院等大学，这些网站似乎在运行TWiki或MediaWiki。这些wiki页面据称是由垃圾邮件发送者上传的，声称提供免费礼品卡、Fortnite Bucks和作弊器等。它们会加载伪装成Fortnite页面的钓鱼网页，或承诺提供礼品卡的虚假的调查。此外，该活动还针对巴西某州政府的一个小型网站，以及欧盟的Europa.eu。

https://www.bleepingcomputer.com/news/security/university-websites-using-mediawiki-twiki-hacked-to-serve-fortnite-spam/

3、Infoblox通过异常DNS流量检测发现新的Decoy Dog

Infoblox于4月20日称，他们在检测异常DNS流量后，发现了一种新的恶意软件工具包Decoy Dog。该工具旨在帮助攻击者通过战略性的域名老化和DNS查询运载来绕过检测，其DNS指纹在互联网上3.7亿个活跃域中极为罕见。对该工具基础设施的调查发现了几个与同一行动有关的C2域，它们的大部分通信来自俄罗斯的主机。这些域名的DNS隧道具有指向Pupy RAT的特征，这是一个由Decoy Dog工具包部署的远程访问木马。

https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/dog-hunt-finding-decoy-dog-toolkit-via-anomalous-dns-traffic/

4、Aqua披露利用Kubernetes RBAC的大规模挖矿活动

Aqua在4月21日称其发现了一个大规模的挖矿活动，利用了Kubernetes(K8s)基于角色的访问控制(RBAC)创建后门并运行矿工。通过利用RBAC实施恶意访问控制策略，即使提供初始访问的错误配置在未来得到修复，攻击者也可以在被感染的集群上持续存在。攻击链利用配置错误的API服务器进行初始访问，然后发送HTTP请求以列出机密，并发出API请求以通过列出命名空间kube-system中的实体来收集有关集群的信息。此外，攻击者还安装DaemonSets来接管和劫持被攻击的K8s集群的资源。

https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters

5、研究团队发现利用Google Ads分发BumbleBee的活动

4月20日，SecureWorks披露了利用Google Ads和SEO中毒分发BumbleBee的活动。研究人员发现一个Google Ad宣传了虚假的Cisco AnyConnect安全移动客户端下载页面，它创建于2月16日，托管在appcisco[.]com域上。该页面推广木马化MSI安装程序cisco-anyconnect-4_9_0195.msi，它会安装恶意软件BumbleBee。此外，研究人员还发现了其它具有类似对应文件名称的软件包，例如ZoomInstaller.exe和zoom.ps1，ChatGPT.msi和chch.ps1，以及CitrixWorkspaceApp.exe和citrix.ps1。

https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads

6、Huntress发布PaperCut漏洞利用活动的分析报告

4月21日，Huntress发布报告，称其发现了利用PaperCut MF/NG漏洞的活动。这两个漏洞（CVE-2023-27350和CVE-2023-27351）可被远程攻击者用于以SYSTEM权限在被感染的PaperCut服务器上执行任意代码。研究人员发现从PaperCut软件中生成的PowerShell命令，用于安装Atera和Syncro等RMM软件，以便在目标主机持续访问和执行代码。基础设施分析发现，托管这些工具的域名于4月12日注册，也托管TrueBot等恶意软件，后者与俄罗斯Silence团伙有关。

https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software

安全动态

针对Linux用户的新Operation DreamJob活动

https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/

ICONICSTEALER恶意软件分析报告

https://www.cisa.gov/news-events/alerts/2023/04/20/cisa-releases-malware-analysis-report-iconicstealer

Xiaoqiying针对韩国的攻击

https://www.recordedfuture.com/xiaoqiying-genesis-day-threat-actor-group-targets-south-korea-taiwan

BabLock（又名 Rorschach）勒索软件分析

https://www.trendmicro.com/en_us/research/23/d/an-analysis-of-the-bablock-ransomware.html

Drupal修复Drupal Core中的漏洞

https://www.cisa.gov/news-events/alerts/2023/04/21/drupal-releases-security-advisory-address-vulnerability-drupal-core