维他命每日安全简讯（2023.06.16）

每日头条

1、Win 11最新补丁导致Malwarebytes与Chrome不兼容

据媒体6月14日报道，本周二发布的Windows 11 22H2 KB5027231累积更新影响了Malwarebytes客户系统上的Google Chrome。一位管理员说，安装更新后Chrome浏览器出现问题，试图通过WSUS回滚，事件查看器中显示“catastrophic error”，而且WSUS显示不能回滚。Chrome进程实际上正在运行，但由于冲突而无法完全启动应用程序和加载用户界面。Malwarebytes表示，Win 11更新导致Chrome与漏洞利用保护发生冲突，进而导致浏览器崩溃。遇到此问题的用户可以从其Malwarebytes受保护应用程序列表中关闭网络浏览器。

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5027231-update-breaks-google-chrome-for-malwarebytes-users/

2、美国多个政府机构遭到勒索团伙Clop的攻击

据6月16日报道，美国多个政府机构遭到了勒索团伙Clop的攻击。攻击者利用了MOVEit文件传输工具中的漏洞，CISA称其正在和FBI努力为使用MOVEit的联邦机构提供帮助，确认攻击的影响并及时补救。官方拒绝透露受影响的机构的名称和数量，但一位能源部发言人透露，该部门是遭到入侵的多个联邦机构之一。此外，英国石油和天然气公司壳牌在本周四透露其也遭到了Clop勒索攻击，该公司去年的收入超过3810亿美元。

https://therecord.media/several-us-federal-agencies-affected-by-moveit-breach

3、HP公开通过恶意网站分发Chrome扩展Shampoo的活动

6月14日报道，HP公开了一个正在进行中的新ChromeLoader活动。该活动始于3月，通过声称可免费下载盗版音乐、电影或游戏的恶意网站分发ChromeLoader。诱使目标下载执行PowerShell脚本的VBScript，该脚本设置以“chrome_”为前缀的计划任务。此任务会触发一系列脚本，将新的PowerShell脚本下载并保存到注册表中，同时会获取恶意Chrome扩展Shampoo。Shampoo是ChromeLoader的变体，能够在目标访问的网站上注入广告并执行搜索查询重定向。

https://www.bleepingcomputer.com/news/security/new-shampoo-chromeloader-malware-pushed-via-fake-warez-sites/

4、Trellix称新窃取程序Skuld针对欧美和东南亚等地

Trellix在6月13日称其发现了新型Golang窃取程序Skuld，已入侵欧洲、东南亚和美国的Windows系统。该恶意软件自4月下旬开始爆发，会搜索存储在Discord和浏览器等应用中的数据，以及系统的信息和文件夹中的文件。部分样本甚至包括窃取加密货币的模块，但研究人员认为该模块仍在开发中。研究人员称，开发人员Deathined从多个开源项目和恶意软件样本中汲取灵感，将功能移植到Golang来构建Skuld。

https://www.trellix.com/en-us/about/newsroom/stories/research/skuld-the-infostealer-that-speaks-golang.html

5、微软发布关于黑客团伙Cadet Blizzard的分析报告

6月14日，微软发布了关于黑客团伙Cadet Blizzard的分析报告。据信，该组织于2020年开始运营，与俄罗斯GRU有关，主要针对乌克兰的政府服务、执法机构、非营利/非政府组织、IT服务提供商/咨询公司和紧急服务。并将其与2022年1月13日针对乌克兰的WhisperGate攻击联起来。该团伙在2022年6月之后逐渐淡出人们的视线，但在2023年初重新浮出水面。微软表示，与APT28和Sandworm等其它GRU相关黑客团伙相比，Cadet Blizzard攻击的成功率相对较低。

https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/

6、Stairwell披露ChamelGang植入程序ChamelDoH的细节

6月13日，Stairwell披露黑客团伙ChamelGang的新植入程序ChamelDoH的细节。这是一种用C++开发的Linux植入程序，用于远程访问目标系统，并通过DNS-over-HTTPS (DoH)隧道与配置的C2基础设施通信。所有恶意软件的通信都使用AES128和修改后的base64编码加密，其中包含非字母数字字符的替换。该植入程序收集系统的信息来分析被感染的目标，并能够进行基本的远程访问控制，例如文件上传、下载、删除和执行。

https://stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant/

安全动态

伪装成WannaCry的勒索软件

https://blog.cyble.com/2023/06/13/threat-actor-targets-russian-gaming-community-with-wannacry-imitator/

冒充安全研究员GitHub存储库提供恶意植入

https://vulncheck.com/blog/fake-repos-deliver-malicious-implant

LockBit勒索软件在1700次针对美国的攻击中勒索9100万美元

https://www.cisa.gov/news-events/alerts/2023/06/14/cisa-and-partners-release-joint-advisory-understanding-ransomware-threat-actors-lockbit

Proofpoint发布2023年人为因素报告

https://www.proofpoint.com/us/newsroom/press-releases/proofpoints-2023-human-factor-report-threat-actors-scale-and-commoditize

揭开Balada注入程序的面纱

https://cybernews.com/security/wordpress-malware-epidemic-balada-injector/