维他命每日安全简讯（2023.07.04）

1、俄罗斯卫星通信商Dozor-Teleport被黑暂时无法访问

      据媒体6月30日报道，某黑客团伙声称对俄罗斯卫星通信提供商Dozor-Teleport遭到的攻击负责。该提供商为能源公司以及该国的国防和安全机构所用。自美国东部时间上周三晚上10点以来，该公司的网络一直处于中断状态，网站也已关闭。此外，Dozor的母公司Amtel Svyaz也在上周三晚间发生了严重的中断。此次攻击背后的组织声称与Wagner Group有关，但后者的官方Telegram中没有提及此次攻击活动。黑客称入侵了部分卫星终端，窃取了服务器上的机密信息，并公开了700个文件，包括文档和图像。

https://therecord.media/hackers-take-down-russian-satellite-provider

2、美国专利商标局配置错误泄露约6万个申请人的信息

      据6月28日报道，美国专利商标局 (USPTO) 泄露了约61000个申请人的信息。该问题是在一个API中发现的，导致从申请人那里收集的地址信息泄露。据悉，此次泄露事件影响了2020年2月至2023年3月提交的约3%的申请人。USPTO称，他们发现这个问题后，立即阻止了对所有USPTO非关键API的访问，并下架了受影响的批量数据产品，直到可以永久修复。

https://techcrunch.com/2023/06/28/uspto-trademark-data-api-leak/

3、Akamai检测到利用SSH服务器的新代理劫持攻击活动

      Akamai在6月29日称其检测到一个代理劫持活动，主要针对易受攻击的SSH服务器。Akamai于6月8日首次发现这些攻击。一旦连接到SSH服务器，攻击者就会安装一个Base64编码的Bash脚本，将被攻击的系统添加到Honeygain和Peer2Profit等P2P代理网络中。此外，它还会搜索并终止运行带宽共享程序的竞争实例，然后启动Docker服务，利用目标的带宽获取利润。对网络服务器的进一步分析发现，它还被用来托管加密货币挖矿程序，这表明攻击者正在涉足加密劫持和代理劫持攻击。

https://www.akamai.com/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle

4、研究人员称仅需6次尝试就可绕过语音身份验证

      媒体6月30日称，滑铁卢大学的研究人员发现了一种可以绕过语音身份验证的技术，并表示只需六次尝试成功率就高达99%。研究人员确定了deepfake音频中表明它是由计算机生成的标记，并开发了一个程序来删除这些标记，使其与真实音频无法区分。在针对Amazon Connect语音身份验证系统的测试中，研究人员在4秒的攻击中取得了10%的成功率，在尝试6次后成功率高达99%。

https://www.malwarebytes.com/blog/news/2023/06/new-technique-can-defeat-voice-authentication-in-just-6-attempts

5、AhnLab称勒索团伙Crysis通过RDP安装Venus勒索软件

      7月3日报道称，AhnLab近期发现勒索团伙Crysis在攻击中也使用了Venus勒索软件。Crysis和Venus都是针对暴露的远程桌面服务的主要勒索软件。攻击者可能使用RDP作为攻击媒介，先尝试使用Crysis加密系统，在失败后，再次尝试使用Venus进行加密。除了两个勒索软件之外，攻击者还安装了各种其它工具，例如端口扫描器和Mimikatz。因为攻击者在初始入侵和横向移动中一直使用RDP，建议用户在不使用时停用RDP，或使用复杂的账户密码并定期更改，来防御此类攻击。

https://asec.ahnlab.com/en/54937/

6、Sekoia发布关于DDoS攻击工具包DDoSia的分析报告

      6月29日，Sekoia发布关于DDoSia项目的分析报告。DDoSia是一个DDoS攻击工具包，由与俄罗斯相关的组织NoName057(16)开发和使用。DDoSia项目于2022年初在Telegram上启动，截至今年6月，其成员超过10000人。Sekoia收集了DDoSia的C2在5月8日至6月26日发送的一些的数据，发现主要针对立陶宛、乌克兰和波兰，占总活动的39%。在此期间，DDoSia总共攻击了486个网站。

https://blog.sekoia.io/following-noname05716-ddosia-projects-targets/

思科敦促停止在OSPF中使用弱加密算法

https://www.networkworld.com/article/3701290/cisco-urges-stop-using-weak-crypto-algorithms-with-ospf.html#tk.rss_security

PhonyC2：MuddyWater新的恶意C2框架

https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater

CVE-2023-26258：ArcServe Backup中漏洞

https://www.infosecurity-magazine.com/news/critical-flaw-exposes-arcserve/

Android恶意软件家族Fluhorse的内部运作方式

https://www.fortinet.com/blog/threat-research/fortinet-reverses-flutter-based-android-malware-fluhorse

使用DNS TXT记录的恶意软件执行方法

https://asec.ahnlab.com/en/54916/

BlackCat继续攻击医疗保健机构

https://www.databreaches.net/blackcat-continues-attempting-to-extort-healthcare-entities/

CISA针对多个部门的DoS和DDoS攻击的开源报告

https://www.cisa.gov/news-events/alerts/2023/06/30/dos-and-ddos-attacks-against-multiple-sectors

BlackCat通过恶意广告分发伪装成WinSCP的勒索软件

https://thehackernews.com/2023/07/blackcat-operators-distributing.html

T3SF - 技术桌面练习模拟框架

https://t3sf.readthedocs.io/en/latest/

Acronis 2023 年年中网络威胁报告

https://www.acronis.com/en-us/resource-center/resource/acronis-mid-year-cyberthreats-report-2023/

推荐阅读：