安全简讯（2024.01.16）

每日头条

1. 恶意软件Blank Grabber针对Python开发人员窃取信息

1月14日，Imperva 威胁研究团队最近在 PyPI 中发现了一个名为“sellpass-sdk”的恶意软件包，该软件包是“Blank Grabber”信息窃取恶意软件的传播者。在发生一系列类似事件之后，这一发现标志着 Python 开发的网络安全领域出现了令人担忧的趋势。该恶意软件包模仿合法软件包“sellpass”，采用各种策略来建立可信度。其中包括使用相似的作者姓名以及创建多个版本以使其看起来得到积极维护。这种诡计导致该软件包被多次下载，凸显出此类恶意软件可以轻松渗透系统。一旦安装，“Blank Grabber”就会表现出有害行为。它能够阻止受感染设备上的来电和消息，防止受害者收到重要警报。该恶意软件执行了复杂的数据泄露和系统入侵策略。这一事件清楚地提醒人们保持网络安全警惕的重要性。开发人员和用户都必须谨慎行事，尤其是从 PyPI 等存储库获取软件包时。

2. Phemedrone Stealer利用CVE-2023-36025规避检测

1月14日，在最近的一项发现中，趋势科技的网络安全研究人员发现对 CVE-2023-36025 的积极利用，导致先前未知的恶意软件变体（称为 Phemedrone Stealer）的传播。Phemedrone Stealer 是一种隐形恶意软件，主要针对网络浏览器、加密货币钱包和消息应用程序，包括Telegram、Steam 和 Discord 等流行平台。这种多方面的恶意软件不仅仅是窃取数据；它还捕获屏幕截图并收集关键系统信息，例如硬件详细信息、位置和操作系统细节。被盗数据通过 Telegram 或其命令和控制服务器谨慎地传输给攻击者。Phemedrone Stealer 的与众不同之处在于其开源性质，用 C# 编写，并在 GitHub 和 Telegram 上积极维护。Phemedrone Stealer 成功的根源在于它利用了 CVE-2023-36025，这是一个影响Microsoft Windows Defender SmartScreen 的漏洞。此漏洞是由于缺乏对 Internet 快捷方式 (.url) 文件的检查和相关提示而导致的，威胁行为者利用这些文件来制作恶意 .url 文件。这些文件下载并执行恶意脚本，有效绕过 Windows Defender SmartScreen 警告和检查。微软于 2023 年 11 月 14 日修补了此漏洞，但攻击利用的出现促使网络安全和基础设施安全局 (CISA) 将其纳入已知利用漏洞 (KEV) 列表中。

3. 研究团队称2023年勒索软件团伙已攻击近5200个企业

1月12日，Rapid7 的一篇博客文章中表示，2023 年将有近 5,200 个组织遭受勒索软件攻击，并从其管理的检测和响应团队的公开披露和事件数据中进行了研究。Rapid7 威胁分析高级总监 Christiaan Beek 在报告中表示：“事实上，我们认为这个数字实际上更高，因为它没有考虑到许多可能未被报告的攻击。”Rapid7 没有提供 2022 年的数据，但其他公司的研究得出结论，勒索软件攻击的数量正在上升。BlackFog 的数据显示，2023 年下半年的勒索软件攻击数量是2022 年下半年的两倍。虽然勒索软件活动仍然很高，但用于这些攻击的独特勒索软件家族的数量减少了一半以上，从2022年的95个新家族减少到2023年的43个。比克表示，这表明当前的勒索软件系列和模型正在满足威胁行为者的目标。AlphV 是去年最活跃的威胁组织。2023 年接下来的4个最活跃的勒索软件组织包括：BianLian；Clop；LockBit 3.0和Play。

4. 超过100个以色列组织遭到黑客攻击且大量数据泄露

1月15日，一个名为 Cyber Toufan 的黑客组织据称受到某国支持，声称通过数据删除和盗窃行动入侵了 100 多个以色列组织。这是因该地区日益紧张的政治局势而发起的全面袭击行动的一部分。安全研究人员已追踪到超过 100 起与 Cyber Toufan 运营相关的攻击，其特点是窃取大量数据（包括个人信息）并在网络上传播。该黑客组织在其 Telegram 频道上泄露了 59 个组织的数据。然而，该组织在针对托管服务提供商 (MSP) 的攻击中可能已经危害了另外 40 多个组织。该组织泄露的数据包括服务器的完整磁盘映像、仍然有效且正在使用的 SSL 证书、SQL 转储、CRM，甚至 WordPress 备份。受害者包括以色列国家档案馆；以色列创新局；以色列住房中心；以色列自然和公园管理局；特拉维夫学院；以色列卫生部；福利和社会事务部、以色列证券管理局；Allot、MAX Security & Intelligence、Radware 和丰田以色列公司等。

5. 研究团队披露Sandworm针对丹麦和乌克兰能源的攻击

1月15日，在网络安全领域，能源行业仍然是容易受到复杂网络攻击的关键领域。Forescout Vedere Labs 最近的威胁简报揭示了针对丹麦和乌克兰这一领域的两次不同网络攻击，并将其归因于 Sandworm，这是一个以高级持续威胁 (APT) 闻名的俄罗斯军事威胁组织。Forescout Vedere Labs的报告对丹麦能源基础设施的两次独立攻击浪潮进行了全面分析。SektorCERT的初步调查结果丹麦关键基础设施计算机紧急响应小组 (CERT) 指出了两次不同的攻击。然而，韦代雷实验室的分析提出了不同的说法。这些攻击的一个值得注意的方面是使用“靠地生存”(LotL) 技术。虽然不一定比定制恶意软件更快，但 LotL 提供了隐秘优势，使攻击者能够避免检测并利用现有系统。这种方法凸显了攻击者不断变化的策略以及对强大防御机制的需求。

6. Balada Injector用Popup Builder攻击WordPress网站

1月15日，Sucuri 研究人员报告称，9月份有超过 17,000 个 WordPress 网站易受到 Balada Injector的攻击。Balada Injector是一个自 2017 年以来一直活跃的恶意软件家族。该恶意软件支持多种攻击向量和持久性机制。该恶意代码最初由 AV 公司 Doctor Web 于 2022 年 12 月发现。Sucurity 报告称，12 月 13 日， Balada Injector 活动开始使用旧版本的 Popup Builder（CVE-2023-6000，CVSS 评分 8.8）感染网站。威胁行为者使用了最近注册（12 月 13 日）的域名 specialcraftbox[.]com。截至撰写本文时， PublicWWW 在 7100 多个网站上检测到注入。

安全动态

Backdoor.Win32 Carbanak (Anunak) / 命名管道空 DACL

https://seclists.org/fulldisclosure/2024/Jan/12

2023 年十大勒索软件组织

https://securityboulevard.com/2024/01/the-top-10-ransomware-groups-of-2023/

研究人员发布针对 Windows XAML 诊断 EoP 缺陷的 PoC

https://securityonline.info/cve-2023-36003-poc-eop-flaw/

EasyEASM - 零美元攻击面管理工具

https://www.kitploit.com/2024/01/easyeasm-zero-dollar-attack-surface.html

Xitami 2.5 - Denial of Service (DoS)

https://cxsecurity.com/issue/WLB-2024010055

pandora：从密码管理器中提取凭据的红队工具