安全简讯（2024.08.06）

1. 新型 MaaS 恶意软件Mint Stealer窃取机密数据

8月4日，Cyfirma专家最新报告揭示了恶意软件Mint Stealer的严重威胁，该软件以“恶意软件即服务”(MaaS)模式运作，专注于窃取各类敏感数据，通过高度先进的加密与混淆技术绕过安全防线。Mint Stealer在暗网平台出售，辅以Telegram用户支持，其“投放器”机制以压缩包形式分发核心恶意代码。其工作流程涉及提取并执行预置有效负载，随后广泛搜集来自多种流行应用，包括浏览器（Opera、Firefox、Edge）、加密货币钱包（Exodus、Electrum）、游戏账户（Battle.net、Minecraft）、VPN 客户端（Proton VPN）和即时通讯应用（Skype、Telegram），并监控系统信息及剪贴板活动。收集完成后，Mint Stealer会打包数据上传至免费文件共享站点，并通过不安全的连接将URL发送至命令服务器，严重威胁用户数据安全。为了防范 Mint Stealer，建议用户应避免打开不明来源的文件，安装并定期更新可靠的防病毒软件，保持所有软件的最新版本，同时提高对社会工程攻击的警觉性。

https://securityonline.info/mint-stealer-new-maas-malware-threatens-confidential-data/

2. Magniber 勒索软件攻击激增，影响全球家庭用户

8月4日，全球范围内正经历着一场大规模的Magniber勒索软件攻击潮，该恶意软件自2017年问世以来，作为Cerber的后继者，持续活跃并不断进化。Magniber主要瞄准家庭用户和小型企业，通过Windows零日漏洞、伪造的更新通知及木马软件破解工具等多种渠道进行传播。尽管2018年曾发布过解密工具，但随着威胁者修复漏洞，该工具已失效。自7月20日起，Magniber受害者数量显著上升，ID-Ransomware网站也收到了大量勒索软件报告，表明此次攻击规模之大。受害者通常是在运行非法软件破解或密钥生成器时中招，导致设备文件被加密，文件名后缀随机变化（如.oaxysw、.oymtk），并收到包含勒索信息及支付指南的README文件。Magniber勒索软件要求受害者支付数千美元赎金以换取解密工具，且赎金随时间增长，从最初的1000美元可能攀升至5000美元。然而，当前版本的Magniber加密文件尚无免费解密方法，强调了预防的重要性。因此，强烈建议用户远离非法软件破解和密钥生成器，这些不仅是违法的，还极易成为勒索软件的入侵途径。

https://www.bleepingcomputer.com/news/security/surge-in-magniber-ransomware-attacks-impact-home-users-worldwide/

3. Fighting Ursa利用虚假汽车销售广告传播HeadLace恶意软件

8月3日，Palo Alto Networks揭露了与俄罗斯相关的威胁组织Fighting Ursa（别名APT28、Fancy Bear或Sofacy）的新攻击手段。该组织通过发布伪装成外交用奥迪Q7 SUV销售的虚假汽车销售广告，在网络钓鱼活动中传播HeadLace后门恶意软件，主要目标为外交官。这一策略始于2024年3月，利用公共和免费服务托管攻击各阶段，显示出高度的灵活性和隐蔽性。Fighting Ursa沿袭了以往针对外交机构的有效手法，并通过Webhook.site等合法服务托管恶意HTML页面，诱骗用户下载包含HeadLace后门的ZIP压缩包。压缩包中的伪装图像文件实则是Windows计算器可执行文件，用于加载恶意DLL文件和执行批处理脚本，进而从远程服务器下载并执行更多恶意指令。这种复杂的感染链设计旨在绕过安全检测，并消除恶意活动的痕迹。该组织不仅针对乌克兰国防部和欧洲交通基础设施，还表现出对阿塞拜疆智库的兴趣，显示其意在影响地区和军事动态。值得注意的是，Fighting Ursa持续利用合法网络服务作为其攻击基础设施的一部分，表明其攻击手段在不断进化。

https://securityaffairs.com/166496/apt/russia-apt-headlace-malware.html

4. 新型 Android 木马 BlankBot 窃取土耳其用户的财务信息

8月5日，网络安全研究人员发现了一种针对土耳其用户的新型Android银行木马BlankBot，该木马正处于积极开发阶段，旨在窃取用户的财务信息。BlankBot具备客户注入、键盘记录、屏幕录制及与控制服务器通信等恶意功能，通过滥用Android的辅助功能服务权限实现对受感染设备的全面控制。它利用基于会话的包安装程序规避Android 13的安全限制，要求用户安装来自未知来源的应用程序，进而执行一系列敏感操作，包括收集银行账号、支付数据、解锁模式等。此外，BlankBot还能拦截短信、卸载应用、收集用户数据，并利用辅助功能服务阻止用户访问设备设置或启动防病毒软件。与此同时，谷歌也在积极应对类似威胁，如通过Stingrays等基站模拟器实施的SMS Blaster欺诈技术，该技术能直接注入短信至Android手机，绕过传统反欺诈机制。谷歌已采取多种措施打击此类攻击，包括建议用户禁用2G网络、关闭空密码，并计划加强蜂窝安全警报系统，以防范未加密蜂窝连接下的欺诈行为。

https://thehackernews.com/2024/08/new-android-trojan-blankbot-targets.html

5. Simpli公司网络目录可公开访问，导致900家公司数据泄露

8月5日，一起涉及约900家知名公司和组织的大规模数据泄漏事件被曝光，受害者名单中不乏戴尔、Verizon、AT&T、能源部、康卡斯特及大通银行等重量级机构。事件源头指向马里兰州Simpli公司（前身为Charm City Concierge）的一个可公开访问的网络目录，该目录意外暴露了2024年1月对公司网站及应用程序数据库的备份。备份中不仅包含约1万名员工的电子邮件地址，还泄露了约900家公司的哈希密码，这些密码虽以相对安全格式存储，但仍存在被破解风险，尤其当员工使用弱密码或跨账户重复密码时。更令人担忧的是，泄露的数据还包含了通过Simpli应用发出的指令及其备注，其中可能包含敏感业务信息和会议细节，进一步加剧了信息泄露的严重性。初步调查显示，数据泄露可能发生在Simpli公司从Drupal 7向Drupal 9迁移系统过程中，但截至目前，Simpli公司尚未对此事作出正式回应。此事件再次敲响了供应链安全的警钟，揭示了使用第三方服务可能带来的供应链攻击风险。

https://cybernews.com/security/simpli-app-data-leak/

6. 朝鲜黑客利用恶意 NPM 软件包攻击 Windows 用户

8月5日，近期npm开发者仓库中一用户“nagasiren978”发布了名为“harthat-hash”和“harthat-api”的恶意软件包，内含从C2服务器下载并执行其他恶意软件的代码，主要针对Windows系统。这些软件包的攻击手法与朝鲜黑客组织MOONSTONE SLEET所用策略相似，由Datadog首先发现，并命名为“Stressed Pungsan”威胁集群。黑客旨在渗透软件供应链，窃取个人信息、API密钥及云服务凭证，并在受害者网络中横向移动。Datadog安全团队通过GuardDog软件扫描npm平台，及时发现了这两个表现可疑的软件包。它们通过预安装脚本执行并删除特定“.js”文件，下载并执行恶意DLL文件，利用“rundll32.exe”进行隐蔽操作。两软件包高度相似，仅C2链接中的id参数不同，下载并执行的文件同样具备反调试和防止逆向工程的能力。尽管静态分析未直接揭示明确的恶意逻辑，但DLL文件包含的可疑Windows API调用表明其潜在危害。值得注意的是，这些软件包随后被作者自行而非npm管理员删除。

https://securityonline.info/north-korean-hackers-target-windows-users-with-malicious-npm-packages/