近日，太阳集团城网站2017安元实验室发布了2023年第四期《安全通告》。该份报告收录了2023年4月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

01

WordPress 漏洞遭利用：大量站点受到安全威胁

未知的黑客正在积极利用 WordPress 的 Elementor Pro 网站构建器插件中的近期修复的安全漏洞。

该缺陷被描述为访问控制中断的情况，影响版本 3.11.6 及更早版本。插件维护者在 3 月 22 日发布的 3.11.7 版本中解决了这个问题。

02

窃取加密货币的恶意软件以假冒 VPN 服务的用户为目标

自 2022 年下半年以来，人们发现了一种名为 OpcJacker的新型信息窃取恶意软件。作为恶意广告活动的一部分。

Trend Micro研究人员 Jaromir Horejsi 和 Joseph C. Chen表示：“OpcJacker 的主要功能包括键盘记录、屏幕截图、从浏览器窃取敏感数据、加载其他模块以及替换剪贴板中的加密货币地址以实现劫持目的。”

03

美国网络安全局对皇家勒索软件的威胁发出警告

美国网络安全和基础设施安全局 (CISA) 发布了一份关于Royal 勒索软件的新公告，该勒索软件于去年出现在网络威胁领域。

CISA表示：“在获得对受害者网络的访问权限后，黑客会禁用防病毒软件并泄露大量数据，然后最终部署勒索软件并对系统进行加密。

04

Google TAG 警告与朝鲜有关的 ARCHIPELAGO 网络攻击

谷歌的威胁分析小组 (TAG) 正在 跟踪 名为 ARCHIPELAGO 的 集群，据称该集群是 Mandiant 跟踪的名为 APT43 的另一个威胁组的子集。

ARCHIPELAGO 安装的攻击链涉及使用包含恶意链接的网络钓鱼电子邮件，当收件人单击这些链接时，这些链接会重定向到旨在获取凭据的虚假登录页面。

05

Typhon Reborn Stealer 恶意软件利用先进的规避技术重新出现

被称为 Typhon Reborn 的 信息窃取恶意软件背后的黑客已经通过更新版本 (V2) 重新出现，该版本包含改进的功能以逃避检测和抵抗分析。

思科 Talos 研究员 Edmund Brumaghin在周二的一份报告中说明。窃取者可以收集和泄露敏感信息，并使用 Telegram API 将窃取的数据发送给黑客。

06

Rorschach 勒索软件出现：专家警告高级规避策略 

Check Point Research在一份新报告中分析称：Rorschach 从其他勒索软件中脱颖而出的原因在于其高度的定制化和技术上独特的功能，这在勒索软件中是前所未有的。并且就加密速度而言，Rorschach 是有史以来最快的勒索软件之一。

入侵最重要的方面是使用一种称为 DLL 侧面加载的技术来加载勒索软件有效负载，这种方法很少见在此类攻击中。这一发展标志着出于经济动机的团体为回避检测而采用的方法变得更加成熟。

07

微软采取法律行动打击网络犯罪分子非法使用 Cobalt Strike 工具 

微软表示，它与 Fortra 和健康信息共享与分析中心 (Health-ISAC) 合作，解决网络犯罪分子滥用 Cobalt Strike 分发恶意软件（包括勒索软件）的问题。

虽然由 Fortra（前身为 HelpSystems）开发和维护的 Cobalt Strike 是一种用于对手模拟的合法后开发工具，但多年来，该软件的非法破解版本已被黑客武器化。

08

黑客用伪造的包淹没 NPM 导致 DoS 攻击 

黑客用伪造的包淹没了 Node.js 的 npm 开源包存储库，甚至短暂地导致了拒绝服务 (DoS) 攻击。

 Checkmarx 的 Jossef Harush Kadouri在上周发布的一份报告中指出，黑客创建恶意网站并发布带有这些恶意网站链接的空包，利用开源生态系统在搜索引擎上的良好声誉。

09

台湾 PC 公司 MSI 成为勒索软件攻击的受害者

台湾 PC 公司 MSI（Micro-Star International 的简称）正式确认其系统遭到网络攻击。

该公司表示，在检测到“网络异常”后，它“迅速”启动了事件响应和恢复措施。它还表示已将此事提醒执法机构。

10

QuaDream 通过零点击攻击瞄准高风险 iPhone

黑客使用来自以色列监控软件供应商 QuaDream 的黑客工具，将北美、中亚、东南亚、欧洲和中东的至少五名公民社会成员作为目标。

根据 Citizen Lab 的一组研究人员的调查结果，2021 年的间谍软件活动针对的是记者、政治反对派人士和一名非政府组织工作人员。受害者的姓名没有透露。

11

黑客转向暗网上的 Android 加载器来逃避 Google Play 安全

Dropper 应用程序是黑客通过 Google Play 商店窃取恶意软件的主要手段。此类应用程序通常伪装成看似无害的应用程序，在清除审查过程时引入恶意更新，并且这些应用程序已经积累了庞大的用户群。

这是通过使用一个加载程序来实现的，该加载程序负责将恶意软件注入一个干净的应用程序，然后可以从应用程序市场下载该应用程序。 安装被篡改应用程序的用户会被提示授予其侵入权限，以促进恶意活动。

12

FIN7 和 Ex-Conti 黑客团伙联手发起 Domino 恶意软件攻击 

由可能隶属于 FIN7 网络犯罪集团的黑客开发的一种新型恶意软件已被现已解散的 Conti 勒索软件团伙的成员使用，表明这两个团队之间存在合作。

这种名为Domino 的恶意软件旨在促进对受感染系统的后续利用，包括提供一种鲜为人知的信息窃取程序，该程序自 2021 年 12 月以来一直在暗网上宣传出售。

13

Vice Society 勒索软件使用 PowerShell 工具进行数据泄露 

据观察，与 Vice Society 勒索软件团伙相关的黑客使用基于 PowerShell 的定制工具在雷达下飞行并自动执行从受感染网络中泄露数据的过程。

Palo Alto Networks Unit 42 研究员 Ryan Chapman 表示黑客(TA) 使用内置的数据渗漏方法 ，例如 [以二进制文件和脚本为生] 无需引入可能被安全软件和/或基于人的安全检测机制标记的外部工具”。

14

Goldoson Android 软件感染超过1亿次Google Play商店下载 

在官方 Google Play 商店中检测到一种名为Goldoson的新 Android 恶意软件变种，涵盖 60 多个合法应用程序，总下载量超过 1 亿次。

该流氓组件是相关应用程序使用的第三方软件库的一部分，能够收集有关已安装应用程序、Wi-Fi 和蓝牙连接设备以及 GPS 位置的信息。

15

伊朗黑客使用 SimpleHelp 远程支持软件进行持久访问 

被称为 MuddyWater 的伊朗黑客正在继续其久经考验的传统，即依靠合法的远程管理工具来征用目标系统。

MuddyWater 至少从 2017 年开始活跃，被评估为伊朗情报与安全部 (MOIS) 的下属组织。一些主要目标包括土耳其、巴基斯坦、阿联酋、伊拉克、以色列、沙特阿拉伯、约旦、美国、阿塞拜疆和阿富汗。

16

谷歌浏览器遭受第二次零日攻击——紧急补丁更新发布

谷歌周二推出了紧急修复程序，以解决其 Chrome 网络浏览器中另一个被积极利用的高严重性零日漏洞。

该缺陷被跟踪为 CVE-2023-2136 ，被描述案例整数溢出中的 Skia 为开源 2D 图形库。 谷歌威胁分析小组 (TAG) 的 Clément Lecigne 于 2023 年 4 月 12 日发现并报告了该漏洞。

17

思科和 VMware 发布安全更新以修补其产品中的严重缺陷 

思科和 VMware 已发布安全更新，以解决其产品中可能被恶意行为者利用在受影响系统上执行任意代码的严重安全漏洞。

最严重的漏洞是 Cisco Industrial Network Director 中的 命令注入漏洞（CVE-2023-20036，CVSS 评分：9.9），它存在于 Web UI 组件中，是由于上传设备包时输入验证不当造成的。

18

两大汽车制造商现代和丰田披露了重大数据泄露事件

现代汽车的意大利和法国车主以及预订试驾的个人都受到了影响。泄露的数据包括客户的个人信息，包括电子邮件、地址、电话号码和车辆底盘号码。

日本汽车制造商丰田证实，他们方面的违规行为暴露了大量敏感信息，包括软件业务 Mapbox 的 API 令牌以及数字营销平台 Salesforce Marketing Cloud 的凭证，这些信息可用于联系公司的客户。