第513期 

你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访，在文章底部时常交流、疯狂讨论，都是小安欢迎哒~如果对本小站的内容还有更多建议，也欢迎底部提出建议哦！

1、Dark Frost 僵尸网络对游戏行业发起大规模DDoS 攻击

近日，安全专家发现，一种名为Dark Frost的新型僵尸网络被发现对游戏行业发起分布式拒绝服务 (DDoS) 攻击。

该僵尸网络以 Gafgyt、QBot、Mirai 和其他恶意软件为蓝本，已经扩展到包含数百个受感染的设备，目前包括游戏公司、游戏服务器托管供应商、在线流媒体，甚至与威胁行为者直接互动的其他游戏社区成员。

截至 2023 年 2 月，僵尸网络包括 414 台运行各种指令集架构的机器，例如 ARMv4、x86、MIPSEL、MIPS 和 ARM7。

Dark Frost 代表僵尸网络的最新迭代，通过窃取各种僵尸网络恶意软件毒株（如 Mirai、Gafgyt 和 QBot）的源代码而拼接在一起。

Akamai 在 2023 年 2 月 28 日标记僵尸网络后对其进行了逆向工程，通过UDP 洪水攻击将其攻击潜力固定在大约 629.28 Gbps 。据信，该威胁行为者至少从 2022 年 5 月开始活跃。

“让这个特殊案例变得有趣的是，这些攻击背后的参与者已经发布了他们攻击的实时记录，供所有人查看，”这家网络基础设施公司说。

“有人观察到这名演员在社交媒体上吹嘘他们的成就，利用僵尸网络解决轻微的在线纠纷，甚至在他们的二进制文件上留下数字签名。”

对手进一步建立了一个 Discord 渠道来促进攻击以换取金钱，表明他们的财务动机并计划将其充实为 DDoS出租服务。

Dark Frost 构成了一个现代示例，说明具有基本编码技能的新手网络犯罪分子很容易使用现有的恶意软件采取行动，对企业造成重大损害。

2、新的 PowerExchange 后门被用于伊朗对阿联酋政府的网络攻击

一个与阿拉伯联合酋长国 (UAE) 相关的未具名政府实体成为可能是伊朗威胁行为者的目标，以使用名为 PowerExchange 的“简单而有效”的后门破坏受害者的 Microsoft Exchange Server。

根据 Fortinet FortiGuard Labs 的一份新报告，攻击者将电子邮件网络钓鱼作为初始访问途径，导致执行包含 ZIP 文件附件的 .NET 可执行文件。

伪装成 PDF 文档的二进制文件用作执行最终有效载荷的释放器，然后启动后门。

PowerExchange 使用 PowerShell 编写，使用附加到电子邮件的文本文件进行命令和控制 (C2) 通信。它允许威胁行为者运行任意负载并从系统上传文件和从系统下载文件。

自定义植入程序通过使用 Exchange Web 服务 ( EWS ) API 连接到受害者的 Exchange 服务器并使用服务器上的邮箱发送和接收来自其操作员的编码命令来实现这一点。

Fortinet 研究人员说：“可以从互联网访问 Exchange 服务器，从而节省了从组织中的设备到外部服务器的 C2 通信。” “它还充当攻击者掩饰自己的代理人。”

目前尚不清楚威胁参与者如何设法获取域凭据以连接到目标 Exchange Server。

Fortinet 的调查还发现 Exchange 服务器被多个 Web shell 后门，其中之一称为ExchangeLeech，以实现持久远程访问并窃取用户凭据。

PowerExchange 被怀疑是TriFive的升级版，此前伊朗国家级攻击者 APT34（又名 OilRig）曾使用它入侵针对科威特政府机构的攻击。

此外，通过面向互联网的 Exchange 服务器进行通信是 OilRig 参与者采用的一种久经考验的策略，正如在Karkoff 和 MrPerfectionManager的案例中观察到的那样。

“将受害者的 Exchange 服务器用于 C2 通道允许后门与良性流量混合，从而确保威胁行为者可以轻松避免目标组织基础设施内外几乎所有基于网络的检测和补救措施，”研究人员说。

3、疑似伊朗黑客针对以色列物流业发起网络攻击

近日，至少有八个与以色列的航运、物流和金融服务公司相关的网站遭遇了水坑攻击。

总部位于特拉维夫的网络安全公司 ClearSky 怀疑，这些攻击背后极有可能是Tortoiseshell的伊朗威胁行为者，也称为 Crimson Sandstorm（以前称为 Curium）、Imperial Kitten 和 TA456。

“受感染的网站通过脚本收集初步用户信息，”ClearSky在周二发布的一份技术报告中说。大多数受影响的网站都已去除流氓代码。

已知Tortoiseshell至少从 2018 年 7 月开始活跃，早期攻击针对沙特阿拉伯的 IT 提供商，还曾为美国退伍军人建立虚假招聘网站，以诱使他们下载远程访问木马。

也就是说，这并不是伊朗活动集群第一次将目光投向以色列的航运业。这种攻击方法也称为战略网站妥协，它通过感染已知被一组用户或特定行业的用户经常访问的网站来实现恶意软件的分发。

2022 年 8 月，一名名为UNC3890的新兴伊朗演员被归因于托管在以色列合法航运公司登录页面上的一个水坑，该水坑旨在将有关登录用户的初步数据传输到攻击者控制的域。

ClearSky 记录的最新入侵表明，注入网站的恶意 JavaScript 以类似的方式运行，收集有关系统的信息并将其发送到远程服务器。

JavaScript 代码进一步尝试确定用户的语言偏好，ClearSky 表示这可能“有助于攻击者根据用户的语言定制他们的攻击”。

最重要的是，攻击还利用名为 jquery-stack[.]online 的域进行命令和控制 (C2)。目标是通过模仿合法的 jQuery JavaScript 框架来躲避雷达。

事态发展之际，以色列仍然是伊朗国家资助的船员最主要的目标。本月早些时候，微软强调了他们将“进攻性网络行动与多管齐下的影响力行动相结合，以推动地缘政治变革与政权目标保持一致”的新方法。

4、Barracuda Email Security Gateway (ESG) 被0day漏洞攻击

网络安全解决方案提供商 Barracuda 警告客户，其部分电子邮件安全网关 (ESG) 设备最近遭到威胁行为者利用现已修补的零日漏洞的破坏。

该漏洞被追踪为 CVE-2023-2868，存在于电子邮件附件筛选模块中，该问题于 5 月 19 日被发现，该公司于 5 月 20 日和 21 日发布了两个安全补丁来修复它。

该问题可能会产生重大影响，因为受影响的电子邮件安全网关 (ESG) 设备被全球数十万组织使用，其中包括几家知名企业。

该漏洞不影响其他 Barracuda 产品，该公司表示其 SaaS 电子邮件安全服务不受此问题的影响。

该公司调查了该漏洞并发现它被用来针对电子邮件网关设备的一个子集。该公司通过 ESG 用户界面通知他们认为其设备受到影响的客户。

“根据我们迄今为止的调查，我们已经确定该漏洞导致了对电子邮件网关设备子集的未授权访问，”咨询继续说道。“我们认为其设备受到影响的用户已通过 ESG 用户界面获知要采取的行动。梭子鱼还接触了这些特定客户。

Barracuda 指出，调查仅限于其 ESG 产品，而不是客户的特定环境。建议受影响的组织检查他们的网络以确定其他系统是否被攻击者破坏。

原文始发于微信公众号（安全客）：【安全头条】网络安全厂商ESG遭遇0day漏洞攻击