【火绒安全周报】俄罗斯黑客遭巨额悬赏/Mac用户警惕数据泄露

很刑很可拷

据报道，网络安全公司Kandji发现了一款名为Cuckoo的新型恶意软件，它针对Apple macOS系统持久潜伏并执行间谍活动。Cuckoo是Mach-O格式的通用二进制文件，通过网站传播并在配备 Intel 和 Arm 处理器的Apple计算机上运行。下载后触发bash脚本筛查特定地区定位后进行病毒激活，利用LaunchAgent技术实现持久化，该软件还通过工具尝试收集用户密码以提升系统权限。Cuckoo会主动搜索特定应用程序中的文件，快速有效地窃取 iCloud 钥匙串、浏览器等数据信息。建议用户从官方及可信任渠道下载应用程序，定期更新操作系统和火绒等安全软件，并监控应用程序请求的权限。

APT42是一个由伊朗国家支持的网络间谍组织，主要任务是针对对伊朗政府具有战略意义的个人和组织开展信息收集和监视行动。据悉，APT42组织伪装成记者和活动组织者，利用钓鱼邮件对西方和中东的非政府组织、媒体、学术界等实施网络渗透，诱导他们访问伪装网站以非法获取云服务访问权限，并绕过多因素认证，植入两个自定义后门NICECURL和TAMECAT，窃取并泄露对伊朗有利的战略数据。APT42组织的残留足迹微小，增加了网络安全防御难度。

04

多米尼加82万居民新冠疫苗接种数据遭泄露

据报道，82万名多米加尼居民的个人身份信息和COVID-19 疫苗接种数据被黑客论坛Breach Forums泄露公开。泄露的敏感数据包括身份证号、姓名、性别、疫苗接种总剂量、接种日期和疫苗类型等。威胁行为者或将利用这些敏感信息进行出售、身份盗窃、诈骗和网络钓鱼攻击等。网络威胁情报团队Resecurity称，此次数据泄露手法与多起拉丁美洲的数据泄露事件一致，但此次黑客论坛Breach Forums泄露的多米尼加数据来源尚不清楚。目前多米尼加政府并未开展相关调查。

相关链接：
https://www.hackread.com/hackers-leak-covid-19-data-vaccination-info/

忒不像话！

近日，网络安全研究人员发现一种名为TunnelVision的攻击技术，能窃取几乎所有VPN应用的流量。研究人员称，这种攻击技术可能从2002年就已经存在并被运用。该攻击通过使用DHCP选项121操纵分配IP地址给本地网络连接设备的DHCP服务器，并保持受害者与VPN和互联网的连接，从而实现解密和窥探。目前，任何根据其 RFC 规范实现 DHCP 客户端并支持 DHCP 选项 121 路由的操作系统都会受到影响，安卓系统由于不支持 DHCP 选项 121是唯一可以避免被TunnelVision攻击的操作系统。

HUORONG

火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。