安全周报(9.4-9.8)2023

好消息

随着针对K-12学校的网络攻击不断增加，CISA正在寻求教育技术软件制造商的承诺，以设计更安全的产品。该机构作为这项工作的一部分发起的新举措被认为是为了加强K-12学校的网络安全。与此同时，美国和英国政府本周对参与TrickBot/Conti行动的成员实施了新的制裁。这一事态发展是在今年2月两国政府制裁七名成员之后发生的。

• CISA发起了一项新举措，即“K-12教育技术安全设计承诺”，作为其加强K-12学校网络安全的持续努力的一部分。该协议旨在让教育技术软件制造商承诺开发具有增强内置安全措施的产品。
• 美国和英国政府点名并制裁了Trickbot/Conti网络犯罪行动的另外11名成员。新的制裁措施是在2月份针对Trickbot、Conti和Ryuk罪犯采取类似行动之后实施的。据英国国家犯罪局称，该团伙已向全球勒索至少1.8亿美元。
• CISA发布了新的指导方针，以帮助联邦机构打击DDoS攻击。该指南侧重于针对网站和相关服务的攻击，并要求机构对机构拥有或运营的网络服务器进行盘点，以评估风险。

坏消息

阿拉巴马州的一家儿科牙科护理提供商披露了一次网络攻击，该攻击影响了近130000名患者、家长和员工的个人和健康信息。在另一起事件中，一个在线物品交换平台证实了一个大范围的漏洞，导致700多万用户的数据被泄露。除了数据泄露，一场全球欺诈投资活动还因欺骗全球用户并获利28万美元而成为头条新闻。

• 总部位于阿拉巴马州的Acadia Health LLC以Just Kids Dental的名义运营，该公司通知称，在最近的一次网络攻击中，近130000名患者、家长和员工的敏感信息被泄露。泄露的详细信息包括姓名、地址、电子邮件地址、电话号码、出生日期、社会保障号码、驾驶执照号码、医疗保险单信息和治疗信息。
• Coffee Meets Bagel交友平台证实了一次由黑客入侵公司系统并擦除敏感数据引起的网络攻击。这影响了生产服务器的正常运行，生产服务器在技术团队的帮助下立即重新建立。
• 攻击者在未经授权访问其以太坊（ETH）和币安智能链（BSC）热钱包后，从加密赌场平台Stake窃取了超过4000万美元的加密货币。与此同时，该公司声明用户资金是安全的。
• 与npm、PyPI和RubyGems存储库相关的开发人员在一次有组织的网络犯罪行动中成为目标，该行动收集基本系统信息（操作系统详细信息和可用空闲内存），并将其过滤到攻击者控制的服务器。该活动仅针对macOS系统。
  在墨尔本病理诊所TissuPath发生的一次网络安全事件中，暴露了长达十年的病理学转诊信和其他敏感细节，如患者姓名、联系方式和医疗保险号码。总部位于俄罗斯的黑猫威胁要公布从该公司窃取的4.95TB数据，声称对此次袭击负责。
• CISA在一份联合公告中透露，一个伊朗黑客组织利用Zoho和Fortinet的关键漏洞入侵了一个美国航空组织。有问题的缺陷是CVE-2022-47966和CVE-2022-4 2475，它们使攻击者能够在组织的防火墙设备上建立持久性，并在网络中横向移动。
• 谷歌报道称，朝鲜国家黑客参与了一场活动，利用一款未公开的流行软件中的零日漏洞，以安全研究人员为目标。攻击者利用Twitter和Mastodon引诱研究人员转向Signal、Wire或WhatsApp等加密消息平台。一旦建立了通信，攻击者就会向他们发送旨在利用该漏洞的恶意文件。
• 网络犯罪分子滥用谷歌Looker Studio服务创建伪造的加密货币钓鱼网站，窃取数字资产持有人的账户详细信息。这些虚假网站通过钓鱼电子邮件传播，告知收件人他们赢得了大约0.75比特币（19200美元），这是他们参与谷歌高级加密货币洞察和交易策略计划的一部分。
• 西班牙塞维利亚市议会仍在从LockBit集团的勒索软件攻击中恢复。袭击始于9月4日，影响了包括警察、消防员和税务在内的广泛服务。官方仍在调查这起事件。
• Group-IB研究人员警告称，一场大规模的全球投资欺诈活动利用近900个诈骗页面瞄准中东和非洲地区的用户。这些页面模仿金融和保险、股票交易公司、石油和天然气以及建筑行业的组织。调查发现，作为活动的一部分，骗子在3月至6月期间成功窃取了约28万美元。
• See Tickets在一年内又遭受了一次网络浏览攻击，使威胁行为者能够访问客户的支付数据。这些信息包括323000多名客户的借记卡或信用卡号码、访问代码、密码和PIN码。
• ShinyHunters集团声称从澳大利亚必胜客窃取了3000多万客户订单记录，此外还有100多万客户的个人信息。这些数据存储在这家披萨连锁店使用的一个不安全的亚马逊网络服务桶中。
• 二手物品交换门户网站Freecycle在一名黑客访问其系统并窃取了700多万用户的账户详细信息后遭遇安全漏洞。被盗数据包括用户名、电子邮件和密码，这些数据现在在地下黑客论坛上出售。

新威胁

一种新的网络钓鱼工具包能够帮助对手进行诈骗和模拟攻击，在网络威胁领域越来越受欢迎。研究人员透露，该工具包已被约500名网络犯罪分子用于攻击56000多个微软365公司账户。在其他头条新闻中，Chaes恶意软件和Atomic macOS Steiner（AMOS）的高级版本出现在不同的活动中，以组织和用户为目标。对于使用易受攻击的MinIO对象存储系统的组织来说，还有一条重要消息；攻击者被发现利用了系统中的两个缺陷。

• Morphisec最近发现了Chaes恶意软件的高级版本，名为Chae$4，专门针对拉丁美洲金融和物流公司的客户。该变体采用WebSockets作为其模块和C2服务器之间的主要通信方法。
• Security Joes的研究人员发现了一个未知的威胁参与者，他利用MinIO对象存储系统中的漏洞在易受攻击的服务器上远程执行任意代码。这些漏洞统称为Evil_MinIO漏洞，被跟踪为CVE-2023-28434和CVE-2023-208432，影响RELEASE2023-03-20T20-18Z之前的版本。
• 在针对Windows用户的一次新的网络钓鱼活动中，发现了一种新的Agent Tesla变体。这封钓鱼电子邮件伪装成采购订单通知，要求收件人确认一家工业设备供应商公司的订单。
• BLISTER恶意软件加载程序的更新版本被用作SocGholish感染链的一部分，以分发Mythic框架。该恶意软件被嵌入合法的VLC媒体播放器库中，试图绕过安全软件。
• 在过去的10个月里，一个名为W3LL Panel的网络钓鱼工具包为至少500名网络犯罪分子提供了服务，危害了美国、澳大利亚和欧洲的56000多个微软365公司账户。该网络钓鱼工具包与其他16种主要用于BEC攻击的工具一起使用。其中一些工具包括SMTP发件人（PunnySender和W3LL-Sender）、恶意链接分段器（W3LL-Rerect）、漏洞扫描程序（OKELO）、自动帐户发现工具（CONTOOL）和侦察工具。
• 在一场新的广告宣传活动中发现了新版Atomic macOS Steiner（AMOS），目标是在谷歌搜索引擎上搜索TradingView软件的人。一旦执行，它就会过滤用户的系统数据，包括钱包地址、密码、自动填充、密钥链和cookie，并将其发送到攻击者的服务器。
• ASEC发布了一份报告，称韩国和泰国各地针对Windows、Mac和Linux操作系统的BlueShell恶意软件的使用有所增加。在分析BlueShell在Linux环境中的活动时，研究人员在VirusTotal上发现了一种定制的恶意软件变体。
• 有人观察到Mirai僵尸网络的变种Pandora渗透到基于安卓系统的电视机和电视盒中进行DDoS攻击。一些目标设备包括Tanix TX6电视盒、MX10 Pro 6K和H96 MAX X3。
• 威胁行为者PYTA31被发现在4月至8月期间通过PyPI存储库中的恶意软件包分发Whitesnake恶意软件。该恶意软件使用复杂的过滤机制，包括使用文件共享服务和Telegram。它能够针对多个操作系统。
• Zscaler将新的Steal It活动归因于APT28（又名Fancy Bear）小组，该小组利用Nishang的Start CaptureServer PowerShell脚本的定制版本来窃取和泄露系统信息。攻击链始于一个与恶意LNK文件捆绑在一起的ZIP存档。