每日安全简讯(20230513)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现更隐蔽的Linux BPFDoor恶意软件版本

研究人员近期发现Linux恶意软件“BPFDoor”的一种新的、更隐蔽的变体，具有更强大的加密和反向shell通信。BPFDoor是一种隐蔽的后门恶意软件，至少从2017年开始活跃，但直到大约12个月前才被安全研究人员发现。该恶意软件的名称来源于使用“Berkley 数据包过滤器”(BPF)在绕过传入流量防火墙限制的同时接收指令。BPFDoor旨在允许威胁行为者在被破坏的Linux系统上保持长时间的持久性，并且长时间不被发现。通过将加密合并到静态库中，恶意软件开发人员可以实现更好的隐蔽性和混淆，因为不再依赖外部库，例如具有RC4密码算法的库。

https://www.bleepingcomputer.com/news/security/stealthier-version-of-linux-bpfdoor-malware-spotted-in-the-wild/

---

2 9个勒索软件团伙使用Babuk代码加密VMWare ESXi服务器

越来越多的勒索软件团伙正在采用泄露的Babuk勒索软件源代码来创建针对VMware ESXi服务器的Linux加密器。SentinelLabs安全研究人员在发现2022年下半年至2023年上半年之间连续出现的九种基于Babuk的勒索软件变体后，观察到了这一上升趋势。SentinelLabs威胁研究员Alex Delamotte表示：“有一个明显的趋势，即攻击者越来越多地使用 Babuk生成器来开发ESXi和Linux勒索软件。”正如预期的那样，Babuk泄露的生成器使攻击者能够以Linux系统为目标，即使他们不具备开发自己的定制勒索软件的专业知识。

https://www.sentinelone.com/labs/hypervisor-ransomware-multiple-threat-actor-groups-hop-on-leaked-babuk-code-to-build-esxi-lockers/

---

3 瑞士大型跨国企业ABB遭受Black Basta勒索软件攻击

领先的电气化和自动化技术提供商瑞士跨国公司ABB遭受了Black Basta勒索软件攻击，据报道影响了业务运营。ABB总部位于瑞士苏黎世，拥有约105000名员工，2022年的收入为294亿美元。作为其服务的一部分，该公司为制造和能源供应商开发工业控制系统(ICS)和SCADA系统。5月7日，该公司成为2022年4月浮出水面的网络犯罪组织Black Basta发起的勒索软件攻击的受害者。为了应对此次攻击，ABB终止了与其客户的VPN连接，以防止勒索软件传播到其他网络。

https://www.bleepingcomputer.com/news/security/multinational-tech-firm-abb-hit-by-black-basta-ransomware-attack/

---

4 WordPress Elementor插件漏洞让攻击者劫持100万个网站上的帐户

WordPress最受欢迎的Elementor插件之一“Essential Addons for Elementor”被发现容易受到未经身份验证的权限升级的影响，这可能允许远程攻击获得站点的管理员权限。Essential Addons for Elementor是一个包含90个扩展的库，用于“Elementor”页面构建器，被超过一百万个WordPress网站使用。PatchStack于2023年5月8日发现的漏洞被跟踪为CVE-2023-32243，是插件密码重置功能的未经身份验证的权限升级漏洞，影响版本5.4.0 至 5.7.1。出现此漏洞是因为此密码重置功能不验证密码重置密钥，而是直接更改给定用户的密码。

https://www.bleepingcomputer.com/news/security/wordpress-elementor-plugin-bug-let-attackers-hijack-accounts-on-1m-sites/

---

5 微软修复了被积极利用的Outlook零日漏洞

微软本周修复了一个安全漏洞，远程攻击者可以利用该漏洞绕过针对在野滥用的关键Outlook零日安全漏洞的最新补丁。这个漏洞由Akamai安全研究员Ben Barnea报告，所有当前支持的Windows版本均受到该零日漏洞影响，目前已有证据表明黑客利用该漏洞发起攻击。3月份修补的Outlook零日漏洞 (CVE-2023-23397) 是Windows版Outlook客户端中的一个特权升级漏洞，使攻击者能够在NTLM中继攻击中无需用户交互即可窃取NTLM哈希值。威胁参与者可以通过发送带有扩展MAPI属性的消息来利用它，其中包含指向自定义通知声音的UNC路径，导致Outlook客户端连接到他们控制下的SMB共享。

https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-bypass-for-recently-fixed-outlook-zero-click-bug/

---

6  Brightly Software通知客户SchoolDude平台数据被攻击者窃取

美国科技公司和西门子子公司Brightly Software通知客户，他们的个人信息和凭据被获得其SchoolDude在线平台数据库访问权限的攻击者窃取。SchoolDude是一个基于云的平台，用于管理来自学区多达600000名学生的7000多所学院、大学使用的工单。公司的其他SaaS解决方案被全球12000多家组织使用，其中大部分来自美国、加拿大、英国和澳大利亚。该事件涉及未经授权的行为者从SchoolDude用户数据库中获取某些帐户信息。该公司认为威胁行为者窃取了客户帐户信息，包括姓名、电子邮件地址、帐户密码、电话号码和学区名称。

https://www.bleepingcomputer.com/news/security/brightly-warns-of-schooldude-data-breach-exposing-credentials/

---