每日安全简讯(20241017)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜黑客推出Linux版FASTCash恶意软件窃取ATM资金

朝鲜黑客组织“Hidden Cobra”正在使用一种新的Linux版本的FASTCash恶意软件，攻击金融机构的支付交换系统，实施未经授权的现金提取。此前该恶意软件的目标是Windows和IBM AIX系统，但最新的研究显示，FASTCash的新变种专门针对Ubuntu 22.04 LTS系统。该恶意软件通过修改支付系统中的ISO8583交易消息，将“拒绝”交易改为“批准”，使黑客得以从ATM中非法提取资金。FASTCash自2016年首次被发现以来，已经在30多个国家造成数千万美元的损失。

https://doubleagent.net/fastcash-for-linux/

---

2 研究人员揭露使用被盗代码签名证书的Hijack Loader恶意软件活动

研究人员发现了一场新的恶意软件攻击活动，使用合法的代码签名证书传播Hijack Loader恶意软件。研究人员在10月初检测到这一活动，攻击者利用该加载器分发信息窃取程序Lumma。Hijack Loader首次于2023年9月曝光，近期攻击通过伪造的CAPTCHA页面引导用户运行恶意PowerShell命令，下载包含合法可执行文件和恶意DLL的ZIP文件。最新版本的攻击改用多个签名二进制文件，试图逃避安全软件的检测。分析表明，签名证书可能是被盗或由威胁者自行生成，进一步凸显代码签名并不能完全作为信任的标准。

https://harfanglab.io/insidethelab/hijackloader-abusing-genuine-certificates/

---

3 Jetpack插件修复重大漏洞影响2700万WordPress网站

Jetpack插件的维护团队发布了安全更新，修复了一个关键漏洞，该漏洞允许登录用户访问其他访客提交的表单。Jetpack由WordPress母公司Automattic开发，是一款集成安全性、性能和流量增长工具的插件，现被用于2700万个网站。此漏洞存在于Jetpack的联系表单功能中，自2016年发布的版本3.9.9起一直未被修复。Jetpack团队与WordPress.org安全团队密切合作，已自动为安装该插件的网站更新至安全版本。尽管目前没有证据表明该漏洞已被利用，但随着该问题的公开披露，未来存在被滥用的风险。

https://wordpress.org/news/2024/10/secure-custom-fields/

---

4 约8.7万个IP暴露于Fortinet严重漏洞

根据Shadowserver基金会的数据显示，约8.7万个IP受Fortinet的远程代码执行漏洞影响，该漏洞被美国网络安全和基础设施安全局（CISA）列为“必须修补”的安全风险。CISA警告该漏洞正被攻击者积极利用，并要求联邦机构在10月30日前完成修补。该漏洞最早在2024年2月被发现，影响范围广泛，主要分布在亚洲（37778个IP）、北美（21262个IP）和欧洲（16381个IP）。尽管Fortinet已发布了修复补丁，但建议该修复仅作为缓解措施，不能完全消除漏洞利用的风险。目前尚不清楚该漏洞是否与勒索软件攻击有关。

https://cyberscoop.com/ips-vulnerable-fortinet-flaw-must-patch/

---

5 思科调查黑客在论坛出售被盗资料事件

思科正在调查一起数据泄露事件，黑客声称在10月6日入侵了该公司，并在黑客论坛上出售大量被盗的开发者数据。根据黑客“IntelBroker”的帖子，泄露的数据包括GitHub项目、GitLab项目、源代码、硬编码凭证、客户信息、API令牌、SSL证书等敏感资料。IntelBroker还分享了部分数据样本，显示其中包含数据库、客户文档和客户管理门户的截图。思科发言人表示，公司已启动调查以评估这一安全威胁。此前，该黑客曾在6月泄露过其他公司的数据，包括T-Mobile和苹果，但目前尚不清楚此次思科数据泄露是否与之前的事件有关。

https://www.bleepingcomputer.com/news/security/cisco-investigates-breach-after-stolen-data-for-sale-on-hacking-forum/

---

6 医疗收入管理公司Gryphon通知40万患者数据泄露

德克萨斯州的医疗收入管理公司Gryphon Healthcare正通知近40万名患者，其数据在一次黑客攻击中遭到泄露。Gryphon表示，这起事件源自第三方合作伙伴的系统安全漏洞。受影响的患者信息包括姓名、出生日期、地址、社保号码、诊断信息、保险资料和医疗记录。虽然Gryphon尚无证据表明这些数据被滥用，但已采取措施增强安全性。此次事件再次凸显医疗行业供应商数据泄露问题的严重性，影响数百万患者的隐私安全。

https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/07b59e7d-72e9-4bbe-abcb-dca588c27e65.html

---