每日安全简讯(20221020)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现大量恶意应用程序窃取Facebook登录信息


研究人员发现了400款旨在窃取用户Facebook登录凭据的恶意Android和iOS应用程序。此类移动恶意软件通常伪装成娱乐工具应用程序的形式出现。但在应用程序可以完全使用之前，它会要求用户登录他们的帐户，此时他们的用户名和密码会发送给攻击者。被盗凭据可用于破坏Facebook帐户。从那里，犯罪分子可以收集更多关于原始帐户所有者、消息朋友或家人的数据并欺骗他们，或者使用这些帐户来推广FaceStealer恶意应用程序。

https://www.malwarebytes.com/blog/news/2022/10/warning-facestealer-ios-and-android-apps-steal-your-facebook-login

---

2 研究人员发现针对开源存储库的网络攻击增加了633%

研究人员警告说，针对开源软件存储库发起的网络攻击同比增长了633%。新的研究表明，网络攻击者非常清楚组织对开源软件的依赖，攻击者正在逐年增加他们破坏存储库的尝试。根据Sonatype的第8次年度软件供应链状况报告，对开源存储库的已知攻击同比增长633%，自2019年以来每年总体增长742%。在分析了来自公共和专有来源的数据后，这家软件供应链安全公司表示，开源软件的普及和增长将继续攀升。在不久的将来，与开源开发相关的四个主要生态系统——Java、JavaScript、Python和.NET的下载量将超过3万亿次。

https://portswigger.net/daily-swig/researchers-find-633-increase-in-cyber-attacks-aimed-at-open-source-repositories

---

3 研究人员称Ransom Cartel勒索团伙与REvil勒索团伙有关

研究人员已将相对较新的Ransom Cartel勒索软件操作与臭名昭著的REvil团伙联系起来，基于两种操作加密器中的代码相似性。由于REvil勒索软件的源代码从未在黑客论坛上泄露，因此任何使用类似代码的新项目要么是品牌重塑，要么是由原团伙核心成员发起的新行动。在分析Ransom Cartel的加密器时，研究人员发现恶意软件中嵌入的配置结构有相似之处，尽管存储位置不同。而且两者都使用Salsa20和Curve25519进行文件加密，除了内部类型结构的结构之外，加密例程的布局几乎没有差异。

https://www.bleepingcomputer.com/news/security/ransom-cartel-linked-to-notorious-revil-ransomware-operation/

---

4 Apache Commons Text中存在严重的安全漏洞

Apache Commons Text库中的一个新漏洞表明攻击者可以执行远程代码执行(RCE)。Apache Commons Text是一个专注于字符串算法的库。2022年10月13日，发布了一个新漏洞CVE-2022-42889，该漏洞可能导致远程代码执行(RCE)。最初报告此漏洞的安全研究员发现该库的默认插值器可能会导致不安全的脚本评估，并可能导致在处理恶意输入时执行代码。简而言之，使用具有默认配置的库以及正确的恶意输入可能会导致不需要的恶意代码执行。到目前为止，还没有看到任何迹象表明这个漏洞正在被广泛使用。

https://blog.aquasec.com/cve-2022-42889-text2shell-apache-commons-vulnerability

---

5 研究人员发现了新的完全无法检测到的PowerShell后门

研究人员表示，它检测到了一种新型的完全不可检测(FUD)PowerShell后门，该后门对威胁命名的准确性提出了质疑。更重要的是，该恶意软件可能会伪装成更新过程的一部分，从而为Windows系统提供后门。原始攻击始于恶意Word文档，其中包括一个启动未知PowerShell脚本的宏，该文件似乎是网络钓鱼活动的一部分，旨在看起来像基于LinkedIn的工作机会，以诱使受害者打开它。该标记必须允许Word文档中的宏运行才能成功感染。

https://www.safebreach.com/resources/blog/safebreach-labs-researchers-uncover-new-fully-undetectable-powershell-backdoor/

---

6 VisionWeb数据泄露影响多达35900人

总部位于德克萨斯州奥斯汀的VisionWeb控股公司是一家为眼科护理行业提供互联网软件解决方案以提高实践效率的供应商，最近向HHS的民权办公室报告了一起数据泄露事件，受影响的患者多达35900人。根据2022年10月3日发送给HHS的漏洞报告，未经授权的个人进入了包含病人信息的电子邮件环境。该漏洞也被报告给了德克萨斯州总检察长，该报告指出，姓名、社会安全号码、政府颁发的身份号码、医疗信息和健康保险信息都有可能被泄露。2022年10月3日开始向受影响的个人发出通知，并提供了他们可以采取的防止身份盗窃和欺诈措施的信息。

https://www.hipaajournal.com/visionweb-data-breach-affects-up-to-35900-individuals/