每日安全简讯(20230605)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 在线卖家遭受新型窃取信息恶意软件攻击

一种名为Vidar的窃取信息恶意软件正在通过一场新的网络攻击，针对在线卖家，以窃取他们的凭证，从而进行更有破坏性的攻击。这场新的攻击于本周开始，攻击者通过电子邮件和网站联系表单，向网店管理员发送投诉。这些电子邮件假装是网店的客户，称他们在下单时遇到了错误，但银行账户却被扣除了550美元。电子邮件中附有一个bit.ly链接，指向所谓的银行对账单，实际上是一个恶意文件，一旦下载并打开，就会在受害者的计算机上安装Vidar恶意软件。Vidar恶意软件可以从受感染的计算机上窃取各种敏感信息，包括浏览器历史记录、Cookie、密码、钱包、截屏等，并将其发送给攻击者。攻击者可以利用这些信息来进一步入侵网络卖家的后台系统，进行信用卡窃取、数据泄露或勒索等攻击。

https://www.bleepingcomputer.com/news/security/online-sellers-targeted-by-new-information-stealing-malware-campaign/

---

2 微软将于2023年底停止支持Windows上的Cortana

微软宣布，将于2023年底停止支持Windows上的Cortana应用。Cortana是一款提供语音助理和多种任务的应用，如设置提醒、创建日历事件、提供天气更新和搜索网络等。Cortana最初是作为Windows Phone操作系统的一部分推出的，后来扩展到了其他平台，包括Windows 10、Android和iOS。它现在深度集成到微软的生态系统中，并被设计为与其他微软产品紧密协作。微软在周三发布的一个支持文档中透露了这一消息，并指出用户仍然可以在Windows和Edge中访问强大的生产力功能，这些功能具有更强的人工智能能力。微软表示，这一变化只影响Windows上的Cortana，而不影响Outlook移动版、Teams移动版、Microsoft Teams显示器和Microsoft Teams房间中的Cortana1。

https://www.bleepingcomputer.com/news/microsoft/microsoft-is-killing-cortana-on-windows-starting-late-2023/

---

3 Windows 11将默认要求SMB签名以防止NTLM中继攻击

微软表示，为了防止NTLM中继攻击，从6月2日开始向Canary Channel内部人员推送的Windows版本开始，将默认要求所有连接使用SMB签名(又称安全签名)。在这种攻击中，攻击者强制网络设备(包括域控制器)对攻击者控制的恶意服务器进行身份验证，以冒充它们并提升权限，从而获得对Windows域的完全控制。SMB签名通过在每条消息的末尾嵌入签名和哈希来帮助阻止恶意的身份验证请求，从而确认发送者和接收者的身份。如果SMB服务器和远程共享禁用了SMB签名，将触发连接错误，并显示各种消息，包括“加密签名无效”、“STATUS_INVALID_SIGNATURE”、“0xc000a000”或“-1073700864”。这种安全机制已经存在了一段时间，从Windows 98和2000开始，它在Windows 11和Windows Server 2022中得到了更新，以通过显著加速数据加密来提高性能和保护。虽然阻止NTLM中继攻击应该是任何安全团队的首要任务，但Windows管理员可能会对这种方法不满，因为它可能导致SMB复制速度降低。

https://blogs.windows.com/windows-insider/2023/06/02/announcing-windows-11-insider-preview-build-25381/

---

4 马里兰州两名医生涉嫌违反HIPAA法案案件宣告无罪判决

马里兰州的夫妇Anna Gabrielian和Jamie Lee Henry被指控违反HIPAA法案，即健康保险可移植性和责任法案，该法案旨在保护患者的隐私和健康信息。他们被控向一个他们认为是俄罗斯特工的卧底探员提供了他们的患者的健康记录，其中包括一些国防部雇员和军官的记录。这对夫妇于2022年9月被捕，经过一场长达三周的审判，陪审团在2023年6月1日开始进行审议。然而，陪审团在两天内无法就所有指控达成一致意见，其中一名陪审员认为被告是被诱捕的，而其他11名陪审员则不这样认为。法官从陪审团的笔记中读出了这一情况，并宣布了无罪判决。被告的律师表示，他们对结果感到高兴，而检察官则表示，他们将重新审理此案。

https://www.wbaltv.com/article/spy-trial-mistrial-maryland-doctors-russia/44038739#

---

5 BlackSuit与Royal勒索软件存在高度相似性

BlackSuit是一种新出现的勒索软件，可以同时针对Windows和Linux用户。它在加密文件后添加blacksuit扩展名，并在目录中放置赎金说明，要求受害者访问其TOR聊天网站并支付赎金。它还建立了一个数据泄露网站，作为其双重敲诈策略的一部分，威胁公开受害者的数据。研究人员在Twitter上发现，BlackSuit与另一种知名的勒索软件Royal有一些联系。Royal勒索软件是2022年最引人注目的勒索软件家族之一，它在2023年5月初被用来攻击德克萨斯州达拉斯的IT系统。经过对两种勒索软件的样本进行比较，研究人员发现它们之间有极高的相似度，几乎是相同的。它们在函数、块和跳转方面的相似度都超过了98%。它们还使用了类似的命令行参数，但BlackSuit使用了不同的字符串，并增加了一些Royal没有的参数。此外，BlackSuit还使用了不同的加密算法和文件扩展名。

https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html

---

6 Zyxel发布防火墙加固指南以修复命令注入漏洞

Zyxel是一家网络设备制造商，其防火墙产品存在一个操作系统命令注入漏洞，该漏洞由TRAPA Security发现，并被赋予CVE-2023-28771编号。该漏洞利用防火墙版本中错误消息处理的不当，允许未经身份验证的攻击者通过向受影响的设备发送特制的数据包，远程执行一些操作系统命令。这可能导致攻击者获取对防火墙的完全控制，或者将其作为僵尸网络的一部分。该漏洞影响了Zyxel的ATP、USG FLEX、VPN和ZyWALL/USG系列防火墙的多个版本。Zyxel已经发布了相应的补丁，并建议用户尽快安装以保护自己免受攻击。此外，Zyxel还发布了一个防火墙加固指南，提供了一些额外的安全建议，包括关闭不必要的服务、更改默认密码、启用SSL证书验证、限制管理访问等。

https://www.zyxel.com/global/en/support/security-advisories/zyxels-guidance-for-the-recent-attacks-on-the-zywall-devices

---