每日安全简讯(20230620)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 隐蔽型窃取者恶意软件Mystic Stealer分析

Mystic Stealer是一种新型的窃取者恶意软件，它于2023年4月首次在地下市场上出现。它能够从近40种网络浏览器和70多种浏览器扩展中窃取用户的凭证、自动填充数据、浏览历史、任意文件和Cookie。此外，它还针对加密货币钱包、Steam和Telegram等应用程序。该恶意软件的代码使用了多态字符串混淆、基于哈希的导入解析和运行时常量计算等技术，以增加其隐蔽性和反分析能力。Mystic Stealer还实现了一种自定义的二进制协议，该协议使用RC4加密，以避免被网络防御设备检测到。Mystic Stealer是一种具有高度威胁性和隐蔽性的恶意软件，可能会给用户和组织带来数据泄露、财务损失、运营中断、合规挑战和声誉损害等影响。

https://www.cyfirma.com/outofband/mystic-stealer-evolving-stealth-malware/

---

2 西部数据将过时的NAS设备从My Cloud中移除

西部数据(Western Digital)是一家知名的存储设备制造商，其旗下的My Cloud是一种个人云存储解决方案，可以让用户在家庭或办公室中保存和共享数据。然而，近日西部数据宣布，将从2023年6月30日起停止对部分旧款NAS设备的支持，并将它们从My Cloud服务中移除。这些设备包括My Cloud、My Cloud Mirror、My Cloud Gen 2、My Cloud EX2 Ultra、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100和My Cloud DL4100等型号。西部数据表示，这些设备已经过时，无法满足当前的安全和性能标准，因此建议用户升级到新款的NAS设备或使用其他云存储服务。西部数据还提供了一些迁移方案和优惠活动，以帮助用户完成数据转移。这一决定引发了一些用户的不满，他们认为西部数据没有充分考虑到他们的需求和利益，也没有提供足够的时间和支持来应对这一变化。

https://www.westerndigital.com/support/product-security/wdc-23009-western-digital-my-cloud-os-5-my-cloud-home-and-sandisk-ibi-firmware-update

---

3 SMS传送报告可被用于推断收件人的位置

SMS传送报告(SMS delivery report)是一种由移动网络发送的通知，用于确认短信是否成功送达到目标收件人。SMS传送报告包含了一些有关短信发送和接收的信息，例如发送时间、送达时间、送达状态等。然而，近日有研究人员发现，短信送达报告也可以被用于推断收件人的位置。这是因为不同的移动网络运营商在处理短信送达报告时，会使用不同的时间戳格式。例如，有些运营商会使用秒级的时间戳，而有些运营商会使用毫秒级的时间戳。这样，通过比较发送时间和送达时间的差异，就可以推测出收件人所在的时区。此外，有些运营商还会在短信送达报告中附加一些额外的信息，例如国家代码、网络代码、基站代码等。这些信息可以进一步缩小收件人的位置范围。研究人员称，这种方法可以在不需要任何特殊权限或设备的情况下，利用普通的手机和短信应用来实现。他们建议运营商应该统一并保护短信送达报告的格式，以防止用户的隐私泄露。

https://arxiv.org/pdf/2306.07695.pdf

---

4 Reddit遭黑客窃取80GB数据并被勒索赎金

Reddit是一个社交新闻聚合网站，拥有数亿用户。今年2月，Reddit遭到了一场网络攻击，黑客利用了一个未公开的漏洞，入侵了Reddit的服务器，窃取了约80GB的数据，包括用户信息、私信、评论、帖子等。黑客自称是BlackCat/ALPHV勒索软件团伙，他们在暗网上发布了部分数据的截图，要求Reddit支付1000比特币(约合4000万美元)的赎金，否则就会公开全部数据。Reddit方面尚未对此事做出回应。这起事件引发了网友的广泛关注和担忧，有人质疑Reddit的安全措施是否足够，有人担心自己的隐私是否受到泄露，也有人呼吁Reddit尽快解决问题，保护用户的利益。

https://www.bleepingcomputer.com/news/security/reddit-hackers-threaten-to-leak-data-stolen-in-february-breach/

---

5 CISA和NSA发布服务器管理控制器加固指南

CISA(美国网络安全与基础设施安全局)和NSA(美国国家安全局)于2023年6月14日联合发布了一份网络安全信息表(CSI)，重点介绍了服务器管理控制器(BMC)实现的威胁，并详细说明了组织可以采用的加固措施。BMC是嵌入在计算机硬件中的重要组件，可以实现远程管理和控制。它们独立于操作系统和固件运行，即使系统关闭也可以保证无缝控制。然而，由于它们具有高权限级别和网络可访问性，这些设备使它们成为恶意行为者的有吸引力的目标。CISA和NSA强调采取主动措施来保护和维护BMC的重要性，并补充说，许多组织未能实施最低限度的安全实践。这些缺陷可能导致BMC被威胁者用作各种网络攻击的入口点，例如关闭安全解决方案、操纵数据或在网络基础设施中传播恶意指令。为了解决这些问题，CISA和NSA建议了几个关键的行动。这些包括保护BMC凭证、强制执行VLAN分离、加固配置和定期执行BMC更新检查。此外，机构还表示，组织还应监测BMC完整性、将敏感工作负载移至加固设备、定期使用固件扫描工具并将未使用的BMC视为潜在的安全风险。

https://media.defense.gov/2023/Jun/14/2003241405/-1/-1/0/CSI_HARDEN_BMCS.PDF

---

6 Windows Sysmon本地提权漏洞的PoC公开

Windows Sysmon是一个系统服务和设备驱动程序，可以监控和记录系统活动到Windows事件日志。2023年5月9日，微软披露了一个影响Sysmon的本地提权漏洞，编号为CVE-2023-29343，该漏洞可以让已认证的攻击者获取SYSTEM权限，这是Windows环境中最高级别的权限。这个漏洞的原因在于Sysmon验证其归档目录的访问和所有权的方式。微软已经通过发布安全更新来修复这个漏洞，并敦促所有客户立即应用这些补丁，以防止潜在的利用尝试。然而，研究人员公开了一个针对CVE-2023-29343的PoC利用代码，突显了系统维护和安全警惕性的持续需求。随着PoC利用代码的公开，很可能有威胁者会争相利用这个漏洞来进行恶意活动，例如数据窃取、勒索软件部署或其他形式的网络破坏。定制版本的利用代码可能针对任何未打补丁的Windows系统，使这成为企业和个人用户可能尚未实施提供补丁的关键问题。

https://securityonline.info/poc-released-for-windows-sysinternals-sysmon-privilege-escalation-cve-2023-29343-bug/

---