每日安全简讯(20230623)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT28黑客组织入侵乌克兰政府电子邮件服务器

一个被追踪为APT28并与俄罗斯总参谋部主要情报局(GRU)有联系的威胁组织已经破坏了属于多个乌克兰组织（包括政府实体）的Roundcube电子邮件服务器。在这些攻击中，网络间谍组织（也称为BlueDelta、Fancy Bear、Sednit和Sofacy）利用有关俄罗斯和乌克兰之间持续冲突的消息诱骗收件人打开恶意电子邮件，这些电子邮件会利用Roundcube Webmail漏洞侵入未打补丁的网络服务器。在破坏电子邮件服务器后，黑客部署了恶意脚本，将目标的传入电子邮件重定向到攻击者控制下的电子邮件地址。这些脚本还用于侦察和窃取受害者的Roundcube地址簿、会话cookie和存储在Roundcube数据库中的其他信息。

https://www.recordedfuture.com/bluedelta-exploits-ukrainian-government-roundcube-mail-servers

---

2 新的Condi恶意软件利用TP-Link AX21路由器构建DDoS僵尸网络

2023年5月出现了一个名为“Condi”的新型DDoS即服务僵尸网络，它利用TP-Link Archer AX21(AX1800)Wi-Fi路由器中的漏洞组建了一支机器人大军来进行攻击。Condi旨在招募新设备来创建强大的DDoS（分布式拒绝服务）僵尸网络，攻击者可以租用这些设备对网站和服务发起攻击。此外，Condi背后的威胁行为者出售恶意软件的源代码，这是一种异常激进的货币化方法，注定会导致许多具有不同功能的变种。今天发布的一份新的Fortinet报告解释说，Condi的目标是CVE-2023-1389，这是路由器Web管理界面API中的一个高严重性的未经身份验证的命令注入和远程代码执行漏洞。

https://www.fortinet.com/blog/threat-research/condi-ddos-botnet-spreads-via-tp-links-cve-2023-1389

---

3 研究人员警告vRealize的严重漏洞在攻击中被利用

VMware更新了两周前发布的安全公告，警告客户，一个现已修补的允许远程执行代码的关键漏洞正在被主动利用进行攻击。“GreyNoise研究分析师Jacob Fisher表示：“我们观察到有人试图利用上述概念验证代码进行大规模扫描，试图启动一个反向外壳，该外壳连接回攻击者控制的服务器以接收更多命令。”该漏洞影响VMware Aria Operations for Networks（以前称为 vRealize Network Insight），这是一种网络分析工具，可帮助管理员优化网络性能或管理VMware和Kubernetes部署。未经身份验证的威胁参与者可以在不需要用户交互的低复杂度攻击中利用此命令注入漏洞。

https://www.greynoise.io/blog/observed-in-the-wild-new-tag-for-cve-2023-20887-vmware-aria-operations-for-networks

---

4 黑客警告曼彻斯特大学学生数据即将泄露

曼彻斯特大学网络攻击背后的勒索软件操作已开始向学生发送电子邮件，警告他们的数据将在未支付勒索要求后很快泄露。威胁行为者声称在6月6日的网络攻击中从曼彻斯特大学窃取了7TB的数据，该电子邮件发送给学生并与BleepingComputer共享。“我们想通知所有学生、讲师、管理人员和工作人员，我们已于2023年6月6日成功入侵manchester.ac.uk网络，”邮件中写道，“我们窃取了7TB的数据，包括学生和教职工的机密个人信息、研究数据、医疗数据、警方报告、药物测试结果、数据库、人力资源文件、财务文件等等。”此后，其他学生向大学的Twitter帐户报告了这些电子邮件 ，并被告知将样本转发给大学的IT部门。

https://www.bleepingcomputer.com/news/security/hackers-warn-university-of-manchester-students-of-imminent-data-leak/

---

5 UPS披露客户信息泄露并被用于网络钓鱼攻击

跨国运输公司UPS警告加拿大客户，他们的一些个人信息可能已通过其在线包裹查找工具暴露并在网络钓鱼攻击中被滥用。乍一看，UPS发送的标题为“打击网络钓鱼和网络钓鱼 - 来自UPS的更新”的信件似乎是在警告客户网络钓鱼的危险。然而，事实证明这实际上是一个数据泄露通知，该公司偷偷披露了一份声明，称它已经收到了包含收件人姓名和地址信息的SMS网络钓鱼消息的报告。UPS在Emsisoft威胁分析师布雷特·卡洛 (Brett Callow)分享的一封信中表示：“UPS意识到，一些包裹收件人收到了欺诈性短信，要求在包裹投递前付款。”收到网络钓鱼报告后，UPS与交付链内的合作伙伴合作，了解威胁行为者获取目标运输信息的方法。

https://www.bleepingcomputer.com/news/security/ups-discloses-data-breach-after-exposed-customer-info-used-in-sms-phishing/

---

6 FTC表示亚马逊让数百万人陷入难以取消的Prime会员计划

美国联邦贸易委员会(FTC)表示，亚马逊涉嫌使用暗色模式诱骗数百万用户注册其Prime计划，并通过尽可能难以取消自动续订订阅来诱骗他们。FTC在诉状中表示，亚马逊的欺骗手段操纵消费者在不知情的情况下注册Prime订阅，违反了《恢复在线购物者信心法案》和《联邦贸易委员会法案》。据称，该公司在整个在线结账和取消订阅流程中采用了暗色模式，不断提示客户以每月14.99美元的价格订阅Amazon Prime，同时提供在不注册Prime的情况下完成交易的选项，很难找到。 此外，完成交易按钮之前显示的页面未能向用户提供有关包含定期Prime订阅的明确信息。

https://www.ftc.gov/news-events/news/press-releases/2023/06/ftc-takes-action-against-amazon-enrolling-consumers-amazon-prime-without-consent-sabotaging-their

---