每日安全简讯(20230625)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现传播Bumblebee和IcedID的PindOS释放器

Deep Instinct的威胁研究实验室最近注意到一种新的基于JavaScript的植入程序，它正在传播Bumblebee和IcedID。Bumblebee是一种恶意软件加载程序，于2022年3月首次发现。它与Conti组织相关，并被用作BazarLoader的替代品。它是多种其他恶意软件（包括勒索软件）的主要载体。IcedID是一种模块化银行恶意软件，旨在窃取财务信息。至少自2017年以来，它就已在野外出现，并且最近观察到其部分重点已转向恶意软件传播。正如最近的报告所示，IcedID似乎追随Emotet的脚步，并可能放弃其银行和金融功能，转而成为更通用的加载程序类型恶意软件。新的JavaScript类型的释放器可以被视为朝这个方向迈出的又一步。

https://www.deepinstinct.com/blog/pindos-new-javascript-dropper-delivering-bumblebee-and-icedid

---

2 微软发现针对物联网设备和Linux系统的加密货币挖矿活动

加密劫持是非法使用计算资源来挖掘加密货币的行为，近年来变得越来越普遍，攻击者围绕攻击工具、基础设施和服务构建网络犯罪框架，通过针对包括物联网在内的各种易受攻击的系统来获取收入。微软研究人员最近发现了一种利用自定义和开源工具来针对面向互联网的基于Linux的系统和物联网设备的攻击。该攻击使用OpenSSH的修补版本来控制受影响的设备并安装加密挖矿恶意软件。利用已建立的犯罪基础设施（其中包含使用东南亚金融机构的子域作为命令和控制(C2)服务器），攻击背后的威胁行为者使用后门，该后门部署了各种工具和组件，例如Rootkit和IRC机器人窃取设备资源以进行挖矿操作。该后门还在受影响的设备上安装OpenSSH的修补版本，允许威胁行为者劫持SSH凭证、在网络内横向移动并隐藏恶意SSH连接。

https://www.microsoft.com/en-us/security/blog/2023/06/22/iot-devices-and-linux-based-systems-targeted-by-openssh-trojan-campaign/

---

3 Fortinet修复了关键的FortiNAC远程命令执行漏洞

网络安全解决方案公司Fortinet更新了其零信任访问解决方案FortiNAC，以解决攻击者可利用该漏洞来执行代码和命令。FortiNAC允许组织管理网络范围的访问策略，获得设备和用户的可见性，并保护网络免受未经授权的访问和威胁。该安全问题被跟踪为CVE-2023-33299，严重程度评分为9.6（满分10）。它是不受信任数据的反序列化，可能导致未经身份验证的远程代码执行(RCE)。供应商没有提供缓解建议，因此建议的操作是应用可用的安全更新。CVE-2023-33299是由提供红队、渗透测试和威胁情报服务的Code White公司的Florian Hauser发现的。

https://www.fortiguard.com/psirt/FG-IR-23-074

---

4 美国Calpers和Genworth遭黑客攻击导致数百万人数据被泄露

PBI研究服务(PBI)遭遇数据泄露，在最近的MOVEit Transfer数据盗窃攻击中，数百万人的数据被盗。这些攻击始于2023年5月27日，当时Clop勒索软件团伙开始利用MOVEit Transfer零日漏洞，据称窃取数百家公司的数据。过去一周，Clop团伙开始勒索公司 ，在其数据泄露网站上慢慢列出受影响的组织，试图迫使受害者支付赎金。根据PBI客户的披露，数百万客户的敏感数据在这些攻击中暴露。然而，随着其他公司进一步披露，这一数字可能会增加。第一个受影响的公司是位于弗吉尼亚州的人寿保险服务提供商 Genworth Financial。第二家受到PBI泄露影响的公司是总部位于纽约的保险提供商 Wilton Reassurance。

https://www.bleepingcomputer.com/news/security/moveit-breach-impacts-genworth-calpers-as-data-for-32-million-exposed/

---

5 曼彻斯特大学证实在最近的网络攻击中数据被盗

曼彻斯特大学最终证实，六月初披露的网络攻击背后的攻击者窃取了校友和在校学生的数据。该大学于6月9日首次披露了此次攻击 ，警告数据可能被盗，但表示该事件与MOVEit Transfer数据盗窃攻击无关。“根据我们的调查，我们认为一小部分数据被复制，涉及一些学生和一些校友。我们已直接写信给那些可能受到此影响的个人，”该大学表示。“我们尚未发现任何未经授权访问银行账户或银行卡支付详细信息的情况，我们不会在上述系统上存储此类信息。 ”该大学表示，正在与相关当局合作调查这一事件，包括信息专员办公室、国家网络安全中心（NCSC）、国家犯罪局和其他监管机构。

https://www.manchester.ac.uk/discover/news/cyber-incident-update/

---

6 研究人员发现允许从外部账户传送恶意软件的Microsoft Teams漏洞

安全研究人员发现了一种通过Microsoft Teams向组织传送恶意软件的简单方法，尽管该应用程序对来自外部来源的文件存在限制。Microsoft Teams每月拥有2.8亿活跃用户，已被组织采用作为Microsoft 365基于云的服务的通信和协作平台一部分。鉴于该产品在各个组织中的受欢迎程度，英国安全服务公司Jumpsec红队成员Max Corbridge和Tom Ellson进行了探索，发现了一种使用Microsoft Teams和目标组织外部帐户来传播恶意软件的方法。该攻击适用于运行默认配置的Microsoft Teams，该配置允许与公司外部的 Microsoft Teams账户（通常称为“外部租户”）进行通信。

https://labs.jumpsec.com/advisory-idor-in-microsoft-teams-allows-for-external-tenants-to-introduce-malware/

---