每日安全简讯(20230727)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者利用Casbaneiro恶意软件对拉丁美洲用户进行攻击

研究人员近期发现利用Casbaneiro恶意软件针对拉丁美洲用户进行的攻击活动。2018年，Casbaneiro恶意软件被发现（也称为Metamorfo或Pontero）出现在针对拉丁美洲的大规模恶意垃圾邮件活动中，主要用于窃取金融网站的凭据。在此次观察到的攻击活动中，攻击者使用包含恶意HTML附件的鱼叉式网络钓鱼邮件发起攻击，该附件将会进行重定向以下载RAR文件。此次攻击活动中的一个新变化是，攻击者利用fodhelper.exe使用UAC绕过技术在没有UAC提示的情况下执行代码。

https://blog.sygnia.co/breaking-down-casbaneiro-infection-chain-part2

---

2 研究人员发现针对macOS的新型窃密木马Realst

研究人员发现一种针对macOS的新型窃密木马，该窃密木马使用Rust语言进行编写，被称为“Realst”。该窃密木马通过恶意网站中的虚假游戏广告进行传播，以PKG安装程序或DMG文件的形式，其中包含恶意的Mach-O文件。研究人员对16种Realst变种分析后发现它们在形式和功能上非常相似，都针对Firefox、Chrome、Opera、Brave、Vivaldi和Telegram进行窃密，并且都没有针对Safari浏览器。大多数变种试图通过osascript和AppleScript欺骗来窃取用户的密码，并通过sysctl-n hw.model执行基本检查，以确保主机设备不是虚拟机。

https://www.sentinelone.com/blog/apple-crimeware-massive-rust-infostealer-campaign-aiming-for-macos-sonoma-ahead-of-public-release

---

3 研究人员发现Spyhide安卓恶意软件从数万部手机中窃取信息

Spyhide是一种间谍软件，通常由知道受害者密码的人植入受害者的手机上。该应用程序被设计为隐藏在受害者手机的主屏幕上，使其难以被检测和删除。一旦植入，Spyhide就会默默地不断上传手机的联系人、信息、照片、通话记录和录音，以及实时的精确位置。研究人员通过利用该软件后台仪表板中的漏洞，获得了对后端数据库的访问权限，并从中发现大约60000台安卓设备的详细记录，数据包括329万条包含个人信息的短信，120多万份通话记录和约31.2万份通话记录文件，925000多个包含姓名和电话号码的联系人列表，382000张照片和图像的记录，以及在受害者手机中秘密录制的录音。

https://maia.crimew.gay/posts/fuckstalkerware-2

---

4 MikroTik路由器存在权限提升漏洞

超过90万台MikroTik路由器中存在权限提升漏洞，该漏洞被标记为CVE-2023-30799，允许拥有现有管理员帐户的远程攻击者通过设备的Winbox或HTTP接口将其权限提升为“超级管理员”。由于MikroTik RouterOS带有一个默认的“admin”账户，因此攻击者能够使用管理员账户利用该漏洞。研究人员使用Shodan来确定该漏洞的影响，发现47.4万台设备基于网络的管理页面中存在漏洞。然而，由于该漏洞也可通过Mikrotek管理客户端Winbox进行利用，有92.6万台台设备暴露了该管理端口，因此影响要大得多。

https://www.bleepingcomputer.com/news/security/super-admin-elevation-bug-puts-900-000-mikrotik-devices-at-risk

---

5 VMware修复CVE-2023-20891漏洞

VMware修复了VMware Tanzu Application Service for VM（TAS for VM）和Isolation Segment中的一个数据泄露漏洞，该漏洞是由系统审核日志记录和暴露的凭据引起的。该漏洞被标记为CVE-2023-20891，低权限的远程攻击者能够利用该漏洞在受影响的系统中访问Cloud Foundry API管理员凭据。VMware建议受CVE-2023-20891影响的TAS for VM用户更换CF API管理员凭据，以确保攻击者无法使用泄露的凭据进行攻击。

https://www.bleepingcomputer.com/news/security/vmware-fixes-bug-exposing-cf-api-admin-credentials-in-audit-logs

---

6 黑客声称窃取埃及卫生部的医疗记录

攻击者在黑客论坛中称从埃及卫生和人口部窃取200万份数据记录，该数据库中包含全面的个人患者信息，包括姓名、身份证、电话号码、地址、分类细节、诊断和治疗细节。该攻击者在论坛中提供了一个数据集样本以证实其说法，其中含有1000人的数据。研究人员称，该攻击者在前段时间曾在论坛中售卖与印度尼西亚相关的数据。

https://www.infosecurity-magazine.com/news/hacker-stolen-medical-records/?&web_view=true

---