每日安全简讯(20230927)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露Turla组织近年使用的主要武器库

总部位于俄罗斯的 Turla 组织被视为高度复杂的高级持续威胁 (APT) 组织，至少从 2004 年起就被怀疑在运作。Turla 的组织名称因其顶级 Rootkit 而臭名昭著，例如 Snake、Venomous Bear、WhiteBear、Uroburos、Group 88 和 Waterbug，所有这些都以政府实体、情报机构以及军事、教育、研究和组织为目标。世界各地的制药工业。与其他 APT 组织一样，Turla 拥有自己专门设计的复杂工具。然而，正是威胁行为者在攻击后期使用的基于卫星的命令和控制 (C&C) 机制，加上其在雷达下飞行的能力，使 Turla 在同类产品中脱颖而出。

https://www.trendmicro.com/en_us/research/23/i/examining-the-activities-of-the-turla-group.html

---

2 Sandman组织针对电信公司使用新型LuaDream恶意软件部署后门

一个被称为 Sandman 的先前未知的威胁行为者使用名为 LuaDream 的模块化信息窃取恶意软件，以中东、西欧和南亚的电信服务提供商为目标。QGroup GmbH 以后门的内部名称 DreamLand 客户端 命名了威胁行为者和恶意软件。Sandman 的行动风格是保持低调以逃避检测，同时进行横向移动并保持对被破坏系统的长期访问，以最大限度地扩大其网络间谍活动。Sandman 威胁攻击者的目标是中东、西欧和南亚次大陆的电信服务提供商。一旦网络遭到破坏，Sandman 就会使用哈希传递攻击，通过提取和重用存储在内存中的 NTLM 哈希来对远程服务器和服务进行身份验证。

https://www.sentinelone.com/labs/sandman-apt-a-mystery-group-targeting-telcos-with-a-luajit-toolkit/

---

3 Atlassian发布针对Confluence等产品中严重漏洞的修复更新

Atlassian 和互联网系统联盟 (ISC) 披露了影响其产品的多个安全漏洞，这些漏洞可被利用来实现拒绝服务 (DoS) 和远程代码执行。这四个严重漏洞已在上个月发布的新版本中得到修复。这包括CVE-2022-25647（CVSS 评分：7.5），Google Gson 包中的反序列化缺陷影响 Jira Service Management 数据中心和服务器中的补丁管理。CVE-2023-22512（CVSS 评分：7.5），Confluence 数据中心和服务器中的 DoS 漏洞。CVE-2023-22513（CVSS 评分：8.5）- Bitbucket 数据中心和服务器中的 RCE 漏洞。CVE-2023-28709（CVSS 评分：7.5），Apache Tomcat 服务器中的 DoS 漏洞影响 Bamboo 数据中心和服务器。

https://confluence.atlassian.com/security/security-bulletin-september-19-2023-1283691616.html

---

4 美国国家学生信息交换所遭遇数据泄露影响890所学校

美国教育非营利组织国家学生信息交换所 (NSC) 披露了一起数据泄露事件，影响了全美 890 所使用其服务的学校。Clearinghouse在向加州总检察长办公室提交的一封违规通知信中表示，攻击者于 5 月 30 日获得了对其 MOVEit 托管文件传输 (MFT) 服务器的访问权限，并窃取了包含大量个人信息的文件。2023 年 5 月 31 日，该交换所的第三方软件提供商 Progress Software 向清算所通报了涉及该提供商 MOVEit Transfer 解决方案的网络安全问题。被盗文件中包含的个人身份信息 (PII) 包括姓名、出生日期、联系信息、社会安全号码、学生 ID 号码以及一些与学校相关的记录（例如入学记录、学位记录和课程级别数据）。

https://oag.ca.gov/system/files/Exhibit%20B%20-%20Sample%20Individual%20Notification%20Letter.pdf

---

5 加拿大航空声称遭遇数据泄露影响员工部分数据和记录

加拿大最大的航空公司和旗舰航空公司加拿大航空本周披露了一起网络安全事件，其中黑客短暂获得了对其内部系统的有限访问权限。据该航空公司称，该事件导致部分员工的有限个人信息和“某些记录”被盗。客户数据未受影响。加拿大航空新闻网站 9 月 20 日星期三发表的一份声明称：“未经授权的组织短暂获得了对加拿大航空内部系统的有限访问权限，该系统涉及部分员工的有限个人信息和某些记录。”该航空公司的航班运营系统和面向客户的系统没有受到影响，客户信息在此次事件中也没有被访问。该航空公司已联系受影响方和相关执法部门。

https://mraircanada.mediaroom.com/Air-Canada-Cyber-Statement

---

6 达拉斯市政府声称被Royal勒索软件盗用帐户并破坏网络

德克萨斯州达拉斯市本周表示，Royal 勒索软件攻击迫使其关闭所有 IT 系统，原因是账户被盗。Royal 在 4 月初使用被盗的域服务帐户访问了该市的网络，并在 4 月 7 日至 5 月 4 日期间保持了对受感染系统的访问。在此期间，根据市政府官员和外部网络安全专家进行的系统日志数据分析，他们成功收集并窃取了价值 1.169 TB 的文件。该组织还通过在整个城市系统中投放 Cobalt Strike 命令和控制信标来准备勒索软件部署阶段。5 月 3 日凌晨 2 点，Royal 开始部署勒索软件负载，使用合法的 Microsoft 管理工具来加密服务器。从5月9日金融服务器恢复到6月13日最后一个受攻击影响的服务器废物管理服务器恢复，恢复所有服务器的过程仅用了5周多时间。OAG 的网站显示，姓名、地址、社会保障信息、健康信息、健康保险信息和其他此类信息等个人信息均被 Royal 公开。

https://www.cbsnews.com/texas/news/possible-cyber-attack-hampering-dallas-police-operations/

---