每日安全简讯(20231009)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Storm-0324利用微软Teams发送钓鱼邮件并部署勒索软件

Storm-0324是一个以金钱为驱动的威胁行为者组织，最近被发现利用微软Teams发送钓鱼邮件，试图获取受害者系统的初始访问权限。该组织过去曾被指控发送包含远程代码执行的钓鱼邮件，以便在感染的系统上执行恶意操作。在获得访问权限后，Storm-0324通常会将其出售给TA543和著名的勒索软件组织Sangria Tempest(也被称为FIN7，Carbon Spider)，后者经常利用这些访问权限进行勒索软件攻击。研究人员表示，该组织最新的攻击技术针对那些使用Teams IM作为主要聊天工具的专业人士，通过启用EXTERNAL用户通信功能，发送一些诱人的钓鱼邮件和附件，导致网络中相关设备遭受勒索攻击。这些钓鱼邮件通常使用发票等主题，伪装成DocuSign、Quickbooks等服务，并将用户引导到SharePoint网站上，从那里下载压缩的WSF(Windows Script File)/JS文件，进而传递一个恶意的.Net负载JSSLoader。该组织至今已经使用了多种文件格式，包括Windows Script Files(WSF)、Microsoft Office文档和VBS。

https://gbhackers.com/storm-0324-abusing-microsoft-teams/

---

2 超微BMC固件多个高危漏洞可导致权限提升和恶意代码执行

超微公司是一家专业生产服务器主板的公司，其基板管理控制器(BMC)的智能平台管理接口(IPMI)固件被发现存在多个高危漏洞，这些漏洞可能导致受影响系统上的权限提升和恶意代码执行。这些漏洞共有七个，编号为CVE-2023-40284至CVE-2023-40290，严重程度从高到临界不等，根据研究人员的报告，这些漏洞可以让未经授权的攻击者以BMC用户的身份执行任意JavaScript代码，或者以具有管理员权限的用户身份执行操作系统命令。超微公司已经发布了BMC固件更新来修复这些漏洞。BMC是服务器主板上的特殊处理器，支持远程管理，使管理员可以监控硬件指标，如温度、风扇速度，并更新UEFI系统固件。而且，即使主机操作系统离线，BMC芯片也能保持运行，这使得它们成为部署持久性恶意软件的有利攻击目标。

https://thehackernews.com/2023/10/supermicros-bmc-firmware-found.html

---

3 北约遭黑客组织SiegedSec攻击泄露文件

北约官方表示，正在调查一个名为SiegedSec的黑客组织声称对其系统进行的网络攻击，并在网上泄露了一批非机密的文件。这些文件涉及高超音速武器、无人机威胁、放射性废物测试等话题。北约表示，这些事件只影响了一些非机密的北约网站，没有影响北约的任务、行动和军事部署。北约还表示，已经采取了额外的网络安全措施，并且认真对待网络威胁。SiegedSec是一个以政治动机为驱动的黑客组织，曾经多次攻击美国的州和地方政府网站。该组织在7月23日和10月3日分别在Telegram上发布了两批据称来自北约的文件，并自豪地宣布了他们的行动。

https://cyberscoop.com/nato-siegedsec-breac/

---

4 以色列总统Telegram账号被黑客入侵

以色列总统赫尔佐格的Telegram账号近日遭到了一个疑似犯罪团伙的黑客入侵。据报道，这次黑客攻击与一起在线诈骗案有关，黑客利用了Telegram的一个漏洞，通过发送恶意链接来窃取用户的登录凭证。在黑客入侵后不久，总统府发现并恢复了账号的访问权限，并表示没有任何敏感信息被泄露或损坏。目前尚不清楚黑客入侵总统账号的动机和目的，也不清楚他们是否与其他政治或恐怖组织有联系。总统府表示，已经向相关部门报告了这起事件，并将加强网络安全防护措施。Telegram是一款加密通讯应用，拥有超过5亿用户，其中包括许多政治人物和名人。该应用声称提供高度的隐私保护和安全性，但也曾经遭到过多次黑客攻击和漏洞利用。

https://www.darkreading.com/dr-global/suspected-crime-gang-hacks-israeli-president-telegram-account

---

5 Facebook官方页面遭“Release Imran Khan”黑客攻击

Facebook的官方页面在10月7日遭到了一个名为“Release Imran Khan”的黑客组织的攻击。该组织在Facebook的页面上发布了一些带有反印度和亲巴基斯坦的口号和图片的帖子，要求释放巴基斯坦总理伊姆兰·汗，声称他被印度军队绑架。这些帖子很快就被删除，Facebook表示正在调查这起事件，并道歉给受影响的用户。“Release Imran Khan”是一个不知名的黑客组织，其背景和动机尚不清楚。研究人员认为，这可能是一个恶作剧或者是为了引起注意而进行的攻击。伊姆兰·汗是巴基斯坦现任总理，他与印度总理莫迪之间存在着紧张的关系，两国在克什米尔地区有领土争端。目前没有任何证据表明伊姆兰·汗被绑架或者受到任何威胁。

https://www.hackread.com/facebooks-official-page-hacked-release-imran-khan/

---

6 CDW公司与LockBit谈判失败，数据遭泄露威胁

CDW公司是全球最大的IT产品和服务经销商之一，近日遭到了LockBit黑客组织的攻击，导致其数据被窃取。LockBit是一个勒索软件团伙，专门对企业和机构进行加密和勒索攻击。据LockBit的一位发言人称，CDW公司在谈判过程中提出了一个非常低的赎金金额，让黑客感到不满。因此，LockBit决定在10月11日早上公开CDW公司的数据。CDW公司尚未对这起事件发表任何评论，也没有向英国信息专员办公室(ICO)报告任何数据泄露事件。目前不清楚CDW公司的数据包含了哪些内容，以及LockBit是如何入侵其系统的。

https://www.theregister.com/2023/10/06/cdw_lockbit_negotiations/

---