每日安全简讯(20231010)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 加沙黑客组织Storm-1133攻击以色列能源和国防部门

微软在其第四届数字防御报告中披露了一个名为Storm-1133的加沙地带的威胁行为者，针对以色列的私营能源、国防和电信组织发起了一系列网络攻击。微软认为，这个组织是为哈马斯(加沙地带的实际执政权力)的利益服务，因为其攻击的对象主要是哈马斯认为敌对的组织。这些对象包括以色列能源和国防部门，以及忠于法塔赫(巴勒斯坦民族主义和社会民主政党)的实体。Storm-1133的攻击链涉及社会工程学和LinkedIn上的伪造个人资料，这些个人资料伪装成以色列的人力资源经理、项目协调员和软件开发人员，联系并向目标组织的员工发送钓鱼信息，进行侦察，传播恶意软件。微软还观察到Storm-1133试图渗透与以色列目标有公开联系的第三方组织。这些渗透旨在部署后门，以及允许该组织动态更新托管在Google Drive上的命令和控制(C2)基础设施的配置。

https://thehackernews.com/2023/10/gaza-linked-cyber-threat-actor-targets.html

---

2 Google新反垃圾邮件规则或影响Microsoft 365邮件

Google在其官方博客中宣布，将于2023年10月18日开始执行一项新的反垃圾邮件规则，该规则可能会影响Microsoft 365管理员和用户收到的电子邮件。该规则要求所有发送到Gmail的电子邮件必须使用DMARC(域名消息验证报告和遵从)协议进行身份验证，否则将被标记为垃圾邮件或拒绝。DMARC是一种电子邮件身份验证协议，旨在防止欺诈和欺骗性的电子邮件，例如钓鱼和伪造。DMARC允许域名所有者指定如何处理未经授权的电子邮件，并向接收方提供反馈。DMARC需要与SPF(发件人策略框架)和DKIM(域名密钥标识邮件)一起使用，这两种技术分别用于验证发件人的IP地址和数字签名。Google的新规则意味着Microsoft 365管理员必须确保他们的域名已经正确配置了DMARC记录，以避免他们的电子邮件被Gmail拦截或拒收。如果没有配置DMARC记录，或者配置不正确，那么Microsoft 365发送到Gmail的电子邮件将被视为不可信任，并可能被标记为垃圾邮件或拒绝。

https://www.bleepingcomputer.com/news/security/microsoft-365-admins-warned-of-new-google-anti-spam-rules/

---

3 Flagstar Bank三年内第三次遭遇数据泄露

Flagstar Bank是一家美国的金融机构，拥有超过150个分支机构，服务于消费者和企业客户。该银行在2021年和2022年分别遭受了两次严重的数据泄露事件，影响了约150万客户的个人信息，包括姓名、电话号码、社会安全号和税务记录。这些事件都与Accellion的文件传输软件MOVEit Transfer有关，该软件存在一个已被修复的零日漏洞，被俄罗斯的勒索软件团伙Clop利用，窃取了存储在该软件中的数据。Clop还将部分被盗数据公开发布在网上，威胁受害者支付赎金。Flagstar Bank为了解决这些事件，向受影响的客户提供了免费的信用监控服务，并支付了590万美元的和解金。然而，在2023年10月6日，Flagstar Bank又向缅因州的司法部门报告了第三次数据泄露事件，这次事件涉及到该银行使用的第三方供应商Fiserv。Fiserv是一家金融科技巨头，也是MOVEit Transfer软件的用户之一。在2023年5月27日至31日期间，未经授权的攻击者通过MOVEit Transfer软件获取了Fiserv传输的文件，这些文件包含了Flagstar Bank及其相关机构的客户信息，其中包括83.7万客户的社会安全号。Flagstar Bank表示，目前没有证据表明这些数据被泄露、出售或滥用，并再次向受影响的客户提供了免费的身份监控服务。

https://www.bleepingcomputer.com/news/security/third-flagstar-bank-data-breach-since-2021-affects-800-000-customers/

---

4 土耳其黑客团队宣称攻击美国中部银行

美国中部银行(Mid America Bank)近日遭到土耳其黑客团队(Turk Hack Team)的网络攻击，导致其官方网站被篡改，显示出一些反美和亲土耳其的信息。据报道，这次攻击是土耳其黑客团队为了纪念2016年7月15日土耳其未遂政变而发起的一系列网络行动的一部分。该黑客团队在其数据泄露网站上宣称，他们已经入侵了美国中部银行的数据库，并威胁要公开其中的敏感信息，除非美国政府向土耳其道歉。美国中部银行是一家总部位于威斯康星州的社区银行，拥有超过10亿美元的资产。该银行在发现被攻击后，迅速关闭了其网站，并启动了应急计划。该银行表示，他们正在与相关当局合作，调查此次事件，并保护客户的资金和信息安全。目前，该银行的网站已经恢复正常运行。

https://thecyberexpress.com/mid-america-bank-cyberattack-by-turk-hack-team/

---

5 AWS将于2024年起对所有高权限账户启用MFA

AWS是亚马逊旗下的云计算服务提供商，拥有数百万的客户和用户。为了提高客户环境的默认安全性和降低账户被劫持的风险，AWS宣布将于2024年中期开始，对所有高权限账户(如根用户)强制要求使用MFA。MFA是一种增强账户安全的简单有效的方法，它可以在用户登录时要求输入额外的验证信息，如密码、验证码或安全密钥，从而防止未经授权的个人访问系统或数据。AWS表示，将通过多种渠道通知需要启用MFA的客户，并在他们登录控制台时提示他们即将发生的变化。AWS还计划在2024年内将这一要求扩展到其他场景，如独立账户(不属于AWS组织的账户)，并推出一些功能，使MFA更容易在大规模环境中采用和管理。AWS对MFA的推广并不是一朝一夕的事情。早在2021年秋季，AWS就开始向美国的符合条件的账户所有者免费提供MFA安全密钥。在2022年11月，AWS还支持每个根用户或IAM用户在AWS中注册多达八个MFA设备，为客户的MFA策略提供了更多的灵活性和弹性。AWS建议所有人都采用某种形式的MFA，并鼓励客户选择那些能抵抗网络钓鱼攻击的MFA形式，如安全密钥。虽然对根用户启用MFA的要求将于2024年实施，但AWS强烈建议客户从现在开始就启用MFA，不仅对他们的根用户，而且对他们环境中的所有用户类型都启用MFA。

https://www.infosecurity-magazine.com/news/aws-multifactor-authentication-2024/

---

6 Curl库10月11日修复两个被利用的漏洞

Curl库是一个用于传输数据的流行命令行工具，支持多种协议，如FTP、HTTP、IMAP等。该库的维护者发布了一个预警，称将在10月11日发布更新，修复两个已被利用的安全漏洞。这两个漏洞分别被标记为CVE-2023-38545和CVE-2023-38546，严重程度分别为高和低。由于担心泄露信息可能会帮助攻击者准确地识别出问题所在，维护者没有透露漏洞的具体细节和受影响的版本范围。但据称，该库的近几年的版本都存在问题。CVE-2023-38545影响了libcurl和curl，而CVE-2023-38546只影响了libcurl。这些漏洞可能会导致远程代码执行、权限提升或信息泄露等风险。建议使用Curl库的用户尽快更新到最新版本，以防止遭受攻击。

https://thehackernews.com/2023/10/security-patch-for-two-new-flaws-in.html

---