每日安全简讯(20231016)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 恶意NuGet包冒充加密货币项目感染开发者

近日，安全研究人员发现了一些恶意的NuGet包，它们冒充了一些流行的加密货币项目和平台，例如Solana、Kucoin和Discord，目的是感染开发者的电脑，安装SeroXen远程控制木马。这些恶意包由一个名为“Disti”的用户上传，共有12个，下载量超过200万次。这些包含有一个混淆的批处理文件，当开发者使用NuGet包管理器安装这些包时，就会执行该文件，从远程服务器下载并运行SeroXen木马。SeroXen木马可以窃取受害者的敏感信息，如浏览器历史、密码、文件、剪贴板内容等，并允许攻击者远程控制受害者的电脑。安全研究人员建议开发者检查自己是否使用了这些恶意包，并及时删除它们，并且提醒开发者在使用NuGet包时要谨慎，尽量使用可信的来源。

https://blog.phylum.io/phylum-discovers-seroxen-rat-in-typosquatted-nuget-package/

---

2 未修复的WS_FTP服务器遭受勒索软件攻击

WS_FTP是一款广泛使用的FTP软件，主要用于在网络上传输文件。然而，该软件存在一个最高级别的漏洞，编号为CVE-2023-28252，可以让攻击者在本地访问的情况下执行任意代码。该漏洞已经被一些勒索软件利用，例如LockBit 3.0。据研究人员观察，自称为Reichsadler Cybercrime Group的威胁行为者试图利用这个漏洞，在未修复的WS_FTP服务器上部署勒索软件载荷。他们使用了在2022年9月被盗的LockBit 3.0构建器来创建勒索软件。LockBit 3.0是一种自动化的勒索软件，可以快速加密受害者的文件，并威胁公开或销毁数据，如果不支付赎金。安全专家建议WS_FTP用户尽快更新到最新版本，以修复这个漏洞，并且定期备份重要文件，以防止数据丢失。

https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/

---

3 微软将淘汰NTLM，转向更强的Kerberos认证

微软宣布，计划在未来的Windows 11中淘汰NT LAN Manager(NTLM)，转向更强的Kerberos认证。NTLM是一种早期的单点登录(SSO)工具，使用挑战-应答协议来验证用户的密码。但是，NTLM存在一些安全弱点，容易受到中继攻击，导致未授权访问网络资源。微软表示，将加强Kerberos认证协议，这是自2000年以来的默认协议，并减少对NTLM的依赖。Kerberos使用一个基于票据授予服务或密钥分发中心的两部分过程来进行认证，并且使用加密而不是密码散列。微软还表示，正在解决其组件中硬编码的NTLM实例，为最终在Windows 11中禁用NTLM做准备，并且正在改进一些功能，鼓励使用Kerberos而不是NTLM。这些变化将默认启用，并且对于大多数情况不需要配置。

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848

---

4 LOCKBIT勒索软件团伙向CDW索要8000万赎金

CDW公司是一家提供技术产品和服务的跨国公司，拥有超过1000万的客户和超过100亿美元的年收入。近日，该公司遭到了LockBit勒索软件团伙的攻击，黑客声称已经窃取了该公司的敏感数据，并在暗网上发布了一个倒计时，要求CDW公司在16天内支付赎金，否则就会公开数据。目前，CDW公司的官网仍然正常运行，没有显示任何被攻击的迹象。CDW公司也没有对此事发表任何声明或回应。LockBit勒索软件团伙索要8000万美元的赎金，但该组织声称该公司只提供了100万美元。CDW补充道：“我们知道第三方已在暗网上提供了数据，并声称这些数据是从该环境中获取的。” “作为正在进行的调查的一部分，我们正在审查这些数据，并将采取适当的应对行动，包括酌情直接通知任何受影响的人。”

https://securityaffairs.com/152470/cyber-crime/lockbit-ransomware-gang-hacked-cdw.html

---

5 苹果紧急修复旧款iPhone上的iOS内核零日漏洞

苹果公司近日发布了紧急安全更新，修复了旧款iPhone上的一个iOS内核零日漏洞。该漏洞是一种权限提升漏洞，由于XNU内核的一个弱点导致，可以让本地攻击者在受影响的iPhone和iPad上提升权限。该漏洞已被跟踪为CVE-2023-282061，由一位匿名研究者发现并报告给苹果公司。苹果公司已经在iOS 16.7.1和iPadOS 16.7.1中修复了该漏洞，通过改进了检查和内存管理。该更新适用于所有iPhone 6s及更新的型号，以及许多旧款iPad型号。苹果公司建议所有用户尽快安装该更新，以保护自己免受潜在的攻击。

https://support.apple.com/en-us/HT213972

---

6 CISA公布勒索软件团伙利用的漏洞和错误配置

美国网络安全和基础设施安全局(CISA)近日公布了一些勒索软件团伙利用的漏洞和错误配置信息，旨在帮助关键基础设施组织防范和应对勒索软件攻击。CISA是在其今年1月份建立的勒索软件漏洞警告试点(RVWP)项目的框架下发布了这些信息。该项目的目的是在发现关键基础设施组织网络上存在易受勒索软件攻击的设备时，及时向其发出警告。自项目启动以来，CISA已经发现并分享了800多个具有互联网可访问性的漏洞，这些漏洞经常被各种勒索软件行动所利用。CISA表示：“勒索软件已经破坏了全球范围内的重要服务、企业和社区，而这些事件中的许多都是由利用已知公共漏洞和暴露(CVE)(即漏洞)的勒索软件威胁者所实施的。然而，许多组织可能不知道他们网络上存在一个被勒索软件威胁者利用的漏洞。”

https://www.bleepingcomputer.com/news/security/cisa-shares-vulnerabilities-misconfigs-used-by-ransomware-gangs/

---