每日安全简讯(20231026)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SpyNote木马冒充系统更新欺骗Android用户

SpyNote是一种针对Android设备的恶意软件，它可以通过SMS钓鱼(或称为smishing)发送带有恶意链接的短信，诱导用户下载一个.apk文件，从而感染设备。SpyNote可以利用高级权限来记录音频和电话通话，记录用户在设备上的每一次点击，窃取用户名和密码，以及追踪用户的位置。SpyNote还可以隐藏自己的图标，阻止用户卸载它。据报道，SpyNote已经冒充了多个正常的应用程序，如Netflix、WhatsApp、Facebook等。最近，有安全研究人员发现了一个新的SpyNote变种，它伪装成一个系统更新应用程序，试图欺骗用户安装它。这个变种具有更强的功能，可以修改设备的设置，删除或安装其他应用程序，甚至擦除设备上的所有数据。

https://blog.f-secure.com/take-a-note-of-spynote/

---

2 前NSA雇员承认向俄罗斯间谍出售机密信息

Jareh Sebastian Dalke，31岁，来自科罗拉多州斯普林斯，是美国国家安全局(NSA)的一名信息系统安全设计师。他于2022年6月6日至7月1日在NSA工作期间，获得了多份涉及国防机密(NDI)的文件，其中有些文件被列为最高机密//敏感隔离信息(SCI)。Dalke承认，他在2022年8月至9月期间，为了证明自己有合法的访问权限和分享意愿，他使用了一个加密的电子邮件账户，向一个他认为是俄罗斯间谍的人发送了三份机密文件的摘录。实际上，那个人是联邦调查局(FBI)的一名线上卧底。Dalke还要求对方支付85000美元，作为他所拥有的所有信息的交换条件。Dalke声称这些信息对俄罗斯有价值，并告诉FBI线上卧底，一旦他回到华盛顿特区地区，他会分享更多的信息。Dalke随后安排在丹佛市中心的联合车站向所谓的俄罗斯间谍转移更多的机密信息。他使用了一台笔记本电脑和FBI线上卧底提供的指示，传输了五个文件，其中四个包含最高机密NDI。FBI在Dalke传输文件后不久逮捕了他。根据他的认罪协议，Dalke承认他故意向FBI线上卧底传输文件，并且有意图和理由相信这些信息会被用来伤害美国。Dalke面临最高终身监禁的刑罚。判决定于2024年4月26日进行。

https://www.justice.gov/opa/pr/former-nsa-employee-pleads-guilty-attempted-espionage

---

3 共享IT供应商遭到攻击，影响安大略省5家医院

五家位于安大略省西南部的医院因其共享IT服务供应商遭受网络攻击而被迫取消或推迟患者预约，并建议非紧急患者到其他设施就诊。这些医院是Bluewater Health、Chatham-Kent Health Alliance、Erie Shores HealthCare、tel-Dieu Grace Healthcare和Windsor Regional Hospital。它们是由TransForm Shared Services Organization成立的五家非营利性共享服务组织的成员，TransForm负责管理这些医院的IT和临床系统、供应链和应付账款。TransForm在周一发表声明称，它正在经历“包括电子邮件在内的系统停机”。后来，TransForm更新了声明，称它已经确定其成员医院正在遭受网络攻击。TransForm表示：“不幸的是，这一事件以各种方式影响了他们的医疗服务提供。对于那些在未来几天有预约的患者，医院将直接与您联系(如果可能的话)，以重新安排或提供替代方案。”。据报道，网络攻击导致了在线服务(如患者记录和电子邮件)的中断，一些患者和他们的家属表示他们已经等了几个小时，并且有些程序被取消。

https://www.transformsso.ca/2023/10/23/immediate-release-systems-outage-update/

---

4 法国篮球队ASVEL遭勒索软件攻击后数据泄露

法国职业篮球队LDLC ASVEL(ASVEL)已经证实，在NoEscape勒索软件团伙宣称对该俱乐部发动攻击后，数据被窃取。ASVEL是一支位于维勒班纳、里昂的法国职业篮球队，由前NBA明星托尼·帕克领导。NoEscape勒索软件团伙于2023年9月29日在其暗网门户网站上发布了一张ASVEL的数据泄露页面，声称已经窃取了该俱乐部的财务、合同、员工和客户数据。该团伙还威胁说，如果不支付赎金，就会公开更多数据。截至目前，ASVEL表示没有证据表明攻击者窃取了球迷的支付数据或银行账户信息。该事件已向法国国家数据保护机构CNIL(法国国家信息与自由委员会)报告，并即将向执法部门提交正式投诉。值得注意的是，ASVEL已从NoEscape的暗网门户网站上删除，原始条目的链接现在返回404错误。此外，没有任何数据被泄露。这可能表明俱乐部正在与勒索软件团伙谈判，以防止数据泄露。

https://ldlcasvel.com/communique-officiel-club-7/

---

5 Citrix和VMware漏洞的PoC公开

Citrix和VMware两家虚拟化服务提供商近日发布了针对其产品中存在的高危安全漏洞的修复补丁，并警告用户尽快更新，以防止黑客利用。这些漏洞分别是Citrix NetScaler ADC和NetScaler Gateway中的CVE-2023-4966，以及VMware Aria Operations for Logs中的CVE-2023-34051。这两个漏洞都涉及到身份验证绕过，可能导致远程代码执行。已经有证据表明，这些漏洞已经被黑客利用，进行会话劫持、数据窃取等攻击。而且，这些漏洞的PoC利用代码也已经被公开，增加了被攻击的风险。Citrix和VMware都建议用户尽快更新到最新版本，以消除这些漏洞。此外，用户还应该终止所有活动会话，以防止黑客利用之前窃取的会话数据。

https://www.horizon3.ai/vmware-aria-operations-for-logs-cve-2023-34051-technical-deep-dive-and-iocs/

---

6 新英格兰生物实验室泄露敏感数据

新英格兰生物实验室(NEB)是一家生产和供应重组和天然酶试剂的公司，主要服务于生命科学研究领域。该公司在2023年9月18日被发现在公开的网络上暴露了两个环境文件(.env)，其中包含了许多敏感信息，如数据库凭证、SMTP服务器登录信息、企业支付处理信息等。这些文件都是用于生产环境的，意味着它们可能在实时场景中用于处理该公司加拿大分部的业务。如果网络犯罪分子先发现了这些文件，他们就能够以该组织的名义发送电子邮件、访问和利用敏感数据，甚至尝试授权支付。研究人员在发现这一漏洞后，及时与NEB进行了沟通，并在10月5日之前将环境文件进行了保护，不再对外开放。这一泄露事件对NEB构成了严重的威胁，可能导致数据泄露、篡改、未经授权的访问、财务损失、声誉损害以及法律和合规问题。因此，网络管理员应该将.env文件放在不可访问的目录中，通常是根目录，并在手动设置、更新、配置后，检查文件是否仍然安全。

https://cybernews.com/security/new-england-biolabs-leak-sensitive-data/

---