每日安全简讯(20231029)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lazarus利用合法软件发起新一轮攻击

Lazarus是一个臭名昭著的网络攻击组织，其下属的一个分支Andariel近期发起了一系列新的攻击活动。这些攻击利用了另一个知名软件的漏洞，通过合法的安全软件传播恶意代码。这些漏洞并不是新发现的，但是由于软件开发商没有及时修复，或者用户没有及时更新，导致了Lazarus可以持续利用这些漏洞进行攻击。该软件开发商也曾多次成为Lazarus的攻击目标，可能是为了窃取其源代码或者破坏其软件供应链。在这些攻击中，Lazarus使用了一个名为SIGNBT的恶意软件，该软件具有复杂的感染链和高级的逃避技术。此外，在受感染系统的内存中还发现了Lazarus常用的LPEClient工具，该工具用于对受害者进行分析和载荷传输，之前曾在针对国防承包商和加密货币行业的攻击中出现过。Lazarus展示了高度的专业性和持久性，其攻击目标涉及多个国家和行业，包括美国、日本、印度、越南和俄罗斯等国家的高端组织。

https://securelist.com/unveiling-lazarus-new-campaign/110888/

---

2 俄罗斯黑客组织APT28破坏法国关键网络

据法国国家信息系统安全局ANSSI(国家信息系统安全局)最新发布的一份报告显示，俄罗斯的APT28黑客组织(又名“Strontium”或“Fancy Bear”)自2021年下半年以来，对法国的政府、企业、学校、研究机构和智库进行了大规模的网络攻击。该黑客组织被认为是俄罗斯军事情报服务GRU的一部分，曾经参与过对美国、德国、乌克兰等国家的网络间谍和破坏活动。报告称，APT28利用了多种技术、策略和程序(TTP)，包括暴力破解、钓鱼邮件、利用已知和零日漏洞等，来获取法国组织关键网络上的外围设备和账户的访问权限。然后，他们在目标网络上植入恶意软件，收集敏感信息，并尝试向内部网络扩展。ANSSI警告说，APT28的攻击行为具有高度的隐蔽性和持久性，很难被传统的安全措施发现和阻止。

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-009.pdf

---

3 Yellow Liderc通过脚本传播IMAPLoader恶意软件

Yellow Liderc是一个网络犯罪团伙，专门从事通过电子邮件传播恶意软件的活动。最近，该团伙使用了一种新的技术，通过脚本(scripts)来下载和执行IMAPLoader恶意软件。IMAPLoader是一种用于窃取电子邮件凭证和联系人的恶意软件，它可以利用IMAP协议来发送更多的钓鱼邮件。黄色利德尔克的攻击流程如下：首先，该团伙发送一封钓鱼邮件，附带一个看似合法的PDF文件，但实际上是一个脚本文件。当用户打开PDF文件时，脚本会运行，并从远程服务器下载另一个脚本文件。这个脚本文件会检测用户的操作系统，并根据不同的系统下载相应的IMAPLoader恶意软件。IMAPLoader恶意软件会在后台运行，并收集用户的电子邮件凭证和联系人。IMAPLoader恶意软件会使用IMAP协议来连接到用户的电子邮件服务器，并发送更多的钓鱼邮件给用户的联系人。Yellow Liderc的攻击目标主要是欧洲、亚洲和北美地区的企业和个人用户。该团伙可能是为了获取敏感信息或者进行勒索而进行这些攻击。

https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/yellow-liderc-ships-its-scripts-delivers-imaploader-malware.html

---

4 Mirth Connect存在严重漏洞，危及医疗数据

Mirth Connect是NextGen HealthCare开发的一款开源数据集成平台，广泛应用于医疗行业。该平台在4.4.1版本之前存在一个未经身份验证的远程代码执行漏洞，编号为CVE-2023-43208。该漏洞是对之前报告的CVE-2023-37679漏洞的绕过。攻击者可以利用该漏洞在目标系统上执行任意命令，从而获取初始访问权限或窃取敏感的医疗数据。该漏洞影响了2015/2016年以来的所有Mirth Connect版本，并且在Windows系统上更容易被利用，因为Mirth Connect通常以SYSTEM用户身份运行。该漏洞的利用方法(涉及Java XStream)已经被公开和记录，但目前尚未有公开的利用代码。Mirth Connect的用户应尽快升级到最新的补丁版本4.4.11，以防止受到攻击。

https://www.horizon3.ai/nextgen-mirth-connect-remote-code-execution-vulnerability-cve-2023-43208/

---

5 Citrix Bleed漏洞可导致NetScaler账户被劫持

Citrix Bleed漏洞，编号为CVE-2023-4966，是一种未经认证的缓冲区相关漏洞，存在于Citrix设备中，可以被利用来获得对设备的无限制访问，并可能劫持用户账户。该漏洞影响了Citrix NetScaler ADC和NetScaler Gateway，这些设备提供了负载均衡、防火墙和VPN服务。该漏洞的利用方法是通过访问/oauth/idp/.well-known/openid-configuration或/oauth/rp/.well-known/openid-configuration端点，发送一个特制的请求，就可以触发缓冲区溢出，并泄露内存中的敏感信息。这些信息可能包括认证会话cookie，如果被黑客截获，就可以绕过多因素认证(MFA)和劫持已认证的会话。这样，黑客就可以进行进一步的攻击和窃取敏感数据。该漏洞已经有公开的证明概念(PoC)利用代码，并且有证据表明该漏洞自8月底以来就已经被野外利用。Citrix已经发布了安全公告，并建议受影响的用户尽快升级到最新版本。

https://www.bleepingcomputer.com/news/security/citrix-bleed-exploit-lets-hackers-hijack-netscaler-accounts/

---

6 智利电信巨头GTD遭Rorschach勒索软件攻击

智利电信公司GTD遭受了一场网络攻击，导致其多项服务受到影响，包括数据中心、互联网接入和网络电话。GTD在一份安全事件通知中表示，他们正在经历一场影响部分服务的网络安全事件。当天，智利内政部和公共安全部的计算机安全事件响应小组确认，GTD遭受了勒索软件攻击。该小组在其网站上发表了一份声明，称GTD向他们报告了一种影响其IaaS平台部分的勒索软件。虽然该小组没有透露攻击GTD的勒索软件行动的名称，但研究人员了解到，这涉及到之前在对美国公司的攻击中看到的Rorschach勒索软件变种。研究人员看到的一份关于GTD攻击的报告中，威胁行为者利用合法的趋势科技、BitDefender和Cortex XDR可执行文件中的DLL侧载漏洞来加载一个恶意DLL。这个DLL是Rorschach注入器，它会将一个名为“Config [.]ini”的勒索软件有效负载注入到记事本进程中。

https://www.bleepingcomputer.com/news/security/chilean-telecom-giant-gtd-hit-by-the-rorschach-ransomware-gang/

---