每日安全简讯(20240522)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 勒索软件组织通过伪造PuTTy和WinSCP恶意广告针对Windows系统管理员发起攻击

一种勒索软件操作针对Windows系统管理员，通过投放Google广告来推广假的PuTTy和WinSCP下载网站。WinSCP和PuTTy是流行的Windows工具，WinSCP是一个SFTP客户端和FTP客户端，PuTTy是一个SSH客户端。系统管理员在Windows网络中通常拥有更高的权限，使他们成为威胁行为者的宝贵目标，这些行为者希望快速传播网络，窃取数据，并访问网络的域控制器以部署勒索软件。在搜索“download winscp”或“download putty”时，一个搜索引擎广告活动显示了假的PuTTy和WinSCP网站的广告。目前尚不清楚该活动是发生在Google还是Bing上。这些广告使用了拼写错误的域名，如puutty.org、puutty[.]org、wnscp[.]net和vvinscp[.]net。

https://www.rapid7.com/blog/post/2024/05/13/ongoing-malvertising-campaign-leads-to-ransomware/

---

2 CISA警告攻击者使用Chrome和EoL D-Link漏洞发起网络攻击

美国网络安全和基础设施安全局(CISA)已将三项安全漏洞添加到其“已知利用漏洞”目录中，其中一个影响谷歌Chrome浏览器，另外两个影响部分D-Link路由器。将这些问题添加到KEV目录中是对联邦机构和公司的一种警告，表明威胁行为者正在利用这些漏洞进行攻击，应该应用安全更新或缓解措施。美国联邦机构必须在6月6日之前更换受影响的设备或实施降低或消除攻击风险的防御措施。正在被积极利用的漏洞：谷歌Chrome中的漏洞编号为CVE-2024-4761，供应商于5月13日确认该漏洞被积极利用，但目前尚无技术细节公开。该漏洞被描述为Chrome V8 JavaScript引擎中的越界写入漏洞，该引擎在浏览器中执行JS代码，其严重性评级为高。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-hackers-exploiting-chrome-eol-d-link-bugs/

---

3 电子处方提供商MediSecure遭遇大规模勒索软件导致数据泄露

澳大利亚的电子处方提供商MediSecure由于疑似来自第三方供应商的勒索软件攻击，已经关闭了其网站和电话线。该事件影响了个人和健康信息，但目前影响程度尚不清楚。MediSecure自2009年以来一直运营，为医疗专业人士提供管理和分发药物的数字工具。公司通过其私人和州支持的eRx系统发出了数百万份电子处方。直到2009年11月，它是澳大利亚仅有的两个无纸化处方网络之一。今天，该公司宣布其受到服务供应商之一的网络安全事件的间接影响，导致数据泄露。“MediSecure已确定一起网络安全事件，影响了个人和健康信息。我们已采取紧急措施以减轻对我们系统的任何潜在影响，”公告中写道。

https://www.medisecure.com.au/

---

4 大型保险公司WebTPA遭遇数据泄露影响240万保单持有人

美国卫生与公众服务部（HHS）指出，本月早些时候披露的WebTPA雇主服务（WebTPA）数据泄露事件影响了近250万人。部分受影响的人是大型保险公司（如The Hartford、Transamerica和Gerber Life Insurance）的客户。WebTPA是GuideWell Mutual Holding Corporation的子公司，是一家第三方管理公司（TPA），为健康计划和保险公司提供定制的管理服务。该公司雇佣了18000名员工，年收入达到1.03亿美元。这起数据泄露事件发生在去年，但直到去年12月公司才发现其网络上有可疑活动的证据。根据美国卫生与公众服务部数据泄露门户网站的最新更新，受影响的人数为2429175人。

https://www.bleepingcomputer.com/news/security/webtpa-data-breach-impacts-24-million-insurance-policyholders/

---

5 微软将于7月开始实施Azure多重身份验证

从七月开始，微软将逐步对所有登录Azure进行资源管理的用户强制实施多因素认证(MFA)。在首先完成对Azure门户的推广之后，MFA的强制实施将会在CLI、PowerShell和Terraform中进行类似的推广。客户还将通过电子邮件和官方通知收到有关MFA强制实施的更多信息。服务主体、托管身份、工作负载身份和用于自动化的类似基于令牌的账户不包括在内。微软仍在为某些场景（如紧急恢复账户和其他特殊恢复流程）收集客户意见。

https://www.bleepingcomputer.com/news/microsoft/microsoft-will-start-enforcing-azure-multi-factor-authentication-MFA-in-july-2024/

---

6 挪威国家网络安全中心建议企业用替代方案取代SSL VPN以防止遭遇入侵

挪威国家网络安全中心（NCSC）建议用替代方案取代SSLVPN/WebVPN解决方案，因为相关漏洞在边缘网络设备中被多次利用，导致企业网络遭到入侵。NCSC对使用安全套接字层虚拟专用网络(SSL VPN/WebVPN)产品的用户的官方建议是切换到使用互联网协议安全(IPsec)和互联网密钥交换(IKEv2)的方案。SSL VPN和WebVPN使用SSL/TLS协议通过互联网提供网络的安全远程访问，通过“加密隧道”保护用户设备与VPN服务器之间的连接。IPsec和IKEv2通过定期刷新的密钥集来加密和验证每个数据包，从而保护通信。尽管该网络安全机构承认IPsec和IKEv2并非没有缺陷，但它认为切换到这些方案将显著减少安全远程访问事件的攻击面，因为与SSLVPN相比，IPsec和IKEv2对配置错误的容忍度较低。

https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/ncsc-anbefaler-a-erstatte-sslvpn-webvpn-med-sikrere-alternativer

---