每日安全简讯(20220915)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 TA453黑客组织使用“多角色模拟”技术进行网络钓鱼活动

TA453(又名CHARMING KITTEN或PHOSPHORUS)是一个与伊朗相关联的黑客组织。2022年6月，TA453组织开始使用一种新的网络钓鱼技术，即通过使用多个角色和电子邮件帐户，利用心理学让受害者放松警惕，让其认为这是一个真实的电子邮件对话。研究人员将这种技术称为“多角色模拟”（MPI）。攻击者向受害者发送一封电子邮件，同时抄送由攻击者控制的另一个电子邮件地址，然后从该电子邮件中回复。等到受害者放松警惕，再发送一个指向恶意Word文档的链接，诱导受害者下载并启用宏。

https://www.proofpoint.com/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capitalize-fomo

---

2 OakBend医疗中心遭到勒索软件攻击

美国德克萨斯州医疗中心OakBend的IT部门表示他们遭到了勒索软件攻击，目前该中心仍在努力恢复。德克萨斯州医疗中心OakBend在其网站上的通知中披露，在9月1日遭到勒索软件攻击后，它立即将所有系统下线，将其置于锁定模式，并将攻击提交给FBI、CYD和Ft进行调查。截至9月9日，OakBend报告称他们仍在重建过程中，电话和电子邮件仍然受到影响，替代电话号码被张贴在显著位置，以便患者联系他们。”黑客组织Daixin于2022年9月9日声称对OakBend医疗中心和OakBend医疗集团的攻击负责。该黑客组织在DataBreaches上传了一个文件列表，其中显示了258个目录和6051个文件。Daixin声称他们窃取了大约3.5GB的数据，其中包括120万条包含患者和员工数据的记录。

https://www.databreaches.net/oakbend-medical-center-hit-by-ransomware-daixin-team-claims-responsibility/

---

3 黑客利用伪造的登录窗口窃取Steam帐户

黑客正在使用Browser-in-the-Browser(BITB)网络钓鱼技术窃取Steam凭据。该技术是一种正逐渐流行的攻击手法，主要通过在活动窗口中创建伪造的浏览器窗口，使其显示为用户所要登录服务的弹出页面。2022年3月，Bleeping Computer曾报道过由安全研究员mr.d0x创建的这种新网络钓鱼工具包，该工具包可以让攻击者为Steam、Microsoft、Google 和其他服务创建虚假登录表单。9月12日，由Group-IB发布的关于此类攻击的研究报告中说明了BITB攻击针对Steam用户的钓鱼过程，并通过出售这些账户的访问权限获利。

https://www.bleepingcomputer.com/news/security/hackers-steal-steam-accounts-in-new-browser-in-the-browser-attacks/

---

4 趋势科技修复了被积极利用的Apex One RCE漏洞

2022年9月13日，安全软件公司趋势科技警告客户尽快修补被积极利用的Apex One RCE漏洞。Apex One是一个端点安全平台，可为企业提供针对恶意工具、恶意软件和漏洞的自动威胁检测和响应。此漏洞(CVE-2022-40139)使攻击者能够在运行未修补软件的系统上远程执行任意代码，但成功利用的前提是攻击者必须先获得对Apex One服务器管理控制台的访问权限。趋势科技已观察到有攻击者尝试利用此漏洞发起攻击，强烈建议客户尽快更新到最新版本。

https://www.bleepingcomputer.com/news/security/trend-micro-warns-of-actively-exploited-apex-one-rce-vulnerability/

---

5 微软发布9月份补丁修复了63个安全漏洞

微软发布了9月份补丁，共计修复了63个安全漏洞，其中一个漏洞已有证据表明被攻击者利用。在本次修复的漏洞中，有五个远程代码执行漏洞被标记为“高危”。此次修复的漏洞类型包括18个提权漏洞、1个安全功能绕过漏洞、30个远程代码执行漏洞、7个信息泄露漏洞、7个拒绝服务漏洞和16个Edge-Chromium漏洞。此次共修复了两个公开披露的零日漏洞，分别为Windows通用日志文件系统驱动程序中的提权漏洞（CVE-2022-37969）和Cache Speculation Restriction漏洞（CVE-2022-23960）。其中，CVE-2022-37969已在攻击中被积极利用。

https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2022-patch-tuesday-fixes-zero-day-used-in-attacks-63-flaws/

---

6 WPGateway中的零日漏洞被积极利用

2022年9月8日，Wordfence威胁情报团队发现一个被积极利用的零日漏洞，该漏洞允许攻击者将恶意管理员用户添加到运行WPGateway插件的站点。WPGateway插件是与 WPGateway云服务绑定的高级插件，它为用户提供了一种从单个仪表盘设置和管理WordPress站点的方法。由于这是一个被积极利用的零日漏洞，并且攻击者已经知道利用它所需的机制，研究人员将向所有用户发布此公共服务公告 (PSA)，并故意隐瞒部分细节以防止进一步的利用。

https://www.wordfence.com/blog/2022/09/psa-zero-day-vulnerability-in-wpgateway-actively-exploited-in-the-wild/