维他命每日安全简讯（2023.03.29）

1、澳金融公司Latitude Finance 1400万条客户记录泄露

      据媒体3月27日报道，澳金融公司Latitude Finance更新了数据泄露通知，透露受该事件影响的人数增加到了1400万人。3月16日，该公司披露了一起攻击事件，称黑客了入侵了其两家服务提供商的系统并访问了约328000条客户记录。随着进一步调查，发现该事件的影响要大得多。约790万个澳大利亚和新西兰的驾照号码泄露，其中40%是在过去10年内提交给该公司的。追溯至2005年的另外610万条记录也已泄露，其中94%是在2013年之前提交的。

https://www.infosecurity-magazine.com/news/latitude-financial-admits-breach/

2、IEEE 802.11 WiFi标准中可用来劫持网络流量的漏洞

      据3月28日报道，研究人员在IEEE 802.11 WiFi协议标准的设计中发现了一个漏洞，可被用来劫持网络流量。该标准包括省电机制，当客户端站进入睡眠模式时会向接入点发送一个包含节能位的帧，之后所有发往它的帧都会排队。结束休眠后接入点就会将缓冲的帧取出，应用加密，并将它们传输到目的地。攻击者可以欺骗设备的MAC地址向接入点发节能帧，然后发送唤醒帧来检索帧堆栈。研究人员开发了自定义工具MacStealer，可测试WiFi网络的客户端隔离绕过，并在MAC层拦截发往其他客户端的流量。Cisco承认其产品受该漏洞的影响。

https://www.bleepingcomputer.com/news/security/wifi-protocol-flaw-allows-attackers-to-hijack-network-traffic/

3、研究人员近期发现两个IcedID新变体Lite和Forked

      媒体3月27日称，IcedID新变体没有常见的网上银行欺诈功能，而是专注于在目标系统上安装更多恶意软件。Proofpoint已发现了IcedID的两个新变体，即Lite（首次出现于2022年11月）和Forked（首次出现于2023年2月）。Forked与Standard版本相似，但其使用不同的文件类型（COM Server），并具有额外的域和字符串解密代码。Lite只有20KB，而且不会将主机信息传输到C2，因为它是与Emotet一起分发的，而Emotet已经对被入侵的系统进行了分析。

https://www.bleepingcomputer.com/news/security/new-icedid-variants-shift-from-bank-fraud-to-malware-delivery/

4、美国律所HPMB因泄露超过11万人信息被罚款20万美元

      3月28日报道称，美国律所Heidell,Pittoni,Murphy & Bach(HPMB)因未能保护公民的个人和医疗信息，被纽约当局罚款20万美元。据悉，2021年11月攻击者利用HPMB的Exchange服务器中的漏洞访问了其系统，此前微软已发布针对该漏洞的补丁但HPMB未应用。2021年12月，攻击者安装了勒索软件LockBit并窃取了114979人的信息。2022年5月，HPMB开始通知受影响客户。纽约当局认为该公司违反了《健康保险流通与责任法案》(HIPAA)规定的数据保护标准，除了20万美元罚款外还需加强其网络安全措施。

https://therecord.media/new-york-law-firm-hpmb-fined-data-breach-ransomware

5、Check Point披露窃取程序Rhadamanthys的技术细节

      Check Point于3月27日披露了恶意软件Rhadamanthys的技术细节。Rhadamanthys是一种高级的信息窃取程序，于去年9月首次在暗网上出现。该恶意软件包含了尽可能多的功能，例如窃取目标系统信息、FTP客户端凭证、邮件客户端、2FA应用和密码管理器凭据、VPN服务凭据以及加密货币钱包等。默认情况下，不针对特定国家和地区，只要不涉及CIS国家。此外，研究人员主要分析了其初步执行流程、实际的窃取逻辑以及窃取Chrome信息的功能。

https://research.checkpoint.com/2023/rhadamanthys-the-everything-bagel-infostealer/

6、Cyble发布针对航天和航空行业攻击活动的分析报告

      3月27日，Cyble发布了针对航天和航空行业攻击活动的分析报告。研究人员发现，近期针对直接和间接与航天和航空行业打交道的组织的勒索攻击正在增加。3月14日，GhostSec发布了其攻击全球导航卫星系统(GNSS)接收器的相关推文。随后，Cyble调查发现多个供应商提供的GNSS接收器暴露在互联网上，且GNSS系统存在多个漏洞。此外，勒索软件对航天行业的威胁越来越大，Lockbit曾攻击了多个与该行业相关的组织。

https://blog.cyble.com/2023/03/27/ghostsec-targeting-satellite-receivers/

Exchange Online新增安全功能

https://www.bleepingcomputer.com/news/security/exchange-online-to-block-emails-from-vulnerable-on-prem-servers/

新的Microsoft Teams将于6月推出

https://www.bleepingcomputer.com/news/microsoft/new-microsoft-teams-is-twice-as-fast-available-for-all-in-june/

如何利用IPFS进行电子邮件网络钓鱼

https://securelist.com/ipfs-phishing/109158/

MacStealer窃取iCloud Keychain密码

https://www.uptycs.com/blog/macstealer-command-and-control-c2-malware

通过NullMixer传播的新威胁

https://medium.com/@lcam/updates-from-the-maas-new-threats-delivered-through-nullmixer-d45defc260d1

黑客在Pwn2Own 2023利用27个漏洞赚取1035000美元

https://www.bleepingcomputer.com/news/security/hackers-earn-1-035-000-for-27-zero-days-exploited-at-pwn2own-vancouver/

ChinaZ DDoS Bot安装到Linux SSH服务器

https://asec.ahnlab.com/en/50316/

CVE-2023-28445：Deno中的越界读/写漏洞

https://github.com/denoland/deno/security/advisories/GHSA-c25x-cm9x-qqgx

60多个嵌入PyPI包的零日攻击

https://www.fortinet.com/blog/threat-research/supply-chain-attack-via-new-malicious-python-packages

Crassus - Windows提权发现工具

https://github.com/vu-ls/Crassus

dontgo403 - 绕过 40X 响应代码的工具

https://github.com/devploit/dontgo403/

推荐阅读：