维他命每日安全简讯（2023.04.03）

每日头条

1、LockBit团伙声称将发布韩国国家税务局的数据

据媒体4月1日报道，勒索团伙LockBit称其入侵了韩国国家税务局。3月29日，LockBit团伙将该机构添加到其网站，并宣布将于4月1日之前发布被盗数据。国家税务局（NTS）作为财政部的一个外部组织于1966年3月3日成立，主要负责内部税收评估和征收。截至4月1日，该团伙尚未公布被盗数据。但如果攻击是真实的，这将对韩国公民的隐私和安全构成严重威胁。

https://securityaffairs.com/144342/cyber-crime/lockbit-south-korean-national-tax-service.html

2、TMX Finance及其子公司约480万个客户的数据泄露

媒体3月31日称，TMX Finance及其子公司TitleMax、TitleBucks和InstaLoan披露了一起数据泄露事件，涉及4822580个客户的数据。这家加拿大金融公司表示，黑客在2022年12月上旬入侵了其系统，但他们直到2023年2月13日才发现了攻击活动。3月1日完成内部调查后，TMX发现攻击者在2023年2月3日至14日窃取了客户的信息，包括姓名、护照号、驾照号码、税号、社会安全号码和金融账户信息等。现在，该公司实施了端点保护和监控，重置了所有员工帐户密码，并将为用户提供Experian为期12个月的身份保护服务。

https://www.bleepingcomputer.com/news/security/consumer-lender-tmx-discloses-data-breach-impacting-48-million-people/

3、模块化工具集AlienFox窃取多个云服务提供商凭据

3月30日，SentinelLabs称其发现了一个名为AlienFox的新工具包，可被用于入侵电子邮件和网络托管服务。AlienFox是模块化的，大多数工具都是开源的。攻击者可使用其从LeakIX和SecurityTrails等安全扫描平台收集配置错误的主机列表。然后，AlienFox使用数据提取脚本在配置错误的服务器中搜索用于存储机密的配置文件，例如API密钥、帐户凭据和身份验证令牌。该恶意软件能够针对1and1、AWS、Bluemail、Exotel和Google Workspace等十几个云平台。

https://www.sentinelone.com/labs/dissecting-alienfox-the-cloud-spammers-swiss-army-knife/

4、WordPress插件Elementor Pro中的漏洞已被利用

据3月31日报道，WordPress插件Elementor Pro中的漏洞已被积极利用。Elementor Pro是一个WordPress页面构建器插件，被超过1100万个网站使用。该漏洞影响了v3.11.6及更低版本，经过身份验证的攻击者可利用其更改网站设置，甚至完全接管网站。安全公司PatchStack报告称，黑客正在积极利用此插件漏洞将访问者重定向到恶意域（“away[.]trackersline[.]com”）或将后门上传到被入侵的网站。这些攻击中上传的后门名为wp-resortpark.zip、wp-rate.php或lll.zip。

https://www.bleepingcomputer.com/news/security/hackers-exploit-bug-in-elementor-pro-wordpress-plugin-with-11m-installs/

5、乌克兰执法部门逮捕已窃取430万美元的钓鱼团伙

媒体3月31日报道称，乌克兰和捷克的执法人员协同逮捕了某钓鱼团伙的几名成员。该团伙针对法国、西班牙、波兰、捷克、葡萄牙等欧洲国家建立了100多个钓鱼网站，以低于市场价的各种商品为诱饵，诱使目标输入信用卡详细信息来支付虚假订单，并利用这些信息从目标账户中挪用资金。他们已从欧洲1000多个被攻击目标那里窃取了超过430万美元。目前，已经对嫌疑人提起刑事诉讼，他们可能面临最高12年的监禁。

https://securityaffairs.com/144279/cyber-crime/cyber-police-of-ukraine-cybercrime-gang.html

6、研究团队披露RedGolf利用后门KEYPLUG的攻击活动

Recorded Future在3月30日披露了RedGolf利用后门KEYPLUG的攻击活动。RedGolf主要针对航空、汽车、教育、政府、媒体、信息技术和宗教相关的组织。研究人员除了检测到该团伙在2021年至2023年使用的KEYPLUG样本和基础设施（代号为GhostWolf）外，还指出其使用了CobaltStrike和PlugX等其它工具。该安全公司还表示，RedGolf将继续高运营节奏，并迅速将面向外部的公司设备（VPN、防火墙和邮件服务器等）中的漏洞武器化，以获得目标网络的初始访问权限。

https://www.recordedfuture.com/with-keyplug-chinas-redgolf-spies-on-steals-from-wide-field-targets

安全动态

关于使用Azure AD的多租户应用程序授权的潜在错误配置指南

https://msrc.microsoft.com/blog/2023/03/guidance-on-potential-misconfiguration-of-authorization-of-multi-tenant-applications-that-use-azure-ad/

意大利数据保护局因隐私问题暂时禁止使用 ChatGPT

https://securityaffairs.com/144325/laws-and-regulations/italy-blocks-chatgpt.html

推特开源推荐算法代码

https://www.bleepingcomputer.com/news/technology/twitter-open-sources-recommendation-algorithm-code/

3CX攻击中利用“选择加入”修复的具有10年历史的Windows漏洞

https://www.bleepingcomputer.com/news/microsoft/10-year-old-windows-bug-with-opt-in-fix-exploited-in-3cx-attack/

Microsoft OneNote将拦截120个危险的文件扩展名

https://www.bleepingcomputer.com/news/security/microsoft-onenote-will-block-120-dangerous-file-extensions/