维他命每日安全简讯（2023.04.21）

1、打印管理软件开发商PaperCut修复其产品中已被利用漏洞

      据媒体4月19日报道，PaperCut敦促客户安装更新，修复黑客正在积极利用的漏洞。PaperCut用于使打印管理软件与所有主要品牌和平台兼容，它声称为来自100多个国家的数亿人提供服务。该公司于1月10日收到报告，得知其PaperCut MF/NG的存在两个漏洞，分别是一个远程代码执行漏洞和一个信息泄露漏洞。之后，这家软件开发商更新了其3月的安全公告，称截至2023年4月18日，有证据表明未打补丁的服务器正在被利用，但没有透露太多有关这些漏洞的信息。

https://www.bleepingcomputer.com/news/security/hackers-actively-exploit-critical-rce-bug-in-papercut-servers/

2、印度ICICI银行因系统配置错误泄露数百万条客户信息

      据4月20日报道，印度ICICI银行泄露了数百万条客户信息。2月1日，研究人员发现了一个配置错误的Digital Ocean存储桶，其中包含超过360万个ICICI银行的文件，涉及银行及其客户的敏感数据。泄露信息包括客户的银行账户信息、信用卡号、护照、身份证和印度纳税人识别号等，银行的对账单和KYC表格，以及银行员工和求职者的简历。截至3月30日，该存储桶已被保护起来。

https://securityaffairs.com/145094/uncategorized/icici-bank-data-leak.html

3、APT 36利用新恶意软件Poseidon攻击印度的政府机构

      Uptycs在4月17日称其发现了APT 36（也称Transparent Tribe）利用新Linux恶意软件Poseidon的攻击活动。攻击者通过木马化的2FA软件Kavach分发恶意软件payload，主要针对为印度政府机构工作的Linux用户。攻击始于一个恶意ELF文件，旨在从远程服务器检索第二阶段Poseidon payload。Poseidon是一个通用后门可用于劫持被感染的主机，其功能包括记录键盘、截屏、上传和下载文件，以及通过各种方式远程管理系统。

https://www.uptycs.com/blog/cyber_espionage_in_india_decoding_apt_36_new_linux_malware

4、Symantec披露Play的两个新工具Grixba和VSS复制工具

      Symantec于4月19日披露了勒索团伙Play的两个新的自定义数据收集工具，即Grixba和VSS复制工具。Grixba是网络扫描和信息窃取工具，用于枚举域中的用户和计算机。该工具将收集到的数据保存在CSV文件中并压缩成ZIP，然后泄露到攻击者的C2服务器，为下一步攻击提供重要信息。VSS复制工具也是使用Costura工具开发的，将AlphaVSS库嵌入到可执行文件中，该工具用于在加密之前，从被感染设备的VSS卷复制文件。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/play-ransomware-volume-shadow-copy

5、ThreatMon发布Blind Eagle攻击活动的技术分析报告

      4月19日，ThreatMon发布报告，将Blind Eagle链接到一个新的多阶段攻击链。研究人员发现使用一个JavaScript下载程序来执行托管在Discord CDN中的PowerShell脚本。该脚本会分发另一个PowerShell脚本和一个Windows批处理文件，并在Windows启动文件夹中保存一个VBScript文件以实现持久性。然后运行VBScript代码以启动批处理文件，批处理文件随后被解密，以运行之前与之一起分发的PowerShell脚本。在最后阶段，PowerShell脚本会执行njRAT。

https://threatmon.io/apt-blind-eagles-malware-arsenal-technical-analysis/

6、Fortra发布关于GoAnywhere MFT漏洞攻击的调查结果

      4月17日，Fortra发布了关于GoAnywhere MFT漏洞（CVE-2023-0669）利用活动的调查结果。根据公告，该公司于1月30日意识到部分GoAnywhere MFTaaS实例中的可疑活动，并迅速关闭云服务以进行进一步调查。调查显示，攻击者在1月28日至1月30日利用漏洞在部分客户环境中创建了帐户，然后使用这些帐户从MFT环境下载文件。攻击者还在某些MFTaaS客户环境中安装了两个额外的工具，Netcat和Errors.jsp。此外，Fortra发现早在1月18日该漏洞就被用于针对运行GoAnywhere MFT特定配置的本地客户。

https://www.fortra.com/blog/summary-investigation-related-cve-2023-0669

Microsoft Defender更新造成混乱

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-update-causes-windows-hardware-stack-protection-mess/

Medusa吹嘘泄露Bing和Cortana源代码

https://www.theregister.com/2023/04/19/medusa_microsoft_data_dump/

黑客使用工具AuKill禁用目标系统上的EDR软件

https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/

Google TAG 2023年Q1俄乌战争威胁态势分析

https://blog.google/threat-analysis-group/ukraine-remains-russias-biggest-cyber-focus-in-2023/

攻击者利用Web3 IPFS技术

https://unit42.paloaltonetworks.com/ipfs-used-maliciously/

Novi Survey中代码执行漏洞

https://www.cisecurity.org/advisory/a-vulnerability-in-novi-survey-could-allow-for-arbitrary-code-execution_2023-044

勒索软件BlackBit 

https://asec.ahnlab.com/en/51497/

NVIDIA DGX-1固件安全更新

https://nvidia.custhelp.com/app/answers/detail/a_id/5458

LSMS - Linux 安全和监控脚本

https://github.com/sqall01/LSMS

debugHunter - 发现隐藏的调试参数

https://github.com/devploit/debugHunter/

推荐阅读：