维他命每日安全简讯（2023.04.24）

1、谷歌修复其云平台中可隐藏恶意软件的GhostToken漏洞

      据媒体4月21日报道，谷歌云平台(GCP)中存在一个GhostToken漏洞，可被攻击者用于将恶意应用更改为不可见且不可删除。Astrix Security于2022年6月并向谷歌报告了这一漏洞，谷歌在2023年4月发布了补丁。研究人员表示，该漏洞可被攻击者用来通过将已授权的第三方应用转换为恶意木马应用，从而获得目标Google帐户的永久且不可移除的访问权限，然后泄露目标的个人数据。这可能包括存储在Gmail、Drive、Docs和Photos等谷歌应用中的数据。 

https://www.bleepingcomputer.com/news/security/ghosttoken-gcp-flaw-let-attackers-backdoor-google-accounts/

2、Symantec披露针对欧美基础设施的X_Trader供应链攻击

      4月21日，Symantec披露了针对欧美关键基础设施组织的X_Trader供应链攻击。导致上个月3CX安全事件的X_Trader软件供应链攻击，还影响了位于美国和欧洲的能源领域的两个关键基础设施组织。攻击者使用木马化X_Trader安装程序，将VEILEDSIGNAL多阶段模块化后门安装到目标系统上。该恶意软件可以执行恶意shellcode或将通信模块注入在被攻击系统上运行的Chrome、Firefox或Edge进程。除此之外，还有两个涉及金融交易的组织也遭到攻击。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain

3、前CFPB员工将超过25万消费者的信息转发到个人邮箱

      据4月21日报道，美国消费者金融保护局(CFPB)披露了一起涉及256000人信息的泄露事件。CFPB的员工透露，他们发现一前员工用14封不同的电子邮件，将大约25.6万名消费者的记录和大约50家机构的监管信息转发到个人电子邮件账户。这名员工已被勒令删除这些电子邮件并提供证据证明它们已被删除，但官方证实这该员工尚未遵守。目前，该机构仍在调查此事件。

https://www.infosecurity-magazine.com/news/cfpb-employee-sends-consumers-data/

4、ESET发现二手市场中大量企业级网络设备包含敏感信息

      据媒体4月23日报道，二手市场上的企业级网络设备包含可被黑客用来入侵企业系统或获取客户信息的敏感数据。ESET研究人员购买了18台二手核心路由器，发现其中一半以上能正常工作的路由器仍然可以访问全部配置数据。一些路由器保留了客户信息和允许第三方连接到网络的数据，甚至包括作为可信方连接到其他网络的凭证。根据路由器中细节，其中一些路由器处于托管IT提供商的环境中，还有一台甚至属于MSSP。研究人员对于这种情况的建议是，清理设备上的敏感数据并将其恢复到出厂默认状态。

https://www.bleepingcomputer.com/news/security/hackers-can-breach-networks-using-data-on-resold-corporate-routers/

5、Unit 42称以ChatGPT为主题的网络攻击数量呈上升趋势

      Unit 42在4月20日透露，以ChatGPT为主题的网络攻击数量呈上升趋势。从2022年11月到2023年4月上旬，与ChatGPT相关域的每月注册量增加了910%，相关抢注域名增长了17818%。此外，每天有多达118个与ChatGPT有关的恶意URL被检测到。研究发现多个试图冒充OpenAI官方网站的钓鱼URL。通常，攻击者会创建一个与ChatGPT官网很像的虚假网站，然后诱骗用户下载恶意软件或共享敏感信息。

https://unit42.paloaltonetworks.com/chatgpt-scam-attacks-increasing/

6、Fortinet发布关于恶意软件EvilExtractor的分析报告

      4月20日，Fortinet发布了关于恶意软件EvilExtractor的分析报告。该工具由Kodex公司开发，声称是一款教育工具。以每月59美元的价格出售，具有七个攻击模块，包括勒索软件、凭据窃取和Windows Defender。研究表明，黑客正在积极地将其用作信息窃取工具。EvilExtractor的攻击活动于今年3月显著增加，通过伪装成账户确认请求的钓鱼邮件进行分发，大多数被攻击目标位于欧洲和美国。

https://www.fortinet.com/blog/threat-research/evil-extractor-all-in-one-stealer

3CX供应链攻击由X_Trader供应链攻击引起

https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise

GitHub现在允许大规模启用私人漏洞报告

https://www.bleepingcomputer.com/news/security/github-now-allows-enabling-private-vulnerability-reporting-at-scale/

芬兰成为北约成员国后网络攻击增多

https://therecord.media/finland-reports-uptick-in-cyberattacks-after-nato-membership

思科发布了安全更新

https://securityaffairs.com/145108/security/industrial-network-director-and-modeling-labs-critical-flaws.html

Capita：数据是在三月份的网络事件中被盗的

https://www.infosecurity-magazine.com/news/capita-data-taken-march-cyber/

Microsoft已转向与天气主题一致的攻击者命名分类

https://learn.microsoft.com/zh-cn/microsoft-365/security/intelligence/microsoft-threat-actor-naming?view=o365-worldwide

Pinacolada - 无线入侵检测系统

https://github.com/90N45-d3v/Pinacolada

BackupOperatorToolkit - 升级到域管理员

https://github.com/improsec/BackupOperatorToolkit/

KERIO 邮箱接管

https://ssd-disclosure.com/ssd-advisory-kerio-mailbox-takeover/

推荐阅读：