维他命每日安全简讯（2023.05.04）

1、通信公司T-Mobile披露2023年第二起数据泄露事件

      据媒体5月1日报道，通信公司T-Mobile披露了2023年第二起数据泄露事件。据悉，从2月下旬开始的一个多月内，攻击者可以访问其数百名客户的个人信息。此次事件仅影响了836名用户，但是泄露的信息量非常广泛，受影响的个人将面临身份盗用和钓鱼攻击。T-Mobile已为受影响用户重置帐户PIN，并通过Transunion myTrueIdentity提供、供两年的免费信用监控和身份盗窃检测服务。1月份，T-Mobile遭到了2023年的首次数据泄露，攻击者窃取了3700万用户的个人信息。

https://www.bleepingcomputer.com/news/security/t-mobile-discloses-second-data-breach-since-the-start-of-2023/

2、德国IT提供商Bitmarck遭到攻击所有系统暂时关闭

      据5月1日报道，德国IT服务提供商遭到了网络攻击。这德国最大的IT公司之一，为公共健康保险领域的80多家组织提供技术基础设施和服务。检测到攻击后，该公司立刻关闭了客户和内部系统，以及数据中心。该公司指出没有数据泄露，存储在EHR中的患者数据不会受到攻击的影响。尽管服务正在逐渐恢复，但Bitmarck预计在中断仍将继续。该公司没有透露有关攻击的更多细节。1月份，Bitmarck发生数据泄露，影响了超过300000名保单持有人。

https://securityaffairs.com/145568/hacking/bitmarck-cyberattack.html

3、TBK DVR设备身份验证绕过漏洞CVE-2018-9995被利用

      媒体5月2日称，Fortinet发现利用TBK DVR设备中身份验证绕过漏洞（CVE-2018-9995）的攻击激增。该漏洞CVSS评分为9.8，可被用来绕过设备上的身份验证并获得目标网络的访问权限。据Fortinet称，截至4月有超过50000次试图利用此漏洞攻击TBK DVR设备的活动。2018年4月，研究人员发布了此漏洞的PoC代码。目前，供应商尚未发布安全补丁来解决该漏洞。此外，利用MVPower CCTV DVR中RCE漏洞（CVE-2016-20016）的攻击也在激增。

https://www.infosecurity-magazine.com/news/high-severity-flaw-tbk-dvr-camera/

4、美国达拉斯市遭到Royal的勒索攻击影响警局等服务

      5月3日报道称，德克萨斯州达拉斯市遭到了Royal勒索攻击，其关闭了部分IT系统以防止攻击蔓延。达拉斯是美国第九大城市，人口约260万。当地媒体报道，该市警方的通讯和IT系统在本周一上午被关闭。本周三，达拉斯市确定其多个服务器遭到勒索软件的攻击，影响了几个功能区域，包括达拉斯警察局网站。据悉，该市的网络打印机在5月3日早上开始打印赎金记录，显示了Royal是此次攻击活动的幕后黑手。目前，尚不清楚是否有数据被盗。

https://www.bleepingcomputer.com/news/security/city-of-dallas-hit-by-royal-ransomware-attack-impacting-it-services/

5、欧洲警方的SpecTor行动逮捕288名暗网供应商和客户

      媒体5月2日报道，欧洲刑警组织协调的国际执法行动SpecTor查获了非法暗网市场Monopoly Market。奥地利、法国、德国和荷兰等九个国家的执法部门逮捕了288名涉嫌在暗网买卖毒品的人，执法部门还缴获了超过5080万欧元（5340万美元）的现金和虚拟货币等。Monopoly Market于2019年启动，其基础设施于2021年12月被德国当局查封，之后它被用于收集在该网站上买卖毒品的供应商和客户的证据。此次逮捕的大部分嫌疑人在美国（153人），其次是英国（55人）和德国（52人）。

https://securityaffairs.com/145656/cyber-crime/law-enforcement-op-spector.html

6、Elastic发布恶意软件LOBSHOT攻击活动的分析报告

      Elastic在4月25日披露了新恶意软件LOBSHOT通过Google Ads分发的活动。该活动冒充合法的的AnyDesk远程管理软件，推送了一个恶意MSI文件，通过执行PowerShell命令来下载DLL。下载的DLL文件为恶意软件LOBSHOT，保存在C:ProgramData文件夹中，由RunDLL32.exe执行。此外，LOBSHOT还部署了一个hVNC（隐藏虚拟网络计算）模块，可对目标进行直接且不会被发现的访问。LOBSHOT主要针对金融行业，采用了银行木马和信息窃取功能。

https://www.elastic.co/cn/security-labs/elastic-security-labs-discovers-lobshot-malware

苹果第一个iPhone快速安全响应更新安装失败

https://securityaffairs.com/145649/security/iphone-rapid-security-response-failure.html

谷歌将移除Chrome 117中的安全网站指示器

https://www.bleepingcomputer.com/news/google/google-will-remove-secure-website-indicators-in-chrome-117/

关于影响ME RTU远程终端单元的RCE的安全咨询

https://www.cisa.gov/news-events/ics-advisories/icsa-23-110-01

Level Finance加密货币交易所在两次安全审核后遭到攻击

https://www.bleepingcomputer.com/news/security/level-finance-crypto-exchange-hacked-after-two-security-audits/

研究人员在互联网路由协议软件中发现新的BGP漏洞

https://thehackernews.com/2023/05/researchers-uncover-new-bgp-flaws-in.html

连锁反应：ROKRAT的缺失环节

https://research.checkpoint.com/2023/chain-reaction-rokrats-missing-link/

Nomadic Octopus入侵塔吉克斯坦某电信提供商

https://securityaffairs.com/145536/apt/nomadic-octopus-targets-tajikistani-carrier.html

Malverposting策略感染了500000台设备

https://labs.guard.io/malverposting-with-over-500k-estimated-infections-facebook-ads-fuel-this-evolving-stealer-54b03d24b349

苹果和谷歌联手打击蓝牙跟踪器跟踪

https://www.bleepingcomputer.com/news/technology/apple-and-google-team-up-to-fight-bluetooth-tracker-stalking/

C2-Hunter - 实时从恶意软件中提取C2流量

https://github.com/ZeroMemoryEx/C2-Hunter/

推荐阅读：