维他命每日安全简讯（2023.04.26）

1、加拿大Yellow Pages遭到Black Basta的勒索攻击

      据媒体4月24日报道，加拿大目录出版商Yellow Pages Group透露其遭到了网络攻击。Black Basta声称其为此次攻击负责，并公开了包含身份证件、税务文件和买卖协议等信息的文件样本。根据泄露文件的日期可以确定，攻击似乎发生在3月15日或之后。该公司对此事展开调查，发现员工数据和商业客户的相关信息泄露。他们现已通知受影响的个人，并表示目前基本上已经恢复了所有服务。

https://www.bleepingcomputer.com/news/security/yellow-pages-canada-confirms-cyber-attack-as-black-basta-leaks-data/

2、VMware修复在Pwn2Own黑客大赛中被利用的两个漏洞

      据4月25日报道，VMware发布安全更新，修复了在Pwn2Own Vancouver 2023黑客大赛上演示的两个漏洞。第一个是蓝牙设备共享功能中基于堆栈的缓冲区溢出漏洞(CVE-2023-20869)，可被本地攻击者用来作为主机上运行的虚拟机VMX进程执行代码。第二个是与VM共享主机蓝牙设备的功能中的信息泄露漏洞(CVE-2023-20870)，攻击者可利用该漏洞从VM读取管理程序内存中包含的特权信息。VMware还为无法立即安装补丁的用户提供了临时解决方法，即关闭虚拟机上的蓝牙支持。

https://securityaffairs.com/145287/security/vmware-fixes-critical-zero-days-pwn2own.html

3、Kaspersky披露Tomiris针对中亚地区收集情报的活动

      4月24日，Kaspersky披露了Tomiris在中亚地区的最新活动。攻击主要针对CIS国家的政府和外交机构，其特点是倾向于使用基本但有效的打包和分发技术，偶尔会利用商业或开源RAT。Tomiris使用了各种各样的恶意软件植入程序，它们的开发速度很快，并使用了所有可以想象的编程语言。Tomiris使用的工具可分为三类：下载程序、后门和文件窃取程序。此外，该活动中使用的KopiLuwak和TunnusSched将其与Turla联系起来。

https://securelist.com/tomiris-called-they-want-their-turla-malware-back/109552/

4、研究人员演示针对Intel CPU的新型侧信道攻击方法

      4月24日报道称，研究人员发现了影响多代Intel CPU的新型侧信道攻击方法，可通过EFLAGS寄存器泄露数据。这种攻击不像其它侧信道攻击那样依赖缓存系统，而是利用瞬态执行中的一个漏洞，通过时序分析从用户内存空间中窃取数据。攻击分两个阶段，第一阶段是触发瞬时执行，并通过EFLAGS寄存器编码机密数据，第二阶段是测量KCC指令的执行时间来解码数据。然而，研究人员指出，这种定时攻击不如缓存状态的侧信道攻击可靠，要想在最近的芯片中取得更好的结果，就必须将攻击重复数千次。

https://www.bleepingcomputer.com/news/security/intel-cpus-vulnerable-to-new-transient-execution-side-channel-attack/

5、微软再次出现故障，多个服务中的搜索功能无法使用

      媒体4月24日称，微软正在调查用户无法在多个Microsoft 365服务中使用搜索功能的问题。该问题影响了Outlook、Exchange和SharePoint等服务。与此同时，微软还在解决另一个影响了Teams的问题，有用户报告说在启动软件时看到错误。截至4月25日10:20 EDT，微软称大多数用户的Microsoft 365搜索问题已得到解决。上周，微软也曾出现故障，导致多个Microsoft 365服务瘫痪，全球用户无法登录账户。

https://www.bleepingcomputer.com/news/security/microsoft-365-search-outage-affects-outlook-teams-and-sharepoint/

6、JFrog发布关于恶意软件WhiteSnake的分析报告

      4月24日，JFrog发布了针对Python开发人员的恶意软件WhiteSnake的分析报告。研究人员最近在PyPI存储库中发现了一个用C#开发的新恶意软件payload。通过检测确定了22个包含相同payload的恶意包，同时针对Windows和Linux系统。其中，针对Windows的payload被确定为WhiteSnake的变体，具有反VM机制，使用Tor协议与C2服务器通信，并且能够从目标窃取信息并执行命令。而Linux版本的payload是一个简单得多的Python脚本，专注于信息窃取。

https://jfrog.com/blog/new-malware-targets-python-developers-uses-tor-for-c2-communication/

VirusTotal推出Code Insight

https://www.bleepingcomputer.com/news/security/virustotal-now-has-an-ai-powered-malware-analysis-feature/

Google关于Intel Trust Domain Extensions的技术报告

https://googleprojectzero.blogspot.com/2023/04/technical-report-into-intel-tdx.html

KuCoin的Twitter帐户被黑

https://www.bleepingcomputer.com/news/security/kucoins-twitter-account-hacked-to-promote-crypto-scam/

Inea ICS产品中的严重漏洞

https://www.securityweek.com/critical-flaw-in-inea-ics-product-exposes-industrial-organizations-to-remote-attacks/

微软：通过零信任安全保持合规并保护敏感数据

https://www.microsoft.com/en-us/security/blog/2023/04/24/stay-compliant-and-protect-sensitive-data-with-zero-trust-security/

Android木马Fakecalls滥用合法签名密钥

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fakecalls-android-malware-abusing-legitimate-signing-key/

BlueNoroff利用RustBucket攻击Mac用户

https://www.securityweek.com/north-korean-hackers-target-mac-users-with-new-rustbucket-malware/

CVE-2023-22651：Rancher中的漏洞

https://github.com/rancher/rancher/security/advisories/GHSA-6m9f-pj6w-w87g

burpgpt - 利用人工智能的力量来检测安全漏洞

https://github.com/aress31/burpgpt

Killer -  AV/EDR绕过工具

https://github.com/0xHossam/Killer

推荐阅读：