维他命每日安全简讯（2023.05.09）

每日头条

1、西门子修复可影响电网稳定的漏洞CVE-2023-28489

据媒体5月5日报道，西门子修复了影响Sicam A8000 CP-8031和CP-8050产品的CPCI85固件的远程执行代码漏洞（CVE-2023-28489）。这些产品是远程终端单元(RTU)，攻击者可利用该漏洞完全控制设备，影响电网的稳定，甚至可通过更改关键自动化参数导致停电，还可以利用该漏洞安装后门。补丁在固件版本CPCI85 V05或更高版本中可用，该公司还指出，通过使用防火墙限制对TCP端口80和443上的Web服务器的访问，也可以缓解该漏洞。

https://www.securityweek.com/critical-siemens-rtu-vulnerability-could-allow-hackers-to-destabilize-power-grid/

2、美国NextGen Healthcare约100万用户的信息泄露

据5月8日报道，美国软件和服务公司NextGen Healthcare泄露了约100万人的信息。该公司主要为医疗保健行业开发和销售电子健康记录（EHR）软件和实践管理系统。据悉，泄露事件于4月24日被发现，该公司调查确定攻击者在3月29日至4月14日访问了公司的系统，影响了1049375人。公司透露攻击者使用了似乎是从其它来源或与NextGen无关的攻击事件中窃取的客户端凭据访问数据库，它们重新设置了密码以控制该事件。这是NextGen在今年发生的第二起泄露事件，1月19日，它遭到了BlackCat的勒索攻击。

https://securityaffairs.com/145935/data-breach/nextgen-healthcare-data-breach.html

3、乌克兰CERT-UA发现旨在分发SmokeLoader的钓鱼活动

媒体5月8日称，乌克兰CERT-UA披露了以多语言文件的形式分发恶意软件SmokeLoader的钓鱼活动。攻击者利用被感染帐户发送以“账单/付款”为主题的邮件，附件为ZIP文档。这个ZIP是一个多语言文件，包含一个诱饵文档和一个JavaScript文件pax_2023_AB1058..js。JavaScript文件使用PowerShell，下载并运行可执行文件portable.exe，它将启动恶意软件SmokeLoader。对域名注册日期和文件编译日期的分析表明，该活动始于4月份，CERT-UA将该活动归因于UAC-0006。

https://securityaffairs.com/145911/malware/cert-ua-smokeloader-campaign.html

4、研究人员披露Akira在近期的勒索攻击的详细信息

5月7日报道称，研究人员发现了Akira在近期的勒索攻击。Akira于3月份推出，声称已攻击了16家公司，涉及教育、金融、房地产、制造和咨询等各个行业。虽然另一个名为Akira的勒索软件已于2017年发布，但据信与这些活动并不相关。Akira会运行PowerShell命令删除卷影副本，加密文件并附加扩展名.akira，然后在每个文件夹留下赎金记录akira_readme.txt。其赎金要求从20万美元到数百万美元不等。

https://www.bleepingcomputer.com/news/security/meet-akira-a-new-ransomware-operation-targeting-the-enterprise/

5、FortiGuard发现SideCopy团伙针对印度的攻击活动

5月4日，FortiGuard称其发现了SideCopy团伙利用印度军事研究组织相关主题的攻击活动。攻击者使用与印度国防研究与发展组织(DRDO)有关的ZIP文件来分发恶意软件。Zip文件包含一个快捷方式文件，它会使用HTAs程序或mshta.exe定向到攻击者的域。在这里，命令行参数指向一个URL，会下载并执行一个恶意文件Pantomime.hta。此外，与以往的活动有所不同，此次的payload似乎是使用工具SILENTTRINITY创建的。

https://www.fortinet.com/blog/threat-research/clean-rooms-nuclear-missiles-and-sidecopy

6、Cleafy发布drIBAN针对意大利的攻击活动的分析报告

5月4日，Cleafy发布了关于利用新的Web注入工具包DrIBAN的攻击活动的分析报告。这些活动的关键组件drIBAN，是一个具有强大ATS引擎的Web注入工具包，攻击者利用它成功绕过身份验证机制，例如银行和金融机构在登录和支付过程中采用的MFA和SCA授权阶段。攻击链始于经过认证的邮件（或PEC邮件），附带一个可执行文件，作为sLoad恶意软件的下载程序。sLoad是一种侦察工具，还通过滥用合法的Windows工具（如PowerShell和BITSAdmin）来利用LotL技术。此次活动主要针对意大利金融行业。

https://www.cleafy.com/cleafy-labs/uncovering-driban-fraud-operations-chapter1

安全动态

Kroll称新勒索软件Cactus通过加密自身来绕过检测

https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/

新的 CS:GO 地图绕过了俄罗斯对乌克兰战争新闻的审查

https://www.bleepingcomputer.com/news/security/new-cs-go-map-bypasses-russias-censorship-of-ukraine-war-news/

Z-Library电子书网站再次因FBI域名查封而中断

https://www.bleepingcomputer.com/news/technology/z-library-ebook-site-disrupted-again-by-fbi-domain-seizures/

PyPI软件包分发中发现新的KEKW恶意软件变体

https://www.infosecurity-magazine.com/news/kekw-malware-python-packages/

Adna学区在钓鱼攻击中被骗取346000美元

https://www.databreaches.net/wa-adna-school-district-defrauded-346000-in-phishing-scam/