维他命每日安全简讯（2023.05.25）

1、Microsoft 365再次发生服务中断主要影响欧美地区

      据媒体5月22日报道，Microsoft正在调查用户无法访问其Microsoft 365帐户和已安装应用程序的问题。受影响的客户称在访问Outlook邮箱时遇到问题，并且无法连接到Microsoft 365服务器。该公司在通告中表示，主影响了北美、波兰和英国的用户，但其它地区的用户也可能受到影响。目前，问题已经得到了解决。上个月，另一起Microsoft 365服务中断事件导致北美用户无法访问Exchange Online。

https://www.bleepingcomputer.com/news/microsoft/microsoft-365-hit-by-new-outage-causing-connectivity-issues/

2、德国军火公司Rheinmetall遭到Black Basta的攻击

      据5月23日报道，德国汽车和武器制造商Rheinmetall AG称，它遭到了BlackBasta的勒索攻击，民用业务受到影响。5月20日，BlackBasta在其网站发布了从Rheinmetall窃取的数据样本，其中包括保密协议、技术示意图、护照扫描件和采购订单等。该公司透露，他们在4月14日发现攻击活动，由于集团内部的IT基础设施是严格分离的，因此其军事业务未受到此次攻击的影响。

https://therecord.media/rheinmetall-confirms-black-basta-ransomware-group-behind-cyberattack

3、健康保险公司Point32Health遭到勒索攻击患者信息泄露

      媒体5月23日称，健康保险公司Point32Health正在通知患者他们的信息可能已泄露。Point32Health是Tufts Health Plan和Harvard Pilgrim Health Care母公司，攻击者在3月28日至4月17日期间，从Harvard Pilgrim的系统中复制并窃取了数据。目前调查仍在进行中，尚不确定有多少人受到影响，但可能会影响从2012年3月28日至今注册的用户。保险公司的发言人没有透露是否交了赎金。

https://www.databreaches.net/after-ransomware-attack-states-second-largest-health-insurer-says-patient-data-were-stolen/

4、Trend Micro披露BlackCat近期攻击中绕过检测的方法

      5月22日，Trend Micro披露了BlackCat在近期的攻击中使用签名的Windows内核驱动程序来绕过检测的方法。该驱动程序是去年年底披露的恶意软件POORTRY的改进版本。攻击者首先试图使用Microsoft 签名的POORTRY驱动程序，但其签名被撤销后检测率很高。因此，攻击者使用了一个POORTRY内核驱动的改进版本，并使用被盗或泄露的交叉签名证书进行签名。此外，该驱动程序使用Safengine Protector v2.4.0.0工具进行混淆以绕过静态分析。

https://www.trendmicro.com/en_us/research/23/e/blackcat-ransomware-deploys-new-signed-kernel-driver.html

5、Fortinet发现针对中东的新内核驱动程序WINTAPIX

      Fortinet在5月22日称其发现了针对中东国家的新内核驱动程序WINTAPIX(WinTapix.sys)。遥测数据表明，该活动主要针对沙特阿拉伯、约旦、卡塔尔和阿拉伯联合酋长国。WinTapix.sys本质上是一个加载程序，主要目的是生成和执行下一阶段的攻击。一旦被加载到内核中，WinTapix.sys就会将嵌入式shellcode注入到适当的用户模式进程中，而该进程又会执行加密的.NET payload。.NET恶意软件具有后门和代理功能，可以执行命令，下和上传文件，以及充当代理在两个通信端点之间传递数据。

https://www.fortinet.com/blog/threat-research/wintapix-kernal-driver-middle-east-countries

6、研究团队称GUI-vil团伙利用AWS EC2实例来挖矿

      5月22日，Permiso P0 Labs称印度尼西亚黑客团伙GUI-vil利用AWS EC2实例来挖矿。该组织于2021年11月首次被检测到，最近一次的活动发生在今年4月份。该团伙偏好使用图形用户界面(GUI) 工具，特别是较旧版本的S3浏览器。GUI-vil首先搜索暴露的AWS密钥和扫描存在漏洞（如CVE-2021-22205）的GitLab实例，来获得初始访问权限。成功入侵后是权限提升和内部侦察，其主要任务是创建EC2实例，以进行加密货币挖矿活动。

https://permiso.io/blog/s/unmasking-guivil-new-cloud-threat-actor/

加密网络钓鱼服务Inferno Drainer已欺骗数千人

https://www.bleepingcomputer.com/news/security/crypto-phishing-service-inferno-drainer-defrauds-thousands-of-victims/

StrelaStealer针对西班牙用户的分发活动

https://asec.ahnlab.com/en/53158/

谷歌推出了移动漏洞奖励计划(Mobile VRP)

https://www.bleepingcomputer.com/news/google/google-launches-bug-bounty-program-for-its-android-applications/

谷歌仅以3990万美元解决位置跟踪诉讼

https://www.theregister.com/2023/05/22/google_gets_another_great_deal/

Lazarus Group针对Windows IIS Web服务器

https://asec.ahnlab.com/en/53132/

CISA称Apple中三个漏洞已被利用

https://www.cisa.gov/news-events/alerts/2023/05/22/cisa-adds-three-known-exploited-vulnerabilities-catalog

Apache HTTP Server漏洞(CVE-2023-25690)的PoC

https://github.com/dhmosfunk/CVE-2023-25690-POC

Nidhogg - 适用于红队的多功能Rootkit

https://github.com/Idov31/Nidhogg

Azure AccessPermissions - 枚举Azure AD中访问权限

https://github.com/csandker/Azure-AccessPermissions

Check Point：GuLoader的演变

https://research.checkpoint.com/2023/cloud-based-malware-delivery-the-evolution-of-guloader/

推荐阅读：