【0623】供应链安全情报一周重点 | 守望者实验室 - 新鲜讯息

目录 | contents

供应链安全资讯

美国政府推进收敛互联网攻击面
美国国家安全部设立网络安全科

供应链攻击情报

APT28黑客组织入侵乌克兰政府电子邮件服务器
零日漏洞击穿防线，美国近百家大型政企遭勒索

供应链失陷情报

发现某科技公司网站页面被篡改
发现某公司首页被篡改
发现某信息技术公司网站被插入暗链
发现某机械公司网站被插入暗链

供应链数据泄露情报

黑客警告曼彻斯特大学学生数据即将泄露
超过100000个ChatGPT账户通过信息窃取恶意软件被盗
得梅因公立学校证实遭受勒索软件攻击导致近6700人数据泄露

供应链漏洞情报

福昕Foxit PDF远程代码执行漏洞
VMWare 远程代码执行漏洞

供应链安全资讯

01 美国政府推进收敛互联网攻击面

披露时间：2023年6月23日

相关信息：曼彻斯特大学网络攻击背后的勒索软件操作已开始向学生发送电子邮件，警告他们的数据将在未支付勒索要求后很快泄露。威胁行为者声称在6月6日的网络攻击中从曼彻斯特大学窃取了7TB的数据，该电子邮件发送给学生并与BleepingComputer共享。“我们想通知所有学生、讲师、管理人员和工作人员，我们已于2023年6月6日成功入侵manchester.ac.uk网络，”邮件中写道，“我们窃取了7TB的数据，包括学生和教职工的机密个人信息、研究数据、医疗数据、警方报告、药物测试结果、数据库、人力资源文件、财务文件等等。”此后，其他学生向大学的Twitter帐户报告了这些电子邮件，并被告知将样本转发给了大学的IT部门。

来源：

https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-secure-internet-exposed-network-devices/

02 美国国家安全部设立网络安全科

披露时间：2023年6月23日

相关信息：美国国家安全部（NSD）成立了一个新的网络部门，旨在能够更有力地应对高技术性的网络威胁。这个新成立的部门，正式名称为国家网络安全科，是为了响应美国司法部（DoJ） 2022 年全面网络审查中的核心调查结果而创建的。该审查的任务是评估司法部的诉讼和调查能力，包括进攻和防御，以及司法部与其他联邦、州和地方执法机构以及私营部门的合作情况。司法部预计，国会正式批准的国家网络安全科将与国家安全部的反恐、反间谍科及出口管制科处于同一级别。

来源：

https://www.freebuf.com/news/370017.html

供应链攻击情报

01 APT28黑客组织入侵乌克兰政府电子邮件服务器

披露时间：2023年6月23日

风险类型：供应链漏洞

供应链类型：软件供应链

相关信息：一个被追踪为APT28并与俄罗斯总参谋部主要情报局(GRU)有联系的威胁组织已经破坏了属于多个乌克兰组织（包括政府实体）的Roundcube电子邮件服务器。在这些攻击中，网络间谍组织（也称为BlueDelta、Fancy Bear、Sednit和Sofacy）利用有关俄罗斯和乌克兰之间持续冲突的消息诱骗收件人打开恶意电子邮件，这些电子邮件会利用Roundcube Webmail漏洞侵入未打补丁的网络服务器。在破坏电子邮件服务器后，黑客部署了恶意脚本，将目标的传入电子邮件重定向到攻击者控制下的电子邮件地址。这些脚本还用于侦察和窃取受害者的Roundcube地址簿、会话cookie和存储在Roundcube数据库中的其他信息。

来源：

https://www.recordedfuture.com/bluedelta-exploits-ukrainian-government-roundcube-mail-servers

02 零日漏洞击穿防线，美国近百家大型政企遭勒索

披露时间：2023年6月23日

风险类型：供应链漏洞

供应链类型：软件供应链

相关信息：美国官员15日称，俄罗斯勒索软件组织Clop利用MOVEit文件传输软件的零日漏洞发动攻击，窃取并高价售卖美国能源部在内的多个联邦机构用户数据。美国联邦机构网络安全与基础设施安全局（CISA）公布了这起入侵事件。CISA局长Jen Easterly认为此次入侵具有“高度随机性”，既没有专注于“特定的高价值信息”，也没有像之前针对美国政府机构的网络攻击那样具有破坏性。

来源：

https://www.nytimes.com/2023/06/15/us/politics/russian-ransomware-cyberattack-clop-moveit.html

供应链失陷情报

01 发现某科技公司网站页面被篡改

披露时间：2023年6月23日

相关信息：某公司网站（网址为http://www.**sc***.com/）遭黑客攻击入侵，网页内容被篡改，篡改内容为:“-kb22点cc--kb体育app是最完美网站平台，亚洲最完美实力游戏网站，极致体验，安全可靠，最新活动，钜惠时刻，等你加入。kb体育买球 kb体育官网。

02 发现某公司首页被篡改

披露时间：2023年6月23日

相关信息：

某公司网站（网址为http://www.**ic**.com）遭黑客攻击入侵，网页内容被篡改，篡改内容为:“-tb03.cc--360直播体育app是最完美网站平台，亚洲最完美实力游戏网站，极致体验，安全可靠，最新活动，”。

03 发现某信息技术公司网站被插入暗链

披露时间：2023年6月23日

相关信息：

某科技公司网站（网址为http://**on****.com/）遭黑客攻击入侵，网页内容被篡改，插入暗链为:“e星体育注册 e星体育登录【estars.com】”。

04 发现某机械公司网站被插入暗链

披露时间：2023年6月23日

相关信息：发现某公司网站（网址为http://www.**hj**n.com/）遭黑客攻击入侵，网页内容被篡改，插入暗链为:“ ml体育注册-ml体育登录网址-ml体育官网APP下载入口--ml22.cc--ml”。

供应链数据泄露情报

01 黑客警告曼彻斯特大学学生数据即将泄露

披露时间：2023年6月23日

相关信息：曼彻斯特大学网络攻击背后的勒索软件操作已开始向学生发送电子邮件，警告他们的数据将在未支付勒索要求后很快泄露。威胁行为者声称在6月6日的网络攻击中从曼彻斯特大学窃取了7TB的数据，该电子邮件发送给学生并与BleepingComputer共享。“我们想通知所有学生、讲师、管理人员和工作人员，我们已于2023年6月6日成功入侵manchester.ac.uk网络，”邮件中写道，“我们窃取了7TB的数据，包括学生和教职工的机密个人信息、研究数据、医疗数据、警方报告、药物测试结果、数据库、人力资源文件、财务文件等等。”此后，其他学生向大学的Twitter帐户报告了这些电子邮件，并被告知将样本转发给大学的IT部门。

来源：

https://www.bleepingcomputer.com/news/security/hackers-warn-university-of-manchester-students-of-imminent-data-leak/

02 超过100000个ChatGPT账户通过信息窃取恶意软件被盗

披露时间：2023年6月23日

相关信息：根据暗网市场数据，在过去一年中，超过101000个ChatGPT用户账户被信息窃取恶意软件窃取。网络情报公司Group-IB报告称，在包含ChatGPT账户的各种地下网站上发现了超过10万个信息窃取日志，峰值出现在2023年5月，当时威胁行为者发布了26800个新的ChatGPT凭据。在最有针对性的地区，亚太地区在2022年6月至2023年5月期间有近41000个被入侵账户，欧洲有近17000个，北美以4700个排名第五。信息窃取程序是一种恶意软件类别，其目标是存储在电子邮件客户端、网络浏览器、即时消息、游戏服务、加密货币钱包等应用程序中的账户数据。

来源：

https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/

03 得梅因公立学校证实遭受勒索软件攻击导致近6700人数据泄露

披露时间：2023年6月23日

相关信息：爱荷华州最大的学区得梅因公立学校(Des Moines Public Schools)今天证实，勒索软件攻击是导致该校于2023年1月9日所有联网系统离线的事件的幕后黑手。虽然学区在一个勒索软件组织发起攻击后也收到了赎金要求，但赎金尚未支付。本周将联系近6700名其数据在由此产生的数据泄露中受到影响的个人，并提供有关哪些个人信息被泄露的详细信息。“针对DMPS的网络攻击包括勒索赎金。根据我们的网络安全专家的建议以及符合学区和社区最大利益的做法，没有也不会为应对这次攻击支付赎金，”得梅因公立学校说。

来源：

https://www.desmoinesregister.com/restricted/?return=https%3A%2F%2Fwww.desmoinesregister.com%2Fstory%2Fnews%2Feducation%2F2023%2F06%2F19%2Fdes-moines-public-schools-says-personal-data-possibly-exposed-in-ransomware-attack%2F70335866007%2F

供应链漏洞情报

01 福昕Foxit PDF远程代码执行漏洞

披露时间：2023年6月23日

漏洞级别：高危

漏洞描述: 产品Foxit PDF Reader和Foxit PDF Editor的javascript函数exportXFAData，只验证了cPath参数中文件夹路径是否存在，未校验文件后缀的合法性，导致可以将交互式表单(XML Forms Architecture，简称XFA)数据导出为任意后缀的文件。XFA数据中可以包含javascript代码，将其导出为后缀为hta的文件，写入Windows Startup 文件夹，该文件可以在计算机重启后自动运行，实现任意代码执行。
影响产品：

Foxit PDF Reader <= 12.1.1.15289

Foxit PDF Editor 12.x <= 12.1.1.15289

Foxit PDF Editor 11.x <= 11.2.5.53785

Foxit PDF Editor <= 10.1.11.37866

来源：Foxit官方
链接：

https://www.secrss.com/articles/54645

02 VMWare远程代码执行漏洞

披露时间：2023年6月23日

漏洞级别：高危

漏洞描述：VMWare Aria Operations for Networks (vRealize Network Insight) 在通过 Apache Thrift RPC 接口接受用户输入时容易受到命令注入的攻击。此漏洞允许远程未经身份验证的攻击者以 root 用户身份在底层操作系统上执行任意命令。
影响产品：

GitLab CE 16.0.0 社区版 GitLab EE 16.0.0 企业版

来源：VMWare官方

链接：

https://www.vmware.com/security/advisories/VMSA-2023-0012.html

锦岳智慧公司旗下的守望者实验室，是国内首个“开源威胁情报“平台的建设和运营者，专注于安全服务以及安全情报在国内的创新实践，并坚持以“能力化、自动化、智能化”的理念打造产品及服务。

END

watcherlab

做数字经济时代的安全守望者

长按扫码可关注