维他命每日安全简讯（2023.07.25）

每日头条

1、Checkmarx检测到多起针对银行的开源软件供应链攻击

Checkmarx在7月21日称其检测到多起针对银行的开源软件供应链（OSS）攻击。第一次攻击发生于4月上旬，攻击者冒充目标银行员工，利用NPM平台上传了几个软件包，其中包含预安装脚本，可在安装时执行恶意活动。还利用Azure的CDN子域来分发第二阶段的payload Havoc，这是一个C2框架。在2月份检测到的针对银行的另一次攻击中，攻击者也上传了一个恶意npm包，旨在拦截登录数据并将其发送给攻击者。目前，研究人员已经报告并删除了这些恶意开源软件包。

https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector/

2、Apple更新修复已被利用的内核漏洞CVE-2023-38606

据媒体7月24日报道，Apple发布了安全更新，以修复针对iPhone、Mac和iPad的攻击中被利用的漏洞。这是一个内核漏洞（CVE-2023-38606），能够被用来篡改敏感的内核状态，可能已在iOS 15.7.1之前发布的iOS版本中被积极利用。Kaspersky表示，CVE-2023-38606是零点击漏洞利用链的一部分，用于通过iMessage漏洞在iPhone上安装间谍软件Triangulation。这是Apple在今年修复的第十一个已被利用的零日漏洞。

https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-macs/

3、Clop利用MOVEit漏洞的攻击预估获利7500万至1亿美元

Coveware在7月21日透露，Clop利用MOVEit漏洞的大规模数据窃取活动预计获利高达7500万至1亿美元。在2023年Q2，交赎金的被攻击目标的数量已降至34%，创下历史新低，导致勒索团伙改变策略以谋求更高的利润。Coveware表示，Clop已经改变了策略，勒索更高的赎金，希望通过几笔大额付款来克服整体下降的情况。此外，复杂性和自动化程度低的勒索攻击的影响和成本最小。

https://www.coveware.com/blog/2023/7/21/ransom-monetization-rates-fall-to-record-low-despite-jump-in-average-ransom-payments

4、研究人员披露OpenMeetings可劫持管理员帐户的漏洞

据7月21日报道，研究人员披露了Apache OpenMeetings中的3个漏洞的细节。这些漏洞分别为弱哈希比较漏洞（CVE-2023-28936）、通过邀请哈希进行无限制访问的漏洞（CVE-2023-29023）以及空字节注入漏洞(CVE-2023-29246），可被自行注册用户（默认启用）用来劫持管理员帐户并远程执行任意代码。目前，这些漏洞已在Apache OpenMeetings 7.1.0版本中修复。

https://www.securityweek.com/openmeetings-flaws-allow-hackers-to-hijack-instances-execute-code-on-servers/

5、AhnLab发现通过MS-SQL服务器分发PurpleFox的活动

7月24日，AhnLab称其发现了通过管理不善的MS-SQL服务器分发PurpleFox的活动。攻击首先通过sqlservr.exe执行PowerShell，这是一个与MS-SQL服务器相关的进程。当执行上述PowerShell时，将下载并加载另一个经过混淆的PowerShell。其中包含一个攻击者开发的函数MsiMake，可下载一个MSI文件。MSI包更改注册表项以实现持久性和权限提升。最后，MSI包会尝试重启系统，接着SENS服务会被执行，从而激活恶意软件。

https://asec.ahnlab.com/en/55492/

6、IBM发布关于2023年数据泄露成本的分析报告

7月24日，IBM发布关于2023年数据泄露成本的分析报告。该报告对553个组织的数据泄露情况进行了分析，研究的违规事件发生在2022年3月至2023年3月。最新研究显示，数据泄露成本持续增长，全球平均成本高达445万美元，三年内增长了15%。医疗保健行业的成本位居榜首，连续13年成为成本最高的行业。报告指出，安全人工智能和自动化、DevSecOps方法和IR计划在节省成本方面发挥了主导作用；人工智能和ASM加速了违规事件的识别和遏制；当数据存储在多个环境中时，成本很高，并且需要更长时间才能遏制违规事件；拥有发现违规事件的内部团队的组织在控制成本方面表现得更好。

https://securityintelligence.com/posts/whats-new-2023-cost-of-a-data-breach-report/

安全动态

苹果可能选择停止iMessage和FaceTime服务

https://securityaffairs.com/148749/security/apple-against-uk-gov-surveillance.html

微软将于年底停用Win10和Win11的邮件和日历应用

https://www.bleepingcomputer.com/news/microsoft/microsoft-force-migrating-windows-mail-and-calendar-apps-to-outlook-app-in-august/

Cl0p勒索软件综述

https://www.fortinet.com/blog/threat-research/ransomware-roundup-cl0p

CDN服务使用户面临安全工具无法察觉的钓鱼攻击恶意软件包

https://blog.checkpoint.com/securing-the-cloud/cdn-service-exposes-users-to-malicious-packages-for-phishing-attacks-invisible-to-security-tools/

Lazarus攻击Windows服务器作为恶意软件分发点

https://asec.ahnlab.com/en/55369/