维他命每日安全简讯（2023.08.16）

每日头条

1、IBM遭到攻击导致科罗拉多州HCPF超过400万人的信息泄露

据媒体8月14日报道，美国科罗拉多州医疗保健政策与融资部(HCPF)向超过400万人发出通知，称数据泄露事件影响了他们的个人和健康信息。HCPF澄清说，他们的系统没有遭到攻击，但是他们的承包商IBM遭到了针对MOVEit的攻击。6月13日调查发现，IBM使用的MOVEit应用上的部分HCPF文件在5月28日左右被访问，攻击者可能窃取了包含某些Health First Colorado和CHP+会员信息的文件。总共影响了4091794人，HPCF将通过Experian为受影响用户提供两年的信用监控服务。

https://www.bleepingcomputer.com/news/security/colorado-warns-4-million-of-data-stolen-in-ibm-moveit-breach/

2、Akamai发现针对运行Magento 2的电商平台的Xurum活动

Akamai在8月9日称其发现了针对运行Magento 2 CMS的电商平台的攻击活动，并将该活动命名为Xurum。活动始于1月份，利用了Adobe Commerce和Magento Open Source中的服务器端模板注入漏洞（CVE-2022-24086）。攻击者似乎对目标Magento商店过去10天内所下订单的付款统计数据感兴趣。攻击活动使用了wso-ng，这是新版本的WSO webshell。活动还利用了较旧的Dirty COW漏洞(CVE-2016-5195)，以尝试在Linux中提权。有证据表明攻击与俄罗斯有关。

https://www.akamai.com/blog/security-research/new-sophisticated-magento-campaign-xurum-webshell

3、勒索软件Monti卷土重来主要针对法律和政府领域机构

8月14日，Trend Micro发现时隔2个月后Monti卷土重来，重点关注法律和政府领域机构。与此同时，基于Linux平台的Monti新变体也已浮出水面，与之前的版本有着明显差异。以前版本很大程度上基于Conti泄露的代码（99%），但新加密程序的相似度仅为29%。研究人员表示，通过对代码（尤其是加密算法）进行大量修改，Monti绕过检测的能力得到提高，这增加了检测和缓解此类恶意活动的难度。

https://www.trendmicro.com/en_us/research/23/h/monti-ransomware-unleashes-a-new-encryptor-for-linux.html

4、Zscale披露针对拉丁美洲金融科技行业的JanelaRAT

Zscale在8月10日披露了针对拉丁美洲地区的金融科技行业的JanelaRAT。截至6月份，JanelaRAT主要针对拉丁美洲地区银行和金融机构，旨在窃取金融和加密货币相关数据，并利用来自合法来源（如VMWare和Microsoft）的DLL侧加载技术来绕过检测。此外，JanelaRAT具有窗口标题感知机制，并采用动态套接字配置系统。JanelaRAT的开发者可能从BX RAT的代码中获得了灵感，但它仅具备BX RAT提供的部分功能，没有导入shell命令执行等功能。

https://www.zscaler.com/blogs/security-research/janelarat-repurposed-bx-rat-variant-targeting-latam-fintech

5、Kaspersky称大量被黑的WP网站被用于执行钓鱼攻击

据8月14日报道，Kaspersky发现大量被黑的WordPress网站被用于执行钓鱼攻击。5月15日到7月31日，研究人员发现了22400个WordPress网站被黑客攻击以创建钓鱼页面。同一时期内，用户总共尝试访问被感染网站上托管的虚假页面200213次。最常被钓鱼攻击的服务和企业包括Netflix、欧洲的银行和常见的快递服务。Kaspersky还详述了哪些网站最容易遭到黑客攻击、如何入侵WordPress网站以及WordPress网站被黑的迹象等。

https://securelist.com/phishing-with-hacked-sites/110334/

6、Uptycs发布关于恶意软件QwixxRAT的分析报告

8月14日，Uptycs发布了关于恶意软件QwixxRAT的分析报告。研究人员于8月上旬发现了该恶意软件，它通过Telegram和Discord平台进行传播。每周订阅费为150卢布，但也有有限的免费版本。一旦安装，RAT就会秘密收集数据，然后发送到攻击者的Telegram bot。为了绕过杀毒软件的检测，RAT通过Telegram bot进行C2。除了窃取数据之外，QwixxRAT还拥有强大的远程管理工具，可控制目标设备和启动命令。

https://www.uptycs.com/blog/remote-access-trojan-qwixx-telegram

安全动态

微软默认为所有人启用内核信息泄露漏洞的修复程序

https://www.bleepingcomputer.com/news/microsoft/microsoft-enables-windows-kernel-cve-2023-32019-fix-for-everyone/

超过10万个黑客论坛帐户因信息窃取恶意软件泄露

https://www.bleepingcomputer.com/news/security/over-100k-hacking-forums-accounts-exposed-by-info-stealing-malware/

MaginotDNS攻击利用DNS缓存中毒的弱检查

https://www.bleepingcomputer.com/news/security/maginotdns-attacks-exploit-weak-checks-for-dns-cache-poisoning/

Iagona ScrutisWeb漏洞可能使ATM机遭到远程攻击

https://www.securityweek.com/iagona-scrutisweb-vulnerabilities-could-expose-atms-to-remote-hacking/

攻击者使用测试版应用绕过应用商店的安全检测

https://www.bleepingcomputer.com/news/security/threat-actors-use-beta-apps-to-bypass-mobile-app-store-security/