维他命每日安全简讯（2023.08.17）

1、NCC称近2000台Citrix NetScaler服务器已被植入后门

      据8月16日报道，NCC Group发现了Citrix NetScaler漏洞的大规模利用活动。攻击者以自动化方式利用了漏洞（CVE-2023-3519），在Netscaler服务器中植入了Webshell。即使NetScaler已打补丁或重启，攻击者也可以使用此Webshell执行任意命令。研究人员总共在1952个不同的NetScaler中发现了2491个Webshell，大多数位于德国、法国、瑞士、日本和意大利等国。截至8月14日，仍有1828个NetScaler存在后门，其中约1248台已经针对该漏洞进行了修复。

https://thehackernews.com/2023/08/nearly-2000-citrix-netscaler-instances.html

2、大量LinkedIn用户称其账户被劫持或锁定部分要交赎金

      据媒体8月15日报道，Cyberint在最近几周发现了一场持续的攻击活动主要针对LinkedIn帐户。该活动的影响范围覆盖全球，导致大量用户无法访问其帐户。许多LinkedIn用户抱怨其账户被接管或锁定，并且无法通过LinkedIn的支持服务解决。有些人甚至被迫交赎金才能重新获得控制权，或者面临账户被永久删除的情况。虽然LinkedIn尚未发布正式公告，但他们的支持响应时间似乎已经延长，有报道称支持请求的数量很大。

https://www.bleepingcomputer.com/news/security/linkedin-accounts-hacked-in-widespread-hijacking-campaign/

3、美国高乐氏(Clorox)遭到攻击导致运营暂时中断

      8月16日报道称，美国日用品生产商高乐氏(Clorox)遭到攻击，导致运营暂时中断。该公司在2022年的收入超过70亿美元。此次攻击于8月14日被检测到，Clorox立即采取行动，关闭了受影响的系统。该事件的调查仍在早期阶段，尚不清楚是哪种类型的攻击。然而现有信息表明，这可能是勒索攻击。此次攻击影响了Clorox的制造和销售流程，以及其履行订单和维持正常运营的能力。

https://www.infosecurity-magazine.com/news/clorox-disrupted-cyber-attack/

4、过去半年Cloudflare R2托管的钓鱼网页流量增长61倍

      Netskope在8月14日称，从今年2月到7月，Cloudflare R2中托管的钓鱼页面流量增长了61倍。大多数钓鱼活动都针对Microsoft登录凭据，但也有一些针对Adobe、Dropbox和其它云应用程序。这些攻击主要针对北美和亚洲，涉及各种领域，以技术、金融服务和银行业为首。这些钓鱼活动不仅利用Cloudflare R2分发静态钓鱼页面，还利用该公司的Turnstile产品来绕过检测。

https://www.netskope.com/blog/evasive-phishing-campaign-steals-cloud-credentials-using-cloudflare-r2-and-turnstile

5、AhnLab发现Hakuna Matata针对韩国企业的攻击活动

      8月16日，AhnLab透露勒索软件Hakuna Matata正被用来攻击韩国的企业。Hakuna Matata是近期开发的勒索软件，于7月6日首次被披露。Hakuna Matata与其它传统勒索软件的不同之处在于，它具有ClipBanker功能。即使在加密之后，它仍然保留在系统中，将比特币钱包地址更改为攻击者的地址。加密系统后，攻击者会删除攻击中使用的事件日志和恶意软件，因此很难获得确切的信息。但是，根据各种情况，推测远程桌面协议（RDP）被作为初始攻击载体。

https://asec.ahnlab.com/en/56010/

6、Group-IB发布关于恶意软件Gigabud的分析报告

      8月14日，Group-IB发布了关于恶意软件Gigabud的分析报告。它主要针对泰国、印度尼西亚、越南、菲律宾和秘鲁的金融机构。Gigabud RAT在用户被授权进入恶意应用之前不会执行任何恶意活动，这加大了检测的难度。它主要通过屏幕录制来收集敏感信息，而不是HTML覆盖攻击。继续调查发现了另一个不具备RAT功能的样本，代号为Gigabud.Loan，这是一个伪造的贷款应用，会窃取用户输入的数据。

https://www.group-ib.com/blog/gigabud-banking-malware/

Mac系统被AdLoad变成代理出口节点

https://cybersecurity.att.com/blogs/labs-research/mac-systems-turned-into-proxy-exit-nodes-by-adload

2023年6月APT组织趋势报告

https://asec.ahnlab.com/wp-content/uploads/2023/08/ATIP_2023_Jun_Threat-Trend-Report-on-APT-Groups.pdf

冒充德国大使馆的攻击

https://blog.eclecticiq.com/german-embassy-lure-likely-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs

2023年6月勒索软件威胁趋势报告

https://asec.ahnlab.com/wp-content/uploads/2023/08/ATIP_2023_Jun_Threat-Trend-Report-on-Ransomware-Statistics-and-Major-Issues.pdf

Raccoon Stealer带着新的隐秘版本回归

https://www.bleepingcomputer.com/news/security/raccoon-stealer-malware-returns-with-new-stealthier-version/

Citrix ADC零日漏洞扫描程序

https://www.mandiant.com/resources/blog/citrix-adc-vulnerability-ioc-scanner

CVE-2023-3160：ESET产品中漏洞

https://support.eset.com/en/ca8466-eset-customer-advisory-local-privilege-escalation-vulnerability-fixed-in-eset-security-products-for-windows

影响WPS Office的RCE漏洞

https://github.com/ba0gu0/wps-rce

NixImports - .NET恶意软件加载器

https://github.com/dr4k0nia/NixImports

Xcrawl3R - 递归抓取网页的CLI程序

https://github.com/hueristiq/xcrawl3r

推荐阅读：