维他命每日安全简讯（2023.09.04）

每日头条

1、研究人员演示如何利用Chrome扩展程序窃取明文密码

据媒体9月2日报道，威斯康星大学麦迪逊分校的一组研究人员发现可以通过Chrome扩展从网站源代码中窃取纯文本密码。该问题涉及浏览器扩展可不受限制地访问其加载的网站的DOM树，从而访问用户输入字段等潜在敏感元素。鉴于扩展程序和网站元素之间没有任何安全边界，因此扩展可以访问源代码中可见的数据，并提取其任意内容。此外，该扩展程序可能会利用DOM API在用户输入时直接提取输入值。Google表示他们正在调查此事。

https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/

2、悉尼大学第三方服务提供商遭到攻击部分数据泄露

据9月3日报道，悉尼大学(USYD)透露，其第三方服务提供商遭到攻击，导致近期申请和注册的国际申请人的信息泄露。USYD称该问题仅限于单一平台，对大学的其它系统没有影响，初步调查也没有发现任何本地学生、教职员工或校友的信息泄露。公开的事件信息并未说明泄露发生的时间或哪些第三方服务遭到攻击，目前也没有关于USYD系统中断的公告。

https://www.bleepingcomputer.com/news/security/university-of-sydney-data-breach-impacts-recent-applicants/

3、EclecticIQ发布勒索软件Key Group的免费解密程序

媒体9月1日称，EclecticIQ发布勒索软件Key Group（又名keygroup777）的免费解密程序，适用于8月初构建的恶意软件版本。Key Group至少自今年1月起就一直活跃，攻击者声称他们的恶意软件使用的是"军用级别AES加密"，但该locker在所有加密过程中都使用了静态salt，因此该方案具有一定的可预测性，加密也有可能被逆转。该工具仍处于验证阶段，可能不适用于每个Key Group样本。

https://securityaffairs.com/150207/malware/key-group-ransomware-decryptor.html

4、Callaway公司公开涉及超过110万用户的数据泄露事件

9月1日报道称，美国高尔夫球装备制造商和销售商Callaway公开了近期发生的数据泄露事件。Callaway在8月29日发布通知，称8月1日发生的IT系统事件影响了其电商服务的可用性，并将部分客户信息泄露给未经授权的第三方。该事件影响了Callaway及其子品牌Odyssey、Ogio和Callaway Gold Preowned网站的客户，泄露信息包括姓名、地址、订单历史记录、安全问题和账户密码等，涉及了1114954人。由于密码和安全问题等帐户信息泄露，Callaway已强制所有客户重置密码。

https://therecord.media/topgolf-callaway-says-one-million-affected-by-breach

5、Securonix披露通过MS SQL分发FreeWorld的攻击活动

Securonix在9月1日披露了通过MS SQL分发勒索软件FreeWorld的攻击活动DB#JAMMER。其工具包括枚举工具、RAT payload、漏洞利用和凭证窃取工具以及勒索软件。FreeWorld似乎是勒索软件Mimic的新变种。初始访问是通过暴力破解MS SQL服务器来实现的，下一阶段需要采取措施攻击系统防火墙，连接远程SMB共享来建立持久性，以便在系统之间传输文件，并安装Cobalt Strike等工具。然后安装AnyDesk，横向移动，最终安装FreeWorld。

https://www.securonix.com/blog/securonix-threat-labs-security-advisory-threat-actors-target-mssql-servers-in-dbjammer-to-deliver-freeworld-ransomware/

6、Cisco发布关于开源窃取程序SapphireStealer的报告

8月31日，Cisco发布了关于开源窃取程序SapphireStealer的分析报告。自2022年12月首次发布以来，SapphireStealer在公共恶意软件存储库中出现的频率不断增加。它具有收集主机信息、浏览器数据、文件和屏幕截图的功能，并可通过简单邮件传输协议(SMTP)以ZIP文件的形式传输数据。此外，研究人员还发现了SapphireStealer的多个变体，称黑客改进了原始代码库，使其支持更多的数据泄露机制，因而产生了多个变体。

https://blog.talosintelligence.com/sapphirestealer-goes-open-source/

安全动态

VMware SSH身份验证绕过漏洞CVE-2023-34039的PoC公开

https://thehackernews.com/2023/09/poc-exploit-released-for-critical.html

时隔 28 年后，微软将弃用Windows中的写字板

https://www.bleepingcomputer.com/news/microsoft/microsoft-is-killing-wordpad-in-windows-after-28-years/

Twitter（现为 X）将开始收集用户的生物识别数据

https://cyberscoop.com/twitter-x-user-biometric-data/

攻击者利用Sourcegraph泄露的管理员令牌访问网站

https://www.bleepingcomputer.com/news/security/sourcegraph-website-breached-using-leaked-admin-access-token/

RemcosRat恶意软件的分析

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/peeling-back-the-layers-of-remcosrat-malware/