维他命每日安全简讯（2023.09.07）

每日头条

1、Coffee Meets Bagel的系统遭到攻击公司数据被删

据9月5日报道，Coffee Meets Bagel(CMB)透露上周的服务中断是由于黑客入侵公司系统并删除数据导致的。上周，CMB发生了全球范围内的宕机，调查确定黑客恶意删除了公司数据和文件。目前，该公司尚未有确认这次攻击是勒索软件加密了数据，导致数据无法使用，还是攻击者故意删除数据，导致宕机。CMB自9月3日起重新上线，没有透露关于攻击的更多信息。

https://www.bleepingcomputer.com/news/security/coffee-meets-bagel-says-recent-outage-caused-by-destructive-cyberattack/

2、Google发布9月份Android更新修复已被利用的漏洞

Google于9月5日发布了9月份的Android安全更新，总计修复了33个漏洞。其中包括可能已被利用的漏洞(CVE-2023-35674)，它位于Android框架中，攻击者可利用其在无需与用户交互或额外执行权限的情况下提权。此外，更新还修复了几个较为严重的漏洞，分别是系统组件中的3个远程代码执行漏洞（CVE-2023-35658、CVE-2023-35673和CVE-2023-35681），以及高通闭源组件中的远程代码执行漏洞（CVE-2023-28581）。

https://securityaffairs.com/150440/hacking/september-2023-android-security-updates-0day.html

3、Stake.com遭到攻击超过4100万美元的加密货币被盗

9月5日报道，Stake.com称其ETH/BSC热钱包遭到入侵，超过4100万美元的加密货币被盗。攻击发生于9月4日，黑客从Ethereum窃取了1570万美元，在BSC窃取了1780万美元，在Polygon窃取了780万美元。在遭到攻击后该平台立即向用户保证，他们的资金是安全的，所有未受攻击直接影响的钱包，包括BTC、LTC、XRP、EOS和TRX的钱包，仍然可以正常运行。但仍有些用户在X上发帖称无法存款或取款。9月5日，Stake.com通知其服务已恢复，用户现在可以再次使用所有货币进行存取款。

https://securityaffairs.com/150401/hacking/crypto-gambling-firm-stake-hacked.html

4、Morphisec发现针对金融和物流行业的Chaes新变体

Morphisec在9月5日披露了针对金融和物流行业的Chaes新变体Chae$ 4。最新活动的感染链与过去相同，涉及伪造的MSI安装程序，会触发多步骤感染，并使用7个模块来执行各种功能。此外，这个新变体发生了重大变化，包括改进的代码架构、多层加密和改进的隐匿技术、改用Python进行解密和内存执行、使用Chrome DevTools替换用于监控Chromium浏览器活动的Puppeteer、扩大针对凭证盗窃的定向服务、使用WebSockets代替HTTP进行通信以及采用DGA动态解析C2服务器地址等。

https://blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers

5、CERT-UA检测到Fancy Bear针对某能源基础设施的攻击

据媒体9月6日报道，CERT-UA检测到Fancy Bear针对乌克兰某能源基础设施的攻击。攻击使用了包含BAT文件的钓鱼邮件来获得目标系统的初始访问权限。运行CMD文件将创建.bat和.vbs文件，并启动一个VBS文件，该文件将依次执行BAT文件。攻击者还在目标计算机中安装了Tor应用，并通过合法的webhook.site服务API使用“curl”实现远程命令执行，通过创建计划任务运行以BAT文件作为参数的VBS脚本来确保持久性。CERT-UA称，该能源基础设施的安全人员采取了相应措施阻止了此次攻击活动。

https://therecord.media/ukraine-energy-facility-cyberattack-fancy-bear-email

6、研究人员公开Atlas VPN中泄露用户真实IP地址的漏洞

媒体9月5日称，影响Linux客户端的Atlas VPN漏洞，仅通过访问网站即可泄露用户的真实IP地址。用户Educational-Map-8145在Reddit上发布了一个PoC，演示如何利用Atlas VPN Linux API来泄露用户的IP地址。该PoC创建了一个由JavaScript自动提交的隐藏表单，连接到API终端URL http://127.0.0.1:8076/connection/stop。访问该API终端时，它会自动终止隐藏用户IP地址的Atlas VPN会话。一旦VPN连接断开，PoC就会连接到api.ipify.org，记录访问者的实际IP地址。Atlas VPN承诺将尽快发布修复程序。

https://www.bleepingcomputer.com/news/security/atlas-vpn-zero-day-vulnerability-leaks-users-real-ip-address/

安全动态

Agent Tesla新变体通过Excel文档分发

https://www.fortinet.com/blog/threat-research/agent-tesla-variant-spread-by-crafted-excel-document

2023年网络犯罪将使德国损失2240亿美元

https://securityaffairs.com/150298/cyber-crime/cost-of-cybercrime-germany.html

美联航因设备故障在全国范围内停飞

https://www.securityweek.com/united-airlines-says-the-outage-that-held-up-departing-flights-was-not-a-cybersecurity-issue/

通过恶意LNK传播后门：RedEyes (ScarCruft)

https://asec.ahnlab.com/en/56756/

Chrome中的多个漏洞

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbitrary-code-execution_2023-098