维他命每日安全简讯（2023.09.21）

每日头条

1、ShroudedSnooper利用HTTPSnoop攻击中东电信公司

据9月19日报道，Cisco Talos发现ShroudedSnooper利用新后门HTTPSnoop攻击中东电信提供商。HTTPSnoop与Windows HTTP内核驱动程序和设备交互，侦听特定HTTP(S) URL的传入请求。研究人员还发现了PipeSnoop，它可以接受来自命名管道的任意shellcode并在被感染的设备上执行它。这两个植入程序都伪装成Palo Alto Networks的Cortex XDR产品的安全组件来绕过检测。

https://blog.talosintelligence.com/introducing-shrouded-snooper/

2、加拿大的自助值机终端遭到DDoS攻击入境出现问题

据媒体9月20日报道，加拿大的自助值机终端遭到DDoS攻击，导致入境出现问题。该事件发生在上周日，加拿大全国各地的边境检查站值机亭的计算机出现故障，导致入境旅客办理手续的速度减慢了一个多小时。加拿大边境服务局（CBSA）本周二表示，影响机场自助服务终端和电子登机口的连接问题是DDoS攻击导致的。NoName057在Telegram上宣布对此次攻击负责。研究人员表示，这种攻击对国家基础设施产生真正影响的情况即使不是第一次，也是罕见的。

https://www.databreaches.net/outage-at-canadian-airports-was-from-a-ddos-attack/

3、Unit42发现假CVE-2023-40477 PoC分发VenomRAT

Unit42在9月19日称其发现了一个伪造的WinRAR漏洞的PoC，旨在分发VenomRAT。8月17日，Zero Day Initiative公开了WinRAR中的RCE漏洞（CVE-2023-40477），黑客halersplonk于四天后向其GitHub存储库提交了一个伪造的PoC。该PoC实际上是对GeoServer中的SQL注入漏洞（CVE-2023-25157）的PoC的修改。执行时，PoC不会运行漏洞利用程序，而是启动了一个感染链来安装VenomRAT payload。Unit42认为攻击者并不是专门针对研究人员的，相反，可能是希望攻击其他试图利用新漏洞的不法分子。

https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/

4、黑莓披露针对北美和亚太地区的活动Silent Skimmer

9月18日，黑莓披露了一个名为Silent Skimmer的新活动，主要针对北美和亚太地区的在线支付企业。该活动已持续一年多，针对托管或创建支付基础设施的不同行业。攻击者利用Web应用获得初始访问权限，然后部署各种工具和技术，包括开源工具和LOLBAS，所有工具和payload都托管在VPS上的HTTP文件服务器(HFS)中。此外，攻击者利用ASP.NET AJAX的.NET反序列化漏洞(CVE-2019-18935)在服务器上远程执行代码。该活动目的是在目标实体的付款结账页面上部署web skimmer，以窃取用户账单和信用卡信息等财务数据。

https://blogs.blackberry.com/en/2023/09/silent-skimmer-online-payment-scraping-campaign-shifts-targets-from-apac-to-nala

5、国际刑事法院（ICC）透露其系统遭到黑客入侵

媒体9月19日报道，国际刑事法院（ICC）透露其系统遭到了黑客入侵。法院在一份声明中表示，上周末，ICC的服务部门检测到影响其信息系统的异常活动，已立即采取措施应对这一网络安全事件并减轻其影响。目前，还没有关于网络攻击的性质和对ICC系统的影响程度的信息，也没有关于攻击者是否访问或窃取了数据或文件的信息。该机构表示，会优先考虑确保法院的核心工作继续进行，并将在目前进行的现有工作的基础上加强其网络安全框架，包括加速云技术的使用。

https://www.bleepingcomputer.com/news/security/hackers-breached-international-criminal-courts-systems-last-week/

6、Check Point发布关于Remcos和GuLoader的分析报告

9月19日，Check Point发布了关于Remcos和GuLoader的分析报告。这两个程序被定位为合法工具，虽然卖家也声称这些工具只能合法使用，但事实是他们的主要客户正是网络犯罪分子。研究人员发现两者之间存在密切的联系，由于Remcos很容易被杀毒软件检测到，因此很难用于攻击，但是GuLoader可用于帮助其绕过检测。化名为EMINэM的人管理着合法网站BreakingSecurity和VgoStore，以新名称TheProtect公开销售Remcos和GuLoader。此外，EMINэM还曾参与Formbook和Amadey Loader等恶意软件的传播。

https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos/

安全动态

Microsoft将于2026年10月开始停用Exchange Web服务

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-start-retiring-exchange-web-services-in-october-2026/

Google：分析现代Android漏洞利用

https://googleprojectzero.blogspot.com/2023/09/analyzing-modern-in-wild-android-exploit.html

芬兰和欧洲刑警组织取缔暗网市场PIILOPUOTI

https://therecord.media/europol-finland-take-down-pillopuoti-dark-web-market

Rusty Flag攻击活动

https://www.deepinstinct.com/blog/operation-rusty-flag-a-malicious-campaign-against-azerbaijanian-targets

新XWorm变种的代码内部

https://thehackernews.com/2023/09/inside-code-of-new-xworm-variant.html