维他命每日安全简讯（2023.10.08）

每日头条

1、Blackbaud同意以4950万美元解决数据泄露事件的指控

据10月6日报道，云计算提供商Blackbaud与美国49个州达成了4950万美元的协议，以和解针对2020年5月的勒索攻击及由此引发的数据泄露的指控。该事件影响了数百万用户，攻击者窃取了用户未加密的银行信息、登录凭证和社会安全号码。Blackbaud在被告知所有被盗数据已被销毁后，交了赎金。此次达成的4950万美元和解协议解决了Blackbaud违反州消费者保护法、违反通知法规以及健康保险流通与责任法案(HIPAA)的指控。

https://www.bleepingcomputer.com/news/security/blackbaud-agrees-to-495-million-settlement-for-ransomware-data-breach/

2、哥伦比亚特区选举委员会遭到攻击部分选民信息泄露

据媒体10月6日报道，哥伦比亚特区选举委员会(DCBOE)目前正在调查部分选民信息泄露事件。调查显示，攻击者通过选举机构的托管提供商DataNet的服务器访问了这些信息，但DCBOE的内部数据库和服务器并未受到攻击。目前，DCBOE的网站已关闭并显示维护页面。RansomedVC声称入侵了DCBOE并获得了超过60万条美国选民的信息，它在暗网上出售被盗信息，还公开了一条记录以证明数据的真实性。但是据报道，DCBOE被盗数据库最先是由名为pwncoder的用户在黑客论坛中出售的，这些帖子现在已被删除。

https://www.bleepingcomputer.com/news/security/dc-board-of-elections-confirms-voter-data-stolen-in-site-hack/

3、微软详述攻击者通过SQL Server横向移动到云的方式

微软在10月3日称其最近发现了一次攻击活动，其中攻击者试图通过SQL Server实例横向移动到云环境。这种攻击方式在其它云服务（例如VM和Kubernetes）中有发现过，但在SQL Server中却没有。攻击者最初利用目标系统的应用程序中的SQL注入漏洞，来访问部署在Azure 虚拟机（VM）中的Microsoft SQL Server实例并提升其权限。然后，攻击者利用获得的高级权限，试图通过滥用服务器的云身份横向移动到其它云资源。

https://www.microsoft.com/en-us/security/blog/2023/10/03/defending-new-vectors-threat-actors-attempt-sql-server-to-cloud-lateral-movement/

4、Really Simple Systems配置错误泄露300万客户记录

媒体10月5日称，研究人员发现了B2B CRM 提供商Really Simple Systems包含300多万条记录的无密码保护数据库。该公司拥有超过18000个客户，包括皇家学院、红十字会、NHS和IBM等。泄露信息涉及据医疗记录、信用报告、身份证件、税务文件和法律文件等，主要影响了位于英国、美国、欧洲和澳大利亚的企业。目前，不安全的数据库已被保护起来，尚不清楚该数据库暴露的时间，以及是否有人访问过它。

https://www.hackread.com/crm-provider-really-simple-systems-data-leak/

5、Checkmarx发现数百个窃取敏感数据的恶意Python包

10月3日，Checkmarx称一场恶意活动已在开源平台上植入了数百个信息窃取包，下载量约为75000次。自4月初以来，在Python生态系统中，攻击者通过各种用户名部署了数百个恶意软件包。自首次发现以来，攻击变得越来越复杂，从明文过渡到加密，随后又过渡到多层混淆和二次反汇编payload。恶意包旨在窃取大量敏感数据，包括目标系统、应用程序、浏览器和用户的数据。此外，它们还通过修改加密货币地址将交易重定向到攻击者。

https://checkmarx.com/blog/the-evolutionary-tale-of-a-persistent-python-threat/

6、Check Point发布9月份的全球威胁指数分析报告

10月6日，Check Point发布了9月份的全球威胁指数分析报告。9月份，研究人员发现了针对哥伦比亚多个行业的40多家公司的大规模钓鱼活动，旨在分发Remcos RAT。在Qbot被捣毁后，其长期占据榜首的局面已经结束，9月份最常见的恶意软件变为Formbook，其次是Remcos和Emotet。遭到攻击最严重的是教育和研究行业，其次是通讯以及军政领域。最常被利用的漏洞是Web服务器恶意URL目录遍历漏洞，最常见的移动恶意软件仍然是Anubis。

https://blog.checkpoint.com/security/september-2023s-most-wanted-malware-remcos-wreaks-havoc-in-colombia-and-formbook-takes-top-spot-after-qbot-shutdown/

安全动态

米高梅度假村遭受勒索软件攻击造成1.1亿美元损失

https://securityaffairs.com/152077/cyber-crime/mgm-resorts-ransomware-attack.html

Supermicro的BMC固件存在多个严重漏洞

https://thehackernews.com/2023/10/supermicros-bmc-firmware-found.html

谷歌Android系统中的多个漏洞

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-android-os-could-allow-for-remote-code-execution_2023-117

针对WhatsApp等流行应用程序的漏洞“现在价值数百万美元”

https://securityaffairs.com/152035/hacking/whatsapp-zero-day-exploit.html

微软发布适用于Windows和Mac PC全新Teams应用

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-new-faster-teams-app-for-windows-and-mac-pcs/

Qakbot被捣毁后仍在传播Ransom Knight和Remcos RAT