维他命每日安全简讯（2023.10.10）

每日头条

1、Flagstar银行的供应商遭攻击导致80多万客户信息泄露

据媒体10月8日报道，Flagstar银行的第三方服务提供商Fiserv遭到攻击，导致大量客户的信息泄露。Flagstar现在归纽约社区银行所有，在去年被收购之前是美国最大的银行之一，总资产超过310亿美元。Fiserv是该银行用于支付处理和移动银行服务的供应商，其遭到了CLOP的攻击。黑客利用MOVEit Transfer中的漏洞访问了Fiserv系统，并窃取了Flagstar的数据，共影响837390名客户。这是Flagstar自2021年3月以来发生的的第三起数据泄露事件。

https://www.bleepingcomputer.com/news/security/third-flagstar-bank-data-breach-since-2021-affects-800-000-customers/

2、英国电子公司Volex的系统和数据遭到未经授权访问

10月9日报道称，英国电子电气公司豪利士（Volex）遭到网络攻击。调查显示，该事件是由于公司位于全球的多个IT系统和数据遭到未经授权访问导致的。该公司表示，他们已采取响应措施将影响降至最低，但研究人员在UTC 13:25:26访问Volex网站时显示已离线。目前，该网站已恢复访问。Volex声称攻击者无法访问财务数据，该事件没有造成重大财务影响，但该公司的股价在本周一上午仍下跌了4%左右。

https://www.hackread.com/uk-power-data-manufacturer-volex-cyberattack/

3、Storm-0324通过Teams获得访问权限并分发勒索软件

Trellix在10月5日公开了Storm-0324通过Teams获得访问权限并分发勒索软件的活动。7月上旬，该团伙被发现开始通过Microsoft Teams发送钓鱼消息。在获得初始访问权限后，Storm-0324经常将访问权限移交给黑客团伙Sangria Tempest（又称FIN7）和TA543，后者通常会执行勒索攻击。研究人员发现，Storm-0324现正在传播JSSLoader，然后再将责任转嫁给其它勒索团伙。

https://www.trellix.com/en-us/about/newsroom/stories/research/storm-0324-an-access-for-the-raas-threat-actor.html

4、X-Force披露利用NetScaler Gateway的凭据收集活动

10月6日，X-Force披露了一起大规模活动，攻击者利用Citrix NetScaler Gateway中漏洞（CVE-2023-3519）窃取用户凭据。X-Force在调查客户的NetScaler设备身份验证速度缓慢问题时首次发现了此次活动。调查发现，黑客利用漏洞在设备的index.html登录页面注入了恶意凭证窃取JavaScript脚本。攻击者为此活动注册了多个域名，X-Force已识别出近600个托管修改后的NetScaler Gateway登录页面的IP地址，主要集中在美国和欧洲。登录页面最早的修改时间是8月11日，因此该活动已经进行了两个月。

https://securityintelligence.com/posts/x-force-uncovers-global-netscaler-gateway-credential-harvesting-campaign/

5、维护者披露curl中的两个安全漏洞并透露即将发布补丁

据10月9日报道，curl的维护者Daniel Stenberg披露了该开源工具中存在的两个安全漏洞。其中，2023-38545同时影响了curl及其库libcurl，被称为长期以来最严重的curl安全漏洞。另一个漏洞为CVE-2023-38546，仅影响libcurl。研究人员尚未透露有关漏洞和受影响版本范围的更多信息，但表示新版本curl 8.4.0以及有关两个漏洞的详细信息将于10月11日06:00左右发布。

https://therecord.media/curl-vulnerabilities-to-be-announced-open-source

6、Sentinelone发布新勒索软件LostTrust的分析报告

10月5日，Sentinelone发布了关于新勒索软件LostTrust的分析报告。LostTrust是9份月出现的一种新的多重勒索团伙，其网站中显示他们是"自称为网络安全领域专家的年轻人"。对其payload的分析表明，该系列是SFile和Mindware的进化版，并且三者都遵循与MetaEncryptor类似的运作和技术方式。LostTrust的网站和MetaEncryptor早期的网站也很相似，而MetaEncryptor活动中使用的SFile加密器在LostTrust中仍在使用。

https://www.sentinelone.com/blog/losttrust-ransomware-latest-multi-extortion-threat-shares-traits-with-sfile-and-mindware/

安全动态

Google Chrome的组织标签页会自动重新排序标签页

https://www.bleepingcomputer.com/news/google/google-chromes-organize-tabs-will-automatically-reorder-tabs/

CISA和NSA发布身份和访问管理新指南

https://www.cisa.gov/news-events/alerts/2023/10/04/cisa-and-nsa-release-new-guidance-identity-and-access-management

与加沙有关的攻击者针对以色列能源和国防部门

https://thehackernews.com/2023/10/gaza-linked-cyber-threat-actor-targets.html

提醒Microsoft 365管理员注意谷歌反垃圾邮件新规定

https://www.bleepingcomputer.com/news/security/microsoft-365-admins-warned-of-new-google-anti-spam-rules/

WS_FTP服务器存在多个允许远程命令执行的漏洞

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-progress-ws_ftp-server-could-allow-for-remote-command-execution_2023-116