维他命每日安全简讯（2023.10.17）

1、Cisco透露其IOS XE软件中身份验证绕过漏洞已被利用

      媒体10月16日报道，Cisco透露其IOS XE软件中的身份验证绕过漏洞（CVE-2023-20198）已被主动利用。未经身份验证的攻击者可利用该漏洞获得管理员权限，并远程控制受影响的路由器和交换机。该漏洞仅影响启用了Web用户界面(Web UI)功能且同时启用了HTTP或HTTPS服务器功能的设备，目前仍在等待补丁。Cisco于9月28日发现了这些攻击，进一步调查发现攻击可追溯到9月18日，并于10月12日发现了与该漏洞利用相关的其它活动。该公司建议管理员禁用面向互联网的系统上的HTTP服务器功能，以抵御此类攻击。

https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/

2、ALPHV称已窃取Morrison Community医院5TB的数据

      据10月15日报道，ALPHV声称入侵了Morrison Community医院，并将其添加到Tor网站中。该团伙表示已经窃取了5TB的数据，包括患者和员工信息、备份以及PII文件等，还发布了一个样本作为证据。由于医院尚未做出明确回应，该团伙已开始联系记者，还威胁很快就会给病人打电话。研究人员称，今年到目前为止，美国已有29个医疗系统（包括90家医院）遭到勒索攻击。

https://securityaffairs.com/152486/cyber-crime/alphv-ransomware-morrison-community-hospital.html

3、菲律宾统计局PSA调查泄露部分个人信息的攻击事件

      10月11日报道，菲律宾信息和通信技术部(DICT)证实，目前正在调查一起针对菲律宾统计局(PSA)的网络攻击。初步调查发现，PSA社区监控系统(CBMS)已被入侵，该机构正在评估CBMS的哪些个人数据可能已被泄露。此外，PSA向公众保证，菲律宾身份系统(PhilSys)和民事登记系统(CRS)并未受到此次泄露的影响。目前，该机构已实施额外的预防措施，以确保其所有系统和数据库的安全。

https://www.bworldonline.com/the-nation/2023/10/11/551140/psa-cyberattack-being-probed/

4、Phylum在NuGet上检测到分发SeroXen RAT的软件包

      Phylum于10月12日称，其在NuGet上检测到分发SeroXen RAT的软件包。该软件包由名为“Disti”的用户上传，其存储库中的6个软件包都包含相同的XML文件，可下载x.bin，这是一个混淆的Windows批处理文件，用于在被入侵系统上执行恶意活动。这些包冒充加密钱包、加密货币交易所和Discord库，最终会安装SeroXen RAT。SeroXen是一款现成的恶意软件，终身售价为60美元，结合了Quasar RAT、r77 rootkit和Windows命令行工具NirCmd的功能。

https://blog.phylum.io/phylum-discovers-seroxen-rat-in-typosquatted-nuget-package/

5、Trend Micro披露DarkGate恶意软件分发活动详情

      10月12日，Trend Micro详细介绍了利用Skype和Teams分发恶意软件DarkGate的活动。研究人员发现，7月至9月，DarkGate利用被入侵的Skype帐户，通过包含VBA加载程序脚本附件的消息来感染目标。该脚本下载了第二阶段AutoIT脚本，旨在下载并执行最终的payload。此外，攻击者还试图通过Microsoft Teams，在将服务配置为接受来自外部用户的消息的组织中推送恶意软件payload。

https://www.trendmicro.com/en_ph/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

6、Ahnlab发布Lazarus恶意软件Volgmer和Scout分析报告

      10月13日，Ahnlab发布了黑客团伙Lazarus的恶意软件Volgmer和Scout的分析报告。Lazarus可追溯到2009年，早期主要针对韩国，自2016年开始攻击全球国防、技术和金融行业。后门Volgmer自2014年开始被使用，通常通过注册为服务来运行，安装时伪装成合法文件。自2014年以来，Volgmer经历了多次变化，直到2021年左右一直被用于攻击。自2022年以来，下载程序Scout代替Volgmer被用于攻击。它的运行机制与前者类似，只是实际功能有所不同，它下载的payload被认为是控制被感染系统的后门。

https://asec.ahnlab.com/en/57685/

微软计划在Windows 11中取消NTLM身份验证

https://thehackernews.com/2023/10/microsoft-to-phase-out-ntlm-in-favor-of.html

CISA公开勒索团伙使用的漏洞和错误配置

https://www.bleepingcomputer.com/news/security/cisa-shares-vulnerabilities-misconfigs-used-by-ransomware-gangs/

FBI和CISA发布AvosLocker通报更新

https://www.cisa.gov/news-events/alerts/2023/10/11/fbi-and-cisa-release-update-avoslocker-advisory

Steam强制执行短信验证以遏制恶意软件肆虐的更新

https://www.bleepingcomputer.com/news/security/steam-enforces-sms-verification-to-curb-malware-ridden-updates/

AI算法检测对无人军用车辆的MitM攻击

https://www.bleepingcomputer.com/news/security/ai-algorithm-detects-mitm-attacks-on-unmanned-military-vehicles/

LOCKBIT团伙向CDW索要8000万赎金

https://securityaffairs.com/152470/cyber-crime/lockbit-ransomware-gang-hacked-cdw.html

23andMe大规模数据泄露后面临多起集体诉讼

https://www.bleepingcomputer.com/news/security/23andme-hit-with-lawsuits-after-hacker-leaks-stolen-genetics-data/

RANSOMLOOKER，一种用于跟踪和分析勒索活动的新工具

https://securityaffairs.com/152416/malware/ransomlooker-tool.html

了解野外DNS隧道流量

https://unit42.paloaltonetworks.com/dns-tunneling-in-the-wild/

新型代码分发技术EtherHiding

https://www.bleepingcomputer.com/news/security/hackers-use-binance-smart-chain-contracts-to-store-malicious-scripts/

推荐阅读：