维他命每日安全简讯（2023.11.20）

每日头条

1、丰田金融服务公司遭到Medusa攻击并被勒索800万美元

据媒体11月16日报道，丰田金融服务公司(TFS)遭到攻击，其在欧洲和非洲的系统上检测到未经授权的访问。勒索团伙Medusa已将TFS列入其网站，并勒索800万美元以删除数据。攻击者还给了丰田10天的时间做出回应，并可以选择延长期限，只要每天支付10000美元。为了证明入侵，黑客Medusa发布了包含财务文件、电子表格和购买发票等数据的样本。大多数文件都是德语，表明黑客成功访问了丰田中欧业务的系统。研究人员透露，此次攻击可能与Citrix Gateway的漏洞有关。

https://securityaffairs.com/154319/data-breach/toyota-financial-services-medusa-ransomware.html

2、雅马哈菲律宾分公司被INC攻击约37GB的数据泄露

据11月17日报道，雅马哈汽车菲律宾摩托车制造分公司(YMPH)遭到攻击，部分员工信息泄露。YMPH于10月25日首次发现问题，其一台服务器遭到未经授权的访问，目前正在评估此次攻击影响的范围。勒索团伙INC声称对此事负责，于11月15日将该公司添加到其网站。此后发布了多个文件，其中包含大约37GB的数据，涉及员工ID信息、备份文件以及公司和销售信息等。

https://www.bleepingcomputer.com/news/security/yamaha-motor-confirms-ransomware-attack-on-philippines-subsidiary/

3、BGRS和SIRVA遭攻击导致加拿大市政机构大量员工信息泄露

加拿大当局在11月19日披露了近期的一次数据泄露事件，影响了现任和前任公共服务部门员工以及加拿大皇家骑警和加拿大武装部队成员。目前确定，为员工提供搬迁服务的Brookfield Global Relocation Services(BGRS)和SIRVA Worldwide Relocation & Moving Services是此次数据泄露事件的源头。据悉，员工自1999年以来向这些公司提供的个人和财务信息可能已经泄露。10月6日，LockBit3.0将SIRVA添加到了其网站，并于11月19日公开了被盗数据。BGRS网站自9月29日起一直处于离线状态。

https://www.databreaches.net/canadian-government-announces-data-breach-urges-public-service-employees-to-take-action/

4、Google称Zimbra漏洞CVE-2023-37580被4个团伙利用

11月16日，Google TAG披露了4起利用Zimbra中的XSS漏洞（CVE-2023-37580）的攻击活动。第一次活动发生于6月底，针对的是希腊某政府机构，发现漏洞后Zimbra在GitHub上推送了一个紧急修复程序。Winter Vivern于7月11日利用该漏洞攻击了摩尔多瓦和突尼斯的政府机构，Zimbra在7月13日发布安全公告建议用户采取缓解措施。7月20日，未知黑客攻击了越南某政府机构，五天后Zimbra发布了该漏洞的官方补丁。8月25，TAG发现了第4次利用该漏洞的攻击活动，针对巴基斯坦政府机构。

https://blog.google/threat-analysis-group/zimbra-0-day-used-to-target-international-government-organizations/

5、8Base团伙通过SmokeLoader分发新的Phobos变体

Cisco在11月18日称，8Base近期的活动有所增加，它使用勒索软件Phobos的变体和其它公开可用的工具执行攻击。该团伙大多数Phobos变体都是由后门SmokeLoader分发的。在8Base活动中，它在加密的payload中嵌入了勒索软件组件，然后将其解密并加载到SmokeLoader进程的内存中。此外，Phobos对1.5MB以下的文件完全加密，对超过阈值的文件部分加密，以提高速度。

https://blog.talosintelligence.com/deep-dive-into-phobos-ransomware/

6、Avast发布2023年第三季度的威胁态势的分析报告

11月16日，Avast发布了2023年第三季度的威胁态势的分析报告。第三季度，Avast平均每月拦截的恶意软件攻击超过10亿次，网络威胁（尤其是社工攻击和恶意广告）的大幅增加推动了这一增长。攻击者对人工智能的利用正在加速，尤其是在深度伪造金融诈骗活动中。广告软件显著升级，特别是南美、非洲、东南欧和东亚地区。信息窃取程序的威胁增加，其中乌克兰（44%）、美国（21%）和印度（16%）的增幅最明显。RAT继续呈增长趋势，葡萄牙（148%）、波兰（55%）和斯洛伐克（43%）等国的增幅最明显。

https://decoded.avast.io/threatresearch/avast-q3-2023-threat-report/

安全动态

微软确认Copilot AI助手将登陆Windows 10

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-copilot-ai-assistant-coming-to-windows-10/

FCC 采用新规则保护消费者免受 SIM 卡交换攻击

https://www.bleepingcomputer.com/news/security/fcc-adopts-new-rules-to-protect-consumers-from-sim-swapping-attacks/

Royal Mail遭到勒索攻击损失至少1200万美元

https://www.theregister.com/2023/11/16/royal_mail_recovery_from_ransomware/

谷歌推出了新的Titan安全密钥

https://www.securityweek.com/google-adds-passkey-support-to-new-titan-security-key/

Fortinet提醒FortiSIEM的命令注入漏洞

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-command-injection-bug-in-fortisiem/