安全简讯（2023.11.22）

1、美国爱达荷国家实验室数千名员工的详细信息被公开

      据媒体11月20日报道，黑客SiegedSec在暗网公开了爱达荷国家实验室(INL)员工的数据。INL是美国能源部运营的核研究中心，拥有5700名原子能、综合能源和国家安全领域的专业人员。周一，SiegedSec宣布已获得INL系统的访问权限，其中包括“数十万”员工、用户和公民的详细信息。攻击者发布了泄露信息的样本，涉及社会安全号、医疗保健信息和银行账户等。其中一个包含详细员工信息的文件有58000多行数据，涵盖在职、退休和离职员工。

https://cyberscoop.com/idaho-national-laboratory-siegedsec/

2、巴黎污水处理机构SIAAP遭到攻击外部连接暂时断开

      据11月21日报道，为巴黎及其周边地区900万人提供污水处理服务的机构SIAAP遭到攻击。SIAAP管理着法国四个省近275英里的管道，它在发现攻击后已关闭所有外部连接，来防止攻击的传播。工作人员表示，他们已采取措施，以维持法兰西岛居民公共卫生服务的连续性。一份紧急命令已授权该机构聘请安全公司并购买设备，来恢复或还原他们工作所需的系统。目前，没有黑客团伙声称对这次攻击负责。

https://therecord.media/paris-wastewater-agency-hit-cyberattack

3、Rhysida团伙以20 BTC的价格拍卖大英图书馆的数据

      媒体11月20日称，勒索团伙Rhysida将大英图书馆添加到其Tor泄露网站。该团伙声称窃取了大量“令人印象深刻的数据”，并以20 BTC的价格进行拍卖。Rhysida计划将这些数据卖给唯一的买家，并留出7天的时间。攻击发生于10月28日，导致IT系统持续的中断，影响了大英图书馆的在线系统、服务和Wi-Fi等。大英图书馆在20日发帖证实了其人力资源文件被盗的消息，并提醒用户重置密码以防万一。还表示预计在未来几周内恢复许多服务，但部分中断可能会持续很长一段时间。

https://securityaffairs.com/154473/data-breach/rhysida-ransomware-gang-british-library.html

4、汽车零件公司AutoZone通知数万客户其数据已泄露

      11月21日报道称，美国汽车零部件零售商和分销商AutoZone泄露了超过18万人的数据。AutoZone年收入近175亿美元，每月有3500万用户访问其在线商店。AutoZone在21日通知美国当局它在5月28日发生了数据泄露，影响184995人。8月15日左右，AutoZone确定，未经授权的第三方利用MOVEit中的漏洞窃取了AutoZone系统中的某些数据。之后，该公司又花了3个月的时间来确定哪些数据被盗，以及需要通知哪些人。

https://www.bleepingcomputer.com/news/security/auto-parts-giant-autozone-warns-of-moveit-data-breach/

5、研究人员演示如何从SSH服务器签名错误中提取RSA密钥

      媒体11月19日报道，研究人员发现，在某些条件下，被动攻击者有可能从导致SSH连接尝试失败的错误中提取RSA密钥。如果使用CRT-RSA的签名程序在签名计算过程中出现故障，观察到该签名的攻击者就有可能计算出签名者的私钥。尽管此类错误很少见，但由于硬件缺陷，它们是不可避免的。只要有足够大的数据池，攻击者就可以找到并利用许多机会。这只影响了旧版TLS，TLS 1.3通过加密建立连接的握手过程解决了这一问题，从而防止窃听者读取签名。

https://www.bleepingcomputer.com/news/security/researchers-extract-rsa-keys-from-ssh-server-signing-errors/

6、Outpost24发布关于信息窃取软件Lumma的分析报告

      11月20日，Outpost24发布了关于信息窃取软件Lumma的分析报告。Lumma（又名LummaC2）由C语言开发，自2022年12月起在地下论坛上出售。该恶意软件在绕过检测和阻止自动分析方面进行了重大更新，包括控制流扁平化混淆、human-mouse活动检测、XOR加密字符串、支持动态配置文件以及在所有构建中强制使用加密技术。其中最有趣的是使用三角法检测human-mouse活动，这项技术考虑了光标在短时间内的不同位置，以检测人类活动，从而有效地绕过了大多数无法真实模拟鼠标移动的分析系统的检测。

https://outpost24.com/blog/lummac2-anti-sandbox-technique-trigonometry-human-detection/

TOR项目删除与可疑加密货币计划相关的多个中继

https://securityaffairs.com/154535/digital-id/tor-project-removed-relays.html

CISA发布《缓解指南：医疗保健和公共卫生(HPH)部门》

https://www.cisa.gov/news-events/alerts/2023/11/17/cisa-releases-mitigation-guide-healthcare-and-public-health-hph-sector

NCSC宣布新的IoC标准

https://www.infosecurity-magazine.com/news/ncsc-standard-indicators-of/

微软修复Office登录错误“出问题了”

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-something-went-wrong-office-sign-in-errors/

通过恶意文件传播的Konni攻击活动

https://www.fortinet.com/blog/threat-research/konni-campaign-distributed-via-malicious-document

APT29利用Ngrok功能和WinRAR漏洞攻击大使馆

https://www.bleepingcomputer.com/news/security/russian-hackers-use-ngrok-feature-and-winrar-exploit-to-attack-embassies/

网络安全公司高管承认对医院进行黑客攻击

https://www.bleepingcomputer.com/news/security/cybersecurity-firm-executive-pleads-guilty-to-hacking-hospitals/

INC勒索软件的威胁警报

https://www.cybereason.com/blog/threat-alert-inc-ransomware

Randstorm漏洞：2011-2015年创建的比特币钱包容易遭受黑客攻击

https://thehackernews.com/2023/11/randstorm-exploit-bitcoin-wallets.html

由Phobos勒索软件构成的VX-Underground恶意软件集合

https://www.bleepingcomputer.com/news/security/vx-underground-malware-collective-framed-by-phobos-ransomware/

推荐阅读：