安全简讯（2023.11.28）

每日头条

1、Google Drive用户称云服务中的存储数据丢失

据媒体11月27日报道，Google Drive用户报告称，最近存储在云中的文件突然消失了，云服务恢复到了2023年4月到5月左右的存储快照。受影响帐户的活动日志显示用户最近没有任何修改，确认不是用户意外删除了数据。总之，没有迹象表明是用户出错，而是服务系统出了问题，导致本地设备和Google Cloud之间的数据无法同步。一些用户的离线缓存中可能包含丢失的数据，但目前还没有方法来恢复对其中数据的访问。Google已经在调查这个问题，尚未提供修复的预计时间，建议用户在问题得到解决之前不要对root/data文件夹进行更改。

https://www.bleepingcomputer.com/news/google/google-drive-users-angry-over-losing-months-of-stored-data/

2、TransUnion和Experian疑似遭到攻击并被勒索6千万美元

11月23日报道称，南非最大的两家消费者信用报告机构TransUnion和Experian疑似遭到网络攻击，用户的财务和个人数据面临风险。N4ughtySecTU团伙此前曾攻击过TransUnion，这次再次绕过了该公司的防火墙和安全系统，成功窃取了数据。攻击者向TransUnion勒索3000万美元，并向Experian勒索3000万美元。TransUnion和Experian透露已收到勒索要求，但表示没有发现数据泄露。目前，攻击者尚未提供关于攻击活动和数据泄露的证据。

https://www.businesslive.co.za/bd/national/2023-11-23-hackers-demand-60m-from-transunion-and-experian-claiming-data-theft/

3、DEX平台KyberSwap遭到攻击损失高达5470万美元

据11月27日报道，DEX平台KyberSwap透露其遭到攻击，价值约5400万美元的加密货币被盗。攻击发生在上周三晚间，攻击者通过一系列复杂的动作将用户的资金提取到攻击者的钱包中。对此，该平台暂停了存款，展开了调查，联系了相关各方，并与攻击者展开谈判来尽可能追回损失，包括提供10%的赏金作为返还被盗资金的奖励。多家区块链安全公司和研究人员称，此次攻击活动非常复杂。

https://therecord.media/kyberswap-crypto-platform-54-million-hack

4、IT公司Appscook配置错误泄露数百所学校的学生信息

媒体11月24日称，IT公司Appscook由于系统配置错误，泄露了大量未成年人的数据。研究人员称，开放的DigitalOcean存储桶包含近一百万个敏感文件，涉及学生和家长姓名、照片、出生证明和家庭住址等。该公司开发的应用程序被印度和斯里兰卡的600多所学校用于教育管理，其官网称超过50万学生和100万家长使用该平台。目前，研究人员已联系了Appscook，但尚未收到回复。

https://securityaffairs.com/154743/security/app-used-by-hundreds-of-schools-leaking-childrens-data.html

5、AhnLab披露Andariel利用漏洞CVE-2023-46604的详情

11月27日，AhnLab在监控Andariel团伙近期的攻击时，发现其利用Apache ActiveMQ远程代码执行漏洞（CVE-2023-46604）安装恶意软件。AhnLab发现某个系统中被安装了Andariel过去一直使用的后门NukeSped。调查显示，该系统中安装了Apache ActiveMQ服务器，并确认其中存在自该漏洞信息发布以来的各种攻击的日志，包括涉及HelloKitty勒索软件的攻击日志。目前还没有直接日志，但研究人员推测Andariel正在利用该漏洞来安装NukeSped和TigerRat后门。

https://asec.ahnlab.com/en/59318/

6、IBM发布关于WailingCrab及其C2通信的分析报告

11月23日报道，IBM发布报告概述了WailingCrab及其C2通信，重点介绍了其对MQTT协议的使用。攻击链始于包含PDF附件的邮件，使用了逾期交货和运输发票等主题。其中包含恶意URL，点击就会下载一个JavaScript文件，该文件检索并启动Discord上托管的WailingCrab加载程序。此外，自2023年中期以来，WailingCrab后门组件和C2之间的通信是使用MQTT协议执行的，该协议是一种轻量级IoT消息传递协议。

https://thehackernews.com/2023/11/alert-new-wailingcrab-malware-loader.html

安全动态

CISA和NCSC公布安全人工智能系统开发的联合指南

https://www.cisa.gov/news-events/alerts/2023/11/26/cisa-and-uk-ncsc-unveil-joint-guidelines-secure-ai-system-development

针对欧洲能源行业的网络攻击激增

https://www.politico.eu/article/energy-power-europe-grid-is-under-a-cyberattack-deluge-industry-warns/

HrServ – APT攻击中使用的新Web shell

https://securelist.com/hrserv-apt-web-shell/111119/

伪装成VX-Underground的Phobos勒索软件

https://blog.qualys.com/vulnerabilities-threat-research/2023/11/23/unveiling-the-deceptive-dance-phobos-ransomware-masquerading-as-vx-underground

恶意Telegram机器人Telekopye的运营细节

https://www.welivesecurity.com/en/eset-research/telekopye-chamber-neanderthals-secrets/