安全简讯（2023.11.29）

每日头条

1、Chrome发布紧急更新修复漏洞CVE-2023-6345

Google在11月28日发布紧急安全更新，修复了今年的第6个Chrome零日漏洞（CVE-2023-6345）。该漏洞源于Skia开源2D图形库中的一个整数溢出漏洞，可能导致宕机和执行任意代码等。这种漏洞经常被与国家相关的黑客利用，执行各种间谍活动。浏览器将自动检查更新，并在下次启动时为不想手动更新的用户进行安装。Google表示，在大多数用户更新浏览器之前，会限制对漏洞详细信息的访问。

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-6th-zero-day-exploited-in-2023/

2、日本通讯应用Line泄露数十万条员工和用户的数据

据11月27日报道，科技公司LY Corp.报告了一起大规模数据泄露事件，称44万条个人数据泄露，其中包括30多万条与通讯应用Line相关的数据。攻击发生在10月9日，其韩国子公司Naver Cloud Corp.的一名员工的电脑感染了恶意软件，导致未经授权的访问。该公司于10月29日确认了数据泄露，并花了大约一个月的时间来确认泄露规模。此次事件泄露了用户的个人信息和一些服务使用历史，以及有公司合作伙伴和员工的个人信息。

https://japantoday.com/category/national/line-operator-says-400-000-personal-data-items-possibly-leaked

3、Ardent遭到勒索攻击导致美国多家医院被迫转移患者

据媒体11月27日报道，Ardent Health Services遭到勒索攻击，影响了多家医院的运营。该公司在美国的6个州运营了30多家医院。自感恩节以来，当地的多家媒体报道，他们所在地区的医院正在应对勒索攻击，并不得不转移急诊患者，研究人员推测这些攻击是相互关联的。Ardent在本周一透露，他于11月23日上午意识到遭到了勒索攻击。为此，他们暂时中断了所有用户对其应用的访问，包括公司服务器、Epic软件、互联网和临床程序。

https://therecord.media/ardent-health-services-ransomware-hospitals-divert-ambulances

4、斯洛文尼亚最大电力公司HSE遭到疑似Rhysida的攻击

媒体11月27日称，斯洛文尼亚电力供应商Holding Slovenske Elektrarne(HSE)遭到勒索攻击。HSE是斯洛文尼亚最大的发电公司，约占国内产量的60%，是该国的关键基础设施。HSE在上周三遭到攻击，并于周五控制住了攻击。该公司的发电业务并未受到影响，但是IT系统和文件被加密了。目前，该公司尚未收到赎金要求，并声明称该事件不会导致运营中断和经济损失，仅影响了Šoštanj热电厂和Velenje煤矿的网站。当地媒体获得的非官方信息显示，攻击归因于勒索团伙Rhysida。

https://www.bleepingcomputer.com/news/security/slovenias-largest-power-provider-hse-hit-by-ransomware-attack/

5、SentinelOne发布RustBucket和KandyKor活动的分析

11月27日，SentinelOne发布报告称，朝鲜攻击团伙“混合”了RustBucket和KandyKorn活动的不同组件，并使用SwiftLoader droppers来传播KandyKorn payloads。RustBucket活动使用冒充PDF阅读器的SwiftLoader，在目标查看诱饵文档时加载Rust开发的下一阶段恶意软件。KandyKorn活动是针对加密货币交易平台区块链工程师的复杂多阶段攻击。此外，研究人员还将名为ObjCShellz的macOS恶意软件与RustBucket活动联系起来。

https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads/

6、McAfee发布关于NetSupport新变体的分析报告

11月27日，McAfee发布了关于NetSupport新变体的分析报告。该恶意软件主要针对美国和加拿大，近期的新变体开始通过JavaScript进行分发。感染始于混淆的JavaScript文件，执行后会调用Windows Script Host(wscript.exe)。随后，wscript.exe进程启动PowerShell，使用特定命令来进行感染。然后，PowerShell继续下载NetSupport payload，这是一种恶意远程管理工具。下载后，恶意软件会执行二进制文件client32.exe，这是NetSupport客户端，负责建立对目标系统的控制。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/beneath-the-surface-how-hackers-turn-netsupport-against-users/

安全动态

Microsoft弃用Defender Application Guard for Office

https://www.bleepingcomputer.com/news/microsoft/microsoft-deprecates-defender-application-guard-for-office/

针对独立游戏制造商的勒索软件攻击清除了所有玩家帐户

https://www.bleepingcomputer.com/news/security/ransomware-attack-on-indie-game-maker-wiped-all-player-accounts/

Reptar：英特尔处理器中的漏洞

https://www.kaspersky.com/blog/reptar-cpu-vulnerability/49926/

APT团伙WildCard的分析

https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat/

2024 年网络安全预测

https://www.cybereason.com/blog/2024-cybersecurity-predictions-generative-ai-reshapes-cybersecurity