安全简讯（2023.12.04）

1、Binarly发现影响UEFI中图像解析组件的漏洞LogoFAIL

      据媒体11月30日报道，Binarly发现了统称为LogoFAIL的多个安全漏洞，可影响各个供应商的UEFI代码中的图像解析组件。研究人员发现，攻击者可以将恶意图像或logo存储在EFI系统分区(ESP)或固件更新的未签名部分中。以这种方式植入恶意软件可确保在系统中持续存在，几乎不会被发现。Binarly已经确定英特尔、宏碁、联想和其它供应商的数百个型号可能存在漏洞，定制UEFI固件代码的三大独立提供商AMI、Insyde和Phoenix也是如此。目前，该漏洞的具体影响范围仍在确定中。

https://www.bleepingcomputer.com/news/security/logofail-attack-can-install-uefi-bootkits-through-bootup-logos/

2、美国公司Staples遭到网络攻击业务运营受到影响

      媒体11月30日称，美国办公用品零售商Staples遭到网络攻击后关闭了部分系统。自上周一以来，Staples遇到了各种内部运营问题，包括无法访问Zendesk、VPN员工门户、打印电子邮件和使用电话线等。有员工称，一切都处于宕机状态，在门店工作无法访问电子邮件、bizfit、pogs和电子服务台。Staples表示他们在11月27日发现攻击后立即采取了响应措施，但这导致其后台处理和交付以及通信渠道和客户服务暂时中断。据悉，这次攻击中没有安装勒索软件，也没有文件被加密。

https://www.bleepingcomputer.com/news/security/staples-confirms-cyberattack-behind-service-outages-delivery-issues/

3、约60家信用合作社因供应商被勒索攻击服务暂时中断

      12月2日报道称，云服务提供商Ongoing Operations遭到了勒索攻击，它隶属于信用社技术公司Trellance。国家信用社管理局(NCUA)表示，部分信用社收到了来自Ongoing Operations的信息，透露该公司在11月26日遭到了勒索攻击。目前，调查仍在进行中，现已确认约60家信用合作社由于第三方服务提供商遭到攻击，正在经历一定程度的服务中断。

https://therecord.media/credit-unions-facing-outages-due-to-ransomware

4、挪威劳工和福利管理局因数据泄露被罚款185万美元

      据12月3日报道，挪威劳工和福利管理局(NAV)被挪威监管局（Datatilsynet）罚款170万欧元。挪威数据保护局在NAV的审计中发现了12起违反个人数据保护条例的行为。作为调查的一部分，DPA发现控制者未能采取适当的技术和组织措施来保护个人数据，例如IT系统没有得到充分的保护。此外，过多的员工可以访问个人数据，在某些情况下包括非常敏感的数据。同时，控制者未能对员工使用IT系统进行系统的控制。

https://www.databreaches.net/norwegian-labor-and-welfare-administration-fined-for-data-protection-failures/

5、Unit 42披露针对中东、非洲和美国等地的攻击活动

      Unit 42在12月1日披露了新后门Agent Raccoon，它被用于针对中东、非洲和美国等地的攻击活动。该活动主要针对教育、房地产、零售、非营利组织、电信公司和政府机构，攻击团伙被Unit 42追踪为CL-STA-0002。后门用.NET开发，并利用域名服务(DNS)协议与C2基础设施建立隐蔽的通信通道。Agent Raccoon在多次攻击中与其它两个工具结合使用，其中一个是窃取用户凭据的Network Provider DLL模块Ntospy，另一个是被称为Mimilite的定制版Mimikatz。

https://unit42.paloaltonetworks.com/new-toolset-targets-middle-east-africa-usa/

6、Kaspersky发布2023年Q3 IT威胁态势的分析报告

      12月1日，Kaspersky发布了2023年第三季度IT威胁态势的分析报告。报告中提及的有针对性的攻击分析包括：利用DroxiDat和Cobalt Strike攻击能源行业、利用CVE-2023-23397漏洞的攻击、针对工控行业的攻击中常见的TTP和伪造的Telegram应用等。其它恶意软件包括：针对Linux的供应链攻击、Cuba勒索团伙、泄露的Lockbit 3构建器、不断发展的恶意软件格局以及cryptor、stealer和banking Trojan等。

https://securelist.com/it-threat-evolution-q3-2023/111171/

谷歌浏览器的新缓存更改可以提高性能

https://www.bleepingcomputer.com/news/google/google-chromes-new-cache-change-could-boost-performance/

Zyxel修复NAS、防火墙和AP设备中的15个漏洞

https://thehackernews.com/2023/12/zyxel-releases-patches-to-fix-15-flaws.html

美国制裁Kimsuky黑客团伙

https://www.bleepingcomputer.com/news/security/us-govt-sanctions-north-koreas-kimsuky-hacking-group/

CISA发布首个安全设计警报

https://www.cisa.gov/news-events/alerts/2023/11/29/cisa-releases-first-secure-design-alert

WhisperPot - 创建全面的VoIP蜜罐系统

https://github.com/honeynet/whisperpot

ProcessStomping - 在可执行文件的部分执行 shellcode

https://github.com/naksyn/ProcessStomping

Apache NiFi代码执行漏洞CVE-2023-34212)的PoC

https://github.com/mbadanoiu/CVE-2023-34212

DICOM协议中的漏洞

https://claroty.com/team82/research/dicom-demystified-exploring-the-underbelly-of-medical-imaging

勒索软件Cactus利用Qlik Sense漏洞获得目标访问权限

https://arcticwolf.com/resources/blog/qlik-sense-exploited-in-cactus-ransomware-campaign/

推荐阅读：