安全简讯（2024.11.13）

1. 以色列信用卡系统遭疑似伊朗黑客DDoS攻击

11月10日，以色列各地的信用卡刷卡设备突发故障，导致超市和加油站的顾客无法进行支付，持续约一小时。据《耶路撒冷邮报》报道，故障原因是当地支付网关公司Hyp旗下的CreditGuard产品遭遇了分布式拒绝服务（DDoS）攻击，该攻击扰乱了信用卡终端与支付系统间的通信，但并未导致数据泄露。Hyp公司发言人表示，攻击主要针对部分服务及通信提供商，并已被迅速遏制，服务随后恢复。尽管尚不清楚攻击者身份，但以色列媒体指出，一个与伊朗有关的黑客组织声称负责。此次事件与10月份支付公司Sheba遭遇的类似DDoS攻击相似，当时攻击导致支付中断三小时。自10月7日恐怖袭击以来，以色列民用基础设施因地区冲突遭遇了更多网络攻击，主要由与伊朗和真主党相关的黑客团体及其他政治动机黑客发起，不仅影响以色列本土，还波及地区外的基础设施。

https://therecord.media/cyberattack-causes-credit-card-readers-in-israel-to-malfunction

2. 阿霍德德尔海兹美国网络遭攻击，多家知名超市运营受影响

11月13日，荷兰公司阿霍德德尔海兹，作为Stop & Shop、Hannaford、Food Lion和Giant Food等美国知名超市品牌的母公司，近期遭受了网络攻击，导致其遍布美国的2000多家门店出现问题。据各地新闻媒体报道，居民无法在线下超市完成食品杂货配送订单，部分超市品牌网站也已下线，尽管商店仍可接受信用卡付款并处理部分药品订单。阿霍德德尔海兹公司已通知执法部门，并与外部网络安全专家合作展开调查，同时采取措施评估和缓解问题，包括让一些系统离线以保护它们。此次攻击影响了公司的某些品牌和服务，包括一些药店和电子商务业务。截至12日下午，部分超市品牌网站已恢复，但Hannaford的网站仍处于瘫痪状态，并发布消息称恢复工作正在进行中，同时提醒客户药房和To Go订单受到的影响。目前尚无黑客组织声称对此次攻击负责，但零售店和超市经常成为勒索软件团伙和网络犯罪团伙的攻击目标。

https://therecord.media/dutch-company-stop-shop-hannaford-cyber

3. 朝鲜黑客利用合法签名应用攻击macOS系统

11月12日，朝鲜威胁行为者利用带有木马的记事本应用程序和基于Flutter框架的扫雷游戏攻击Apple macOS系统，这些应用和游戏均由合法的Apple开发者ID签名和公证，因此能够暂时通过Apple的安全检查，在macOS系统上不受限制地执行。这些应用程序的名称以加密货币为主题，与朝鲜黑客对金融盗窃的兴趣相符。据Jamf Threat Labs发现，这些活动看似是绕过macOS安全机制的实验，而非成熟行动。从2024年11月开始，Jamf在VirusTotal上发现多个看似无害却连接到朝鲜服务器的应用程序。这些应用程序使用Flutter框架构建，为恶意软件作者提供了多功能性且更难检测。Jamf还发现六个恶意应用程序中有五个已签名并公证，且存在基于Golang和Python的变体。苹果公司已撤销这些应用程序的签名，但尚不清楚它们是否曾在实际操作中使用过，还是仅用于测试评估绕过安全软件的技术。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-create-flutter-apps-to-bypass-macos-security/

4. GoIssue：新型GitHub网络钓鱼工具引发安全警报

11月12日，SlashNext网络安全研究人员发现了一种名为GoIssue的新型复杂网络钓鱼工具，该工具可能与GitLoker勒索活动有关，专门针对GitHub用户。GoIssue能从公共GitHub个人资料中系统收集电子邮件地址，并利用这些信息发起大规模、有针对性的网络钓鱼攻击。定制版本和完整源代码的访问分别售价700美元和3000美元。成功的攻击可能导致源代码被盗、供应链被攻击以及企业网络被入侵。据SlashNext报道，GitLoker团队成员Cyberluffy与GoIssue有关，这表明两种工具可能存在关联。GitHub用户应采用最佳在线安全实践，如强密码、双因素身份验证、警惕网络钓鱼邮件和定期检查OAuth应用权限，以保护自己和组织免受潜在损害。Sectigo高级研究员Jason Soroko指出，GoIssue不仅对GitHub构成重大威胁，也对其他开发者平台构成风险，开发者平台已成为高风险的战场，需要快速发展安全防御来应对这种普遍存在的威胁。

https://hackread.com/gitloker-goissue-tool-targets-github-phishing-users/

5. Form I-9 Compliance数据泄露影响人数远超预期

11月12日，员工资格验证解决方案提供商Form I-9 Compliance遭遇了数据泄露事件，其影响逐渐扩大，远超最初预期。该公司协助客户填写政府要求的I-9表格文件，用于验证在美国受雇个人的身份和工作许可。今年2月初，有人未经授权访问了其网络，4月12日这一入侵行为被发现，随后公司关闭了一些系统作为响应措施。最初，公司通知缅因州总检察长办公室称受影响的人数约为27,000人，但随后在10月份透露受影响人数已增加至近97,000人。而最近几天更新的数据显示，实际受影响的人数已超过193,000人。泄露的信息包括姓名和社会保险号，受影响的个人将获得免费的身份盗窃保护和信用监控服务。目前尚不清楚此次数据泄露是否涉及勒索软件攻击，也没有已知的勒索软件组织承认对此次入侵负责。

https://www.securityweek.com/form-i-9-compliance-data-breach-impacts-over-190000-people/

6. Microsoft Exchange 针对滥用欺骗漏洞的电子邮件添加警告

11月12日，微软披露了一个高严重性的Exchange Server漏洞（CVE-2024-49040），该漏洞由Solidlab安全研究员Vsevolod Kokorin发现，影响Exchange Server 2016和2019版本。该漏洞允许攻击者伪造传入电子邮件的合法发件人，提高恶意消息的有效性。问题源于SMTP服务器对收件人地址的解析差异以及电子邮件提供商允许使用不符合RFC标准的符号。微软在本月补丁星期二发布了更新，添加漏洞检测和警告横幅，虽然尚未修补该漏洞，但Exchange服务器现在将检测恶意电子邮件并添加警告。管理员启用默认安全设置后，系统将默认启用漏洞检测和电子邮件警告，并在检测到的可疑电子邮件中添加警告，提示用户不要相信未经验证的信息、链接或附件。微软建议用户保持该功能启用，以防止网络钓鱼攻击。

https://www.bleepingcomputer.com/news/security/unpatched-microsoft-exchange-server-flaw-enables-spoofing-attacks/