維他命每日安全簡訊(2023.07.13)

1、美國HCA Healthcare發生資料洩露影響約1100萬患者

據媒體7月11日報道,美國最大的醫療機構運營商之一HCA Healthcare發生資料洩露,影響約1100萬患者。7月5日,一名駭客開始在駭客論壇上出售據稱屬於HCA Healthcare的資料。還發布了被盜資料庫的樣本,並聲稱包含17個檔案和2770萬條記錄。攻擊者表示稱,這些資料包括2021年至2023年間創建的患者記錄。這次洩露事件似乎是第三方遭到攻擊導致的,HCA透露,資料是從一個用於自動格式化電子郵件的軟體系統的外部儲存位置洩露的。

https://www.infosecurity-magazine.com/news/patients-healthcare-data-breach/

2、德意志銀行稱供應商遭到攻擊導致其客戶的資訊洩露

據7月11日,德意志銀行(Deutsche Bank AG)稱一家服務提供商遭到攻擊,導致其客戶資料可能洩露。該銀行表示,受影響的客戶數量尚未確定,他們正在調查資料洩露的原因,並採取有針對性的措施。據悉,被入侵的服務提供商名為Majorel,負責在德國運營該銀行的帳戶切換服務,遭到了利用MOVEit Transfer漏洞的網路攻擊。該事件還影響了其它大型銀行和金融服務提供商,包括德國商業銀行、郵政銀行、Comdirect和ING。

https://www.bleepingcomputer.com/news/security/deutsche-bank-confirms-provider-breach-exposed-customer-data/

3、Cisco發現利用Windows策略漏洞載入惡意驅動程序的攻擊

Cisco Talos在7月11日稱其發現了利用Windows策略漏洞載入惡意核心模式驅動程序的攻擊活動。詳細來說,攻擊者利用多種開源工具來改變核心模式驅動程序的簽名日期,以載入使用過期證書籤名的惡意和未經驗證的驅動程序。在Windows Vista中,要求開發人員提交他們的驅動程序進行審核和簽名。為了防止舊版應用出現問題,微軟列出了三種例外情況,允許繼續載入舊版核心模式驅動程序。攻擊者利用了第三個策略,通過使用工具HookSignTool和FuckCertVerify,來更改惡意驅動程序的簽名日期。

https://blog.talosintelligence.com/old-certificate-new-signature/

4、Unit 42在PyPI中檢測到6個旨在竊取目標資訊的惡意包

7月11日,Unit 42透露其在Python包索引(PyPI)包管理器上發現了6個惡意包。這些包旨在竊取Windows使用者的應用程序憑據、個人資料和加密錢包的跟蹤資訊。研究人員表示,此次攻擊是模仿了駭客團伙W4SP,該團伙此前曾利用惡意軟體包執行過多次供應鏈攻擊。通過分析程式碼並追蹤包的開發者,發現開發者的使用者名用了一種模式,以1337作為後綴,這表明是通過自動進程創建了這些使用者。

https://unit42.paloaltonetworks.com/malicious-packages-in-pypi/

5、研究人員披露新無檔案惡意軟體PyLoose的惡意挖礦活動

7月11日報道稱,研究人員發現一種名為PyLoose的新型無檔案惡意軟體針對雲workload,劫持其計算資源以進行門羅幣加密貨幣挖掘。PyLoose基於Python,帶有預編譯的且base64 編碼的XMRig挖礦程序。PyLoose從記憶體中直接執行,因此極其隱蔽,很難被安全工具檢測到。Wiz於6月22日首次檢測到PyLoose攻擊,此後已確認至少200起此類新型惡意軟體的攻擊活動。目前無法將PyLoose歸因於任何攻擊團伙。

https://www.wiz.io/blog/pyloose-first-python-based-fileless-attack-on-cloud-workloads

6、ESET發佈2023上半年的威脅態勢的分析報告

7月11日,ESET發佈2023上半年的威脅態勢的分析報告。在2023年上半年,虛假的Android貸款應用程序增長了近90%。Emotet在上半年進行了三次不同的惡意郵件活動,旨在尋找一種有效的攻擊載體。幾個備受矚目的惡意軟體家族在測試將OneNote作為一種傳播機制。勒索詐騙和網路釣魚有所增加。針對MSSQL的攻擊呈上升趨勢,從2022年下半年的9.4億次增加到2023年上半年的17億次。

https://www.welivesecurity.com/wp-content/uploads/2023/07/eset_threat_report_h12023.pdf

安全動態

Microsoft將Azure Active Directory更名為Microsoft Entra ID

https://www.bleepingcomputer.com/news/microsoft/microsoft-rebrands-azure-active-directory-to-microsoft-entra-id/

ICS週二補丁:西門子和施耐德電氣修復50個漏洞

https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-50-vulnerabilities/

Mozilla發佈Firefox和Firefox ESR安全更新

https://www.cisa.gov/news-events/alerts/2023/07/11/mozilla-releases-security-update-firefox-and-firefox-esr

Apple修復並重新發布針對WebKit漏洞的補丁

https://www.bleepingcomputer.com/news/apple/apple-re-releases-zero-day-patch-after-fixing-browsing-issue/

瀏覽器劫持程序RedDriver

https://blog.talosintelligence.com/undocumented-reddriver/

Adobe週二補丁修復InDesign和ColdFusion中多個漏洞

https://www.securityweek.com/adobe-patch-tuesday-critical-flaws-haunt-indesign-coldfusion/

漏洞CVE-2023-36884被利用

https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/

針對政府服務的DDoS攻擊猛增168%

https://www.hackread.com/ddos-attacks-stormwall-q2-2023-report/

eBPFShield – 使用eBPF的IP情報和DNS監控

https://github.com/sagarbhure/eBPFShield

NimExec – Nim 中橫向移動的無檔案命令執行

https://github.com/frkngksl/NimExec

相關文章

CNNVD 通報微軟多個安全漏洞

CNNVD 通報微軟多個安全漏洞

近日,CNNVD(國家資訊安全漏洞庫)正式通報微軟多個安全漏洞,其中微軟產品本身漏洞77個,影響到微軟產品的其他廠商漏洞8個。包括Micro...

CNNVD通報Oracle多個安全漏洞

CNNVD通報Oracle多個安全漏洞

近日,CNNVD通報Oracle多個安全漏洞,其中Oracle產品本身漏洞60個,影響到Oracle產品的其他廠商漏洞247個。包括Orac...

維他命每日安全簡訊(2023.06.25)

維他命每日安全簡訊(2023.06.25)

1、Pilot Credentials被黑洩露美國航空和西南航空部分資訊 據媒體6月24日報道,全球最大的兩家航空公司美國航空和西南航空披露...