4月24日，星期一，您好！中科汇能与您分享信息安全快讯：

近日，美国律师协会（ABA）遇到了大麻烦，网络攻击者攻进其旧的网络系统，盗取了 1466000 名会员的旧系统登录凭据。

在与 Bleeping Computer 分享调查结果时，美国律师协会表示从事件调查结果来看，此次网络攻击事件波及 1466000 名老会员，未经授权网络攻击者从 2023 年 3 月 6  日左右就开始访问 ABA 的旧网络系统，最终成功进入并盗取了用户名、登录密码等一些信息。此外，虽然此次安全事件不是一次勒索软件攻击，但仍然需警惕威胁攻击者会滥用这些凭据的可能性。

美国律师协会指出，这些传统证书经过散列和加盐处理，意味着它们已经被安全人员从明文转换为更安全的格式。但是即使密码散列和加盐，随着时间的推移，威胁攻击者仍然有可能对密码进行去散列。

更糟糕的是，美国律师协会表示如果会员后续没有更改密码，那么用户密码可能是美国律师协会在注册账户时分配的默认密码。

谷歌云平台（GCP）中的一个安全漏洞可能允许网络攻击者将不可删除的恶意应用程序隐藏在受害者的谷歌帐户中，从而使该帐户处于永久、无法检测到的感染状态。

该漏洞被称为“GhostToken”，由Astrix Security研究人员发现并报告。根据该团队的分析，该恶意应用程序可能为一系列令人震惊的邪恶活动铺平了道路，包括阅读受害者的 Gmail 帐户、访问 Google 云端硬盘和 Google 相册中的文件、查看 Google 日历以及通过 Google 地图跟踪位置。

有了这些信息，攻击者就可以制造出极具说服力的冒充和网络钓鱼攻击，甚至将人置于人身危险之中。

针对3CX的级联供应链攻击背后的多产朝鲜黑客组织Lazarus还使用木马化X_TRADER应用程序破坏了电力和能源领域的两个关键基础设施组织以及另外两家参与金融交易的企业。

Mandiant透露，上个月3CX桌面应用软件的入侵是由2022年针对X_TRADER的另一个软件供应链漏洞促成的，该漏洞被下载到他们的个人计算机上。

Mandiant的调查显示，注入损坏的X_TRADER应用程序中的后门（称为VEILEDSIGNAL）允许攻击者访问员工的计算机并窃取他们的凭据，然后使用它来破坏3CX的网络，横向移动，并破坏Windows和macOS构建环境以插入恶意代码。

攻击者正在使用Eval PHP，一个过时的合法WordPress插件，通过注入隐蔽的后门来破坏网站。

Eval PHP是一个旧的WordPress插件，它允许网站管理员在WordPress网站的页面和帖子上嵌入PHP代码，然后在浏览器中打开页面时执行代码。

该插件在过去十年中没有更新，通常被认为是废弃软件，但它仍然可以通过WordPress插件存储库获得。

与传统的后门注入相比，这种方法的主要优点是 Eval PHP 可以重复使用来重新感染已清理的站点，同时保持相对隐藏的妥协点。

随着网络预约挂号的广泛应用，医院“号贩子”作案手段也随之升级，从最初的排队霸占挂号窗口、抢占挂号热线等传统抢号手段，转战到互联网，严重影响群众正常看病就诊。近日，重庆大渡口警方通报经过缜密侦查，在“净网行动”中成功打掉一个“网络号贩子”团伙，抓获全部犯罪嫌疑人2名。

犯罪嫌疑人逯某在网上发布信息找寻需要挂号的病患，联系后获取对方身份信息、挂号的医院科室，并将信息发给另外一名犯罪嫌疑人杨某。杨某则利用自己制作的抢号软件，侵入医院的挂号系统抢号囤号。抢号成功后，他们将医院挂号信息发给患者，收取高额报酬，一个号少则加收几百元，多则加收上千元。

近段时间以来，随着明星塌房事件密集曝出，有不法分子开始利用“明星塌房”来传播病毒，利用“独家爆料”、“私密视频”、“聊天记录”等噱头来吸引用户下载运行恶意软件。

例如，国内杀毒软件厂商火绒发现，一种名为RdPack的病毒伪装成某热点明星私密聊天文件（XXXXX聊天记录曝光.exe），在微信群中大肆传播。该经安全人员分析发现，运行病毒后会释放并静默执行RdViewer远控软件，攻击者可通过RdViewer远控软件来操控受害者终端，并执行如文件窃取、监控麦克风和摄像头等恶意功能。

而在不久前，该厂商还发现另一款名为DcRat的后门病毒新变种，伪装成各类吸引眼球的文件，在微信等社交平台上传播，并诱导用户打开，随后实施收集信息等恶意行为。火绒官方表示，该病毒启动后，会从CC服务器下载执行shellcode，在shellcode中会内存加载.NET后门模块来躲避杀毒软件的查杀，为了防止自身暴露，病毒还会结束安全工具和安全软件进程。

美国网络安全和基础设施安全局（CISA）周五在其已知漏洞（KEV）目录中添加了三个安全漏洞，基于积极利用的证据。

这三个漏洞如下——

CVE-2023-28432（CVSS 分数 - 7.5） - MinIO 信息泄露漏洞

CVE-2023-27350（CVSS 分数 - 9.8） - PaperCut MF/NG 不当访问控制漏洞

CVE-2023-2136（CVSS 分数 - 待定） - 谷歌浏览器 Skia 整数溢出漏洞

GreyNoise收集的数据显示，在过去18天内，来自美国，荷兰，法国，日本和芬兰的多达30个独特的恶意IP地址试图利用该漏洞。

在野外发现的大规模攻击活动一直在利用Kubernetes（K8s）基于角色的访问控制（RBAC）来创建后门并运行加密货币矿工。

“攻击者还部署了DaemonSets来接管和劫持他们攻击的K8s集群的资源，”云安全公司Aqua在与The Hacker News分享的一份报告中表示。这家被称为攻击RBAC Buster的以色列公司表示，它发现了60个暴露的K8s集群，这些集群已被该活动背后的威胁行为者利用。

攻击链开始时，攻击者通过配置错误的API服务器获得初始访问权限，然后检查受感染服务器上竞争矿工恶意软件的证据，然后使用RBAC设置持久性。

在针对其 K8s 蜜罐观察到的入侵中，攻击者试图将暴露的 AWS 访问密钥武器化，以获得在环境中的根深蒂固的立足点、窃取数据并逃离集群的范围。

“AuKill”网络犯罪工具已经出现，威胁行为者正在使用该工具在部署勒索软件之前禁用企业使用的端点检测和响应 （EDR） 防御。它利用恶意设备驱动程序渗透系统。

在最近的两起事件中，Sophos 的研究人员观察到对手在部署美杜莎储物柜勒索软件之前使用 AuKill;还有一次，安全供应商在安装 LockBit 勒索软件之前发现攻击者在已经受到感染的系统上使用 EDR 杀手。

Sophos威胁研究高级经理Christopher Budd表示，这一趋势是对EDR工具有效性不断提高的回应。“威胁行为者开始认识到，EDR代理在发现攻击方面为安全供应商提供了显着的优势，”他说。“威胁行为者正在瞄准给他们带来最大麻烦的工具。

美国国土安全部（DHS）负责人宣布成立第一个人工智能工作组。新的工作组旨在保护国家免受人工智能技术尖端进步（如ChatGPT）造成的安全威胁。

安全机构计划在各个方面利用人工智能，从保护关键基础设施到检查货物，再到挑选用奴隶劳动制造的产品。

该机构计划利用该技术来提高国家供应链的完整性，特别是在更广泛的贸易环境方面。

自从OpenAI去年11月发布其流行的AI聊天机器人ChatGPT以来，世界各地的政府官员和智库一直在争先恐后地寻找Mayorkas所说的“最佳平衡点”，以公共安全的名义允许创新自由流动和规范AI技术的闪电发展。