安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、安全巨头Rubrik表示有黑客利用Fortra 零日漏洞窃取内部数据（3.14）

总部位于硅谷的数据安全公司Rubrik成为了Fortra GoAnywhere 零日漏洞的最新受害者，该漏洞与针对一家连锁医院和一家银行的黑客攻击相关。

详细情况

Rubrik首席信息安全官Michael Mestrovich在周二发表的一篇博客文章中表示，由于Fortra的文件传输软件GoAnywhere存在漏洞，而Rubrik使用GoAnywhere来共享内部数据，因此攻击者已经获得了对公司非生产 IT 测试环境的访问权限。

安全记者Brian Krebs公开分享了与Fortra进行的付费安全咨询，这一漏洞被追踪为CVE-2023-0669，首次于2月2日被发现，Fortra于2月7日发布了这个被活跃利用的漏洞的补丁。

Mestrovich表示，自从上个月得知该漏洞后，Rubrik与一家未透露姓名的第三方公司对受影响的数据进行了“全面审查”，发现被访问的数据主要包括Rubrik内部销售信息，“某些客户和合作伙伴公司名称、业务联系信息以及来自Rubrik分销商的有限数量的采购订单”。

Mestrovich还说:“第三方公司也证实，没有泄露任何敏感的个人数据，如社会保险号、金融账号或支付卡号码等。Rubrik提供内部部署、云和混合网络的企业数据管理和备份服务。

与俄罗斯有联系的Clop团伙声称，利用这一零日漏洞从130多个组织中窃取了数据，其中包括Hatch银行和社区卫生系统。社区医疗系统上周在向缅因州总检察长办公室提交的文件中证实，黑客窃取了医疗账单和保险信息、诊断和药物数据以及社保号码。

早在2019年，Rubrik就遭遇过一次漏洞攻击，暴露了庞大的客户信息数据库。一台无密码保护的服务器被暴露，泄露了的数据达数十GB，包括每个企业客户的客户名称、联系信息和案件处理。任何知道服务器IP地址的人都可以访问这些数据。

参考链接

https://techcrunch.com/2023/03/14/security-giant-rubrik-says-hackers-used-fortra-zero-day-to-steal-internal-data/?&web_view=true&guccounter=1&guce_referrer=aHR0cHM6Ly9jeXdhcmUuY29tLw&guce_referrer_sig=AQAAAMCPPcjoMN9xQEaf6kAL0P6OJ54iiIr2EAkCUQH5hGmVd_37_tM0yLSvGcqV9uPf9X1YaAJ_7_29Zr6WrNgWHL9sF8QO9PHVjiDQus8-4VDjY6LGG0aYBOXCemuZaUHdtOftyDC4Sy6zwkZbtEP2uUMoCJsw1Y-Fu3N0Ew-GqTg2

二、俄罗斯相关的APT29在最近的攻击中滥用欧盟的信息交换系统（3.15）

与俄罗斯有联系的 APT29 组织滥用欧洲国家使用的合法信息交换系统来攻击政府实体。

详细情况

3月初，BlackBerry研究员发现了一项新的针对欧盟国家的网络间谍活动。黑客瞄准了外交实体和传输该地区政治敏感信息的系统，帮助乌克兰公民逃离国家，帮助乌克兰政府。

攻击链始于一封鱼叉式网络钓鱼电子邮件，其中包含一个武器化文档，内含一个可以下载HTML文件的链接。

该HTLM文件托管在一个合法的在线图书馆网站上，该网站可能是在2023年1月底至2023年2月初之间被威胁行为者破坏的。

黑莓发布的分析报告写道：“其中一个诱饵吸引了想知道波兰大使2023年日程安排的人。这次访问与Marek Magierowski大使最近访问美国的时间重叠，2月2日他在华盛顿特区的美国天主教大学哥伦布法学院(也被称为天主教法)发表了讨论乌克兰战争的演讲。

APT29组织还滥用了多个合法系统，其中包括欧盟国家用于安全交换信息和数据的legislwrite和eTrustEx。

BugSplatRc64.dll文件允许网络间谍收集和窃取有关受感染系统的信息。

参考链接

https://securityaffairs.com/143545/apt/apt29-abused-information-exchange-systems.html?web_view=true