Google Play中恶意软件Autolycos已被下载300万次；微软披露macOS沙盒逃逸漏洞CVE-2022-26706

1、Google Play中恶意软件Autolycos已被下载300万次

     据媒体7月13日报道，Google Play商店中存在一个新的Android恶意软件Autolycos，下载量已超过300万次。Autolycos会秘密为用户订阅高级服务，至少存在于8个Android应用中，如Vlog Star Video Editor（100万次下载）和Creative 3D Launcher（100万次下载）等，Evina研究人员在2021年6月发现这些应用。Autolycos会隐蔽地执行攻击，并可以访问目标的SMS文本消息。目前，Google已在Play商店中删除了这些应用。

https://www.bleepingcomputer.com/news/security/new-android-malware-on-google-play-installed-3-million-times/

2、微软披露macOS沙盒逃逸漏洞CVE-2022-26706的细节

      7月13日，微软披露了macOS中的一个漏洞（CVE-2022-26706），它可通过特制代码绕过沙盒限制并在系统上执行代码。研究人员解释称，该漏洞是在macOS上运行和检测Microsoft Office文档中的恶意宏方法时发现的。为确保向后兼容，Microsoft Word可以读写带有前缀"~$"的文件，这是在应用程序的沙盒规则中定义的。使用Launch Services对一个带有上述前缀的特殊Python文件运行open -stdin命令，可以在macOS上的App沙盒逃逸，并入侵系统。该漏洞在今年5月的macOS安全更新(Big Sur 11.6.6)中修复。

https://www.microsoft.com/security/blog/2022/07/13/uncovering-a-macos-app-sandbox-escape-vulnerability-a-deep-dive-into-cve-2022-26706/

3、AMD和Intel CPU易受推测执行攻击Retbleed的影响

      据7月13日报道，苏黎世联邦理工学院的研究人员发现了可影响AMD和Intel CPU的新推测执行攻击Retbleed。Retbleed也称为Spectre-BTI，包含2个漏洞CVE-2022-29900(AMD)和CVE-2022-29901(Intel)，可绕过当前的防御并导致基于Spectre的攻击。虽然许多操作系统使用了像Retpoline这样的保护措施来防御分支目标注入(BTI)，但Retbleed可以绕过这种策略，劫持内核中的返回指令并执行任意推测性代码。

https://thehackernews.com/2022/07/new-retbleed-speculative-execution.html

4、巴基斯坦空军总部遭到印度团伙Sidewinder的攻击

      Check Point7月13日称，巴基斯坦空军总部遭到了疑似印度APT组织Sidewinder的攻击。2022年5月，与攻击活动相关的多个恶意软件样本和两个加密文件被上传到VirusTotal。在解密文件后，CPR发现一个与Sidewinder团伙相关的.NET DLL，该团伙主要针对巴基斯坦的实体。第二个加密文件包含了目标设备上所有文件的列表，其中大部分与军事和航空有关。此外，被攻击系统的用户名包括AHQ-STRC3，而AHQ代表巴基斯坦空军总部。

https://blog.checkpoint.com/2022/07/13/a-hit-is-made-suspected-india-based-sidewinder-apt-successfully-cyber-attacks-pakistan-military-focused-targets/

5、美国追债公司PFC近200万医疗数据在勒索攻击后泄露

      媒体7月14日称，美国收债公司Professional Finance Company(PFC)泄露了650多家医疗机构的190万人的信息。PFC主要为医疗公司追讨未偿债务，在2月26日发现其遭到了勒索攻击，直到5月初才通知该事件。PFC的声明称未经授权的第三方访问了包含个人信息的文件，虽然并未透露受影响的个人数量，但卫生与公众服务部(DHHS) 网站显示，有1918841人受到此事件的影响。PFC正在联系可能受到影响的个人，并将为他们提供免费的信用监控。

https://www.infosecurity-magazine.com/news/healthcare-records-breaches/

6、Zscaler发布Qakbot使用的多个新技术的分析报告

      7月12日，Zscaler发布了关于恶意软件Qakbot的技术分析报告。Qakbot自2008年开始活跃，是一种窃取密码的常见木马，近期，Qakbot背后的运营团伙正在更新其传播载体，以试图绕过检测。攻击者通过使用ZIP文件扩展名以及具有常见格式的文件名和Excel(XLM) 4.0来诱使目标下载安装Qakbot恶意附件，除此之外，攻击者还在使用了其它技术来绕过自动检测并提高的攻击成功率，包括混淆代码、利用多个URL来分发payload和使用未知的文件扩展名来分发payload等。

https://www.zscaler.com/blogs/security-research/rise-qakbot-attacks-traced-evolving-threat-techniques

pyCobaltHound

      是Cobalt Strike的Aggressor脚本扩展。

https://github.com/NVISOsecurity/pyCobaltHound

WebView2 Cookie Stealer

      使用WebView2应用程序进行攻击。

https://github.com/mrd0x/WebView2-Cookie-Stealer

Dlinject

      将共享库（IE任意代码）注入实时Linux进程，无需Ptrace。

https://github.com/DavidBuchanan314/dlinject

Windows 8.1将在2023年1月终止支持

https://www.bleepingcomputer.com/news/microsoft/windows-81-now-shows-full-screen-end-of-support-warnings/

虚假版本的WhatsApp窃取个人信息

https://blog.malwarebytes.com/cybercrime/2022/07/whatsapp-warns-users-fake-versions-of-whatsapp-are-trying-to-steal-your-personal-info/

Cobalt Strike 分析与教程：CS 元数据加解密

https://unit42.paloaltonetworks.com/cobalt-strike-metadata-encryption-decryption/

上一季度勒索软件活动增加了五分之一 

https://www.infosecurity-magazine.com/news/ransomware-activity-resurges-q2/

新勒索团伙Lilith列出首个被攻击目标

https://www.bleepingcomputer.com/news/security/new-lilith-ransomware-emerges-with-extortion-site-lists-first-victim/

雷蛇以超过700万美元起诉IT公司Capgemini要求赔偿数据泄露

https://vulcanpost.com/795473/razer-capgemini-full-compensation/

推荐阅读：

AWS的多个Log4Shell热补丁可导致容器逃逸和权限提升

研究人员演示绕过CPU中漏洞Spectre硬件防御的新方法