每日头条
1、Resecurity披露通过武器化Office文档分发的Escanor
8月21日,Resecurity称在暗网和Telegram中发现了一种名为Escanor的新RAT。该工具于今年1月26日发布,最初是作为紧凑型HVNC植入程序,可用来建立与目标计算机的远程静默连接,后来转变为具有多种功能集的商业RAT。最近检测到的大多数样本都是使用Escanor Exploit Builder分发的,攻击者使用了诱饵文,模仿流行在线服务的发票和通知。此外,域名escanor[.]live此前已被确认与AridViper的基础设施有关。
https://resecurity.com/blog/article/escanor-malware-delivered-in-weaponized-microsoft-office-documents
2、美国Novant Health的130万患者的个人信息泄露
据8月22日报道,美国医疗保健提供商Novant Health披露了一起数据泄露事件,影响了1362296个患者。该事件始于2020年5月,当时Novant开展了涉及Facebook广告的COVID-19疫苗接种宣传活动。为了跟踪这些广告,该公司在网站上添加了Meta Pixel代码,来判断广告的效果。但是,Novant Health的网站和MyChart门户上的Meta Pixel配置错误,导致患者的信息会被发送给Meta及其广告合作伙伴。Novant在2022年5月从其网站和门户中删除了Meta Pixel。
https://www.bleepingcomputer.com/news/security/misconfigured-meta-pixel-exposed-healthcare-data-of-13m-patients/
3、Donot Team为其恶意软件框架Jaca添加新的功能
媒体8月22日报道,Donot Team(又名APT-C-35)已为其Windows恶意软件框架Jaca添加了新的功能。该团伙自2016年开始活跃,主要针对印度、巴基斯坦、斯里兰卡、孟加拉国等南亚国家的政府机构、军事组织、外交部和大使馆。新版本增强了浏览器窃取模块,使用前一阶段下载的4个附加可执行文件(WavemsMp.dll)实现窃取功能,而不是在DLL中,每个附加的可执行文件都可以从Chrome或Firefox中窃取信息。
https://securityaffairs.co/wordpress/134674/apt/donot-team-improves-jaca-framework.html
4、APT29在针对北约的攻击活动中使用新的TTP绕过检测
8月18日,Mandiant披露了俄罗斯APT29(Cozy Bear)针对北约国家的新一轮攻击活动。在攻击中,APT29使用了新的战术、技术和程序(TTP)来绕过检测,包括在在感染的目标帐户上禁用Purview Audit功能,然后收集收件箱中的电子邮件;利用Azure Active Directory和其它平台中的MFA自我注册过程,该团伙可暴力破解从未登录过的域的帐户并将其设备注册到MFA;研究人员强调APT29采用了的特殊的运营安全和绕过策略,它使用了Azure虚拟机。
https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft
5、Apple修复Safari中已被利用的漏洞CVE-2022-32893
8月18日,Apple为macOS Big Sur和Catalina发布了Safari 15.6.1,以修复一个被用来入侵Mac的漏洞。这是WebKit中的一个越界写入漏洞(CVE-2022-32893),可用来在目标设备上远程执行代码。该漏洞与Apple之前修复的macOS Monterey和iPhone/iPad中的漏洞相同,该公司并未提供有关如何被利用的详细信息,只是说它可能已被积极利用。这是Apple在2022年修复的第7个0 day。
https://www.bleepingcomputer.com/news/security/apple-releases-safari-1561-to-fix-zero-day-bug-used-in-attacks/
6、Unit42发布2022年2月至4月网络安全态势的分析报告
Unit42在8月19日发布了2022年2月至4月网络安全态势的分析报告。从今年2月至4月,Unit42共记录了5962个新的CVE,其中26.4%被归类为本地漏洞,剩余的73.6%是可通过网络利用的远程漏洞。XSS漏洞仍是报告最多的漏洞,其次是越界写入、信息泄露和SQL注入漏洞。对网络攻击进行分类,最多的是远程代码执行攻击,其次是遍历攻击、信息泄露攻击、跨站脚本攻击和SQL注入攻击。大多数攻击似乎来自美国,其次是德国和俄罗斯。
https://unit42.paloaltonetworks.com/recent-exploits-network-security-trends/
安全工具
stegowiper
强大而灵活的主动攻击,用于破坏隐写的恶意软件。
https://github.com/mindcrypt/stegowiper
usbsas
免费和开源(GPLv3)工具和框架,用于安全读取不受信任的USB大容量存储设备。
https://github.com/cea-sec/usbsas
安全分析
黑客利用比特币ATM服务器中的漏洞来窃取加密货币
https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/
iOS 16将于9月初开始公开发布
https://news.softpedia.com/news/ios-16-is-ready-for-launch-535964.shtml
Microsoft:针对日益复杂的加密劫持的基于硬件的防御
https://www.microsoft.com/security/blog/2022/08/18/hardware-based-threat-defense-against-increasingly-complex-cryptojackers/
俄罗斯Oculus使用人工智能扫描网站来获取被禁信息
https://www.bleepingcomputer.com/news/security/russias-oculus-to-use-ai-to-scan-sites-for-banned-information/
加密的ZIP文件可以有两个正确的密码
https://www.bleepingcomputer.com/news/security/an-encrypted-zip-file-can-have-two-correct-passwords-heres-why/
工具InAppBrowser检查移动应用的浏览器是否存在隐私风险
https://www.bleepingcomputer.com/news/security/new-tool-checks-if-a-mobile-apps-browser-is-a-privacy-risk/
Amazon Ring中漏洞可能暴露相机的数据
https://thehackernews.com/2022/08/new-amazon-ring-vulnerability-could.html
勒索软件Redeemer 2.0
https://www.cybereason.com/blog/threat-alert-inside-the-redeemer-2.0-ransomware
推荐阅读:
原文始发于微信公众号(维他命安全):Resecurity披露通过武器化Office文档分发的Escanor;美国Novant Health的130万患者个人信息泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论