Microsoft Defender误报，将Chrome更新标记为可疑；高通和联发科芯片中的多个漏洞影响数百万Android手机

1、Microsoft Defender误报，将Chrome更新标记为可疑

      据媒体4月20日报道，Microsoft Defender将通过Google Update提交的Chrome更新标记为可疑活动。用户报告，其收到的警报称“涉及执行和防御绕过的多阶段事件”。Microsoft在服务公告中透露，这是误报问题，而非存在恶意活动。大约一个半小时后，误报问题得到解决，服务也已恢复。在过去两年中，Defender发生过多次误报问题，例如OOffice更新曾被检测为勒索软件活动。

https://www.bleepingcomputer.com/news/security/microsoft-defender-flags-google-chrome-updates-as-suspicious/

2、高通和联发科芯片中的多个漏洞影响数百万Android手机

      Check Point Research在4月21日披露了高通和联发科芯片的音频解码器中的3个漏洞。Apple Lossless Audio Codec(ALAC)是用于无损音频压缩的音频编码格式，Apple于2011年将其开源，这两家芯片公司在其音频解码器中使用了存在漏洞的ALAC代码。漏洞分别为输入验证不当导致信息泄露漏洞（CVE-2021-0674）、越界写入导致的提权漏洞（CVE-2021-0675）和内存访问漏洞（CVE-2021-30351），可被攻击者用来远程访问设备的媒体和音频对话。目前，漏洞均已被修复。

https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/

3、加拿大航空公司Sunwing遭到网络攻击导致航班延误

      据4月20日报道，加拿大航空公司Sunwing Airlines Inc遭到网络攻击。从上周日下午开始，该公司由于技术问题导致航班延误。该公司的CEO Mark Williams透露，其用于办理手续和登机的系统遭到攻击。本周二，该航空公司在Twitter上表示，他们正在手动为所有航班办理登机手续。Sunwing Airlines表示，预计延误问题依然会持续，目前尚不清楚何时会恢复正常运营。

https://www.infosecurity-magazine.com/news/cyberattackers-hit-sunwing-airlines/

4、FBI紧急通告称BlackCat已入侵全球超过60个组织

      媒体4月21日称，FBI和CISA联合发布了TLP:WHITE紧急通告。通告指出，Black Cat（也称ALPHV）在2021年11月至2022年3月期间入侵了全球超过60个组织。FBI强调了其在调查期间发现的勒索软件变种所使用的策略、技术和程序(TTP)以及与其相关的IOC。FBI 表示，这是第一个成功使用RUST的勒索团伙，它的许多团伙都与Darkside/Blackmatter有关联，这表明他们拥有广泛的网络和勒索软件运营经验。该机构还称，不建议被攻击的组织向BlackCat支付赎金。

https://www.bleepingcomputer.com/news/security/fbi-blackcat-ransomware-breached-at-least-60-entities-worldwide/

5、Google发布关于2021年在野利用0-day的回顾报告

      4月19日，Google Project Zero发布了关于2021年在野利用0-day的回顾报告。Google将2021年称为“在野利用0-day创纪录的一年”，因为其在这一年中检测并披露了58个漏洞，而2020年仅检测到25个。这些漏洞中最多的存在于Chromium平台(14个)，其次是Windows(10个)和Android(7个)；39个是内存损坏漏洞，主要是由释放后使用(17个)、越界读写(6个)、缓冲区溢出(4个)和整数溢出(4个）导致。

https://googleprojectzero.blogspot.com/2022/04/the-more-you-know-more-you-know-you.html

6、Symantec发布Shuckworm近期攻击活动的分析报告

      4月20日，Symantec发布了Shuckworm(又称Gamaredon）近期攻击活动的分析报告。该团伙自2014年首次出现以来，已对乌克兰的1500个组织进行了超过5000次攻击。近期的攻击使用了4种不同的Pterodo变体，每个都与不同的C2服务器地址进行通信。在这些变体中，攻击者都使用了模糊的VBS droppers，添加计划任务，然后从C2获取其他模块。此外，Shuckworm还使用了远程访问工具UltraVNC ，以及用于处理DLL模块进程的Microsoft Process Explorer。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-intense-campaign-ukraine

RevSuit

      灵活而强大的反向连接平台，专为接收来自目标主机的连接而设计。

https://github.com/Li4n0/revsuit

DDexec

      用于在Linux上无文件且隐秘地运行二进制文件。

https://github.com/arget13/DDexec

nightingale

      企业级云原生监控系统。

https://github.com/didi/nightingale

Brave添加了Discussions以丰富其搜索结果

https://www.bleepingcomputer.com/news/software/brave-adds-discussions-to-enrich-its-search-results/

REvil的TOR网站重新活跃起来

https://www.bleepingcomputer.com/news/security/revils-tor-sites-come-alive-to-redirect-to-new-ransomware-operation/

五眼联盟警告对关键基础设施的网络攻击

https://thehackernews.com/2022/04/five-eyes-nations-warn-of-russian-cyber.html

2022年开源软件供应链安全状况

https://www.helpnetsecurity.com/2022/04/21/open-source-software-security-video/

推荐阅读：

Microsoft Defender将Office更新误报为勒索软件活动

 恶意软件Dark Herring已感染上亿台Android设备

Kaspersky：BlackCat技术分析