微软发布6月安全更新修复Follina在内的55个漏洞

发布时间 2022-06-15
1、微软发布6月份安全更新修复Follina在内的55个漏洞


6月14日,微软发布了本月的周二补丁,总计修复了55个漏洞。其中包括12个提权漏洞、1安全功能绕过漏洞、27个远程代码执行漏洞、11个信息泄露漏洞、3个拒绝服务漏洞和1个欺骗漏洞。其中最严重的是Windows MSDT中的漏洞Follina(CVE-2022-30190),已被多个攻击团伙利用。此外,还修复了Windows Hyper-V远程执行代码漏洞(CVE-2022-30163)、Windows轻量级目录访问协议(LDAP)远程代码执行漏洞(CVE-2022-30139)和Windows网络文件系统远程代码执行漏洞(CVE-2022-30136)等。


https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2022-patch-tuesday-fixes-1-zero-day-55-flaws/


2、Avast在野发现仍在开发中的Linux rootkit Syslogk


6月13日,Avast披露了在野发现的一种名为“Syslogk”的新Linux rootkit的技术细节。Syslogk基于开源的Linux内核rootkit Adore-Ng,目前仍在开发中。该恶意软件 针对Linux内核3.x,可隐藏目录和网络流量,并加载一个名为“Rekoobe”的后门。这个后门在目标系统中将始终处于休眠状态,直到接收到来自攻击者的“magic packets”。其主要目的是为攻击者提供目标设备上的远程shell,可导致信息泄露、数据泄露、文件操作和帐户劫持等。


https://decoded.avast.io/davidalvarez/linux-threat-hunting-syslogk-a-kernel-rootkit-found-under-development-in-the-wild/


3、美国Kaiser Permanente称近7万人的信息被非法访问


据媒体6月13日报道,美国医疗机构Kaiser Permanente称其遭到了网络攻击。该公司在其官网上发布的通知透露,2022年4月5日,攻击者在未经授权的情况下访问了其员工的电子邮箱,其中涉及患者的健康信息(PHI)。Kaiser Permanente于6月3日通知受影响患者,并表示泄露的信息包括姓名、病历编号、服务日期和检测结果等。该公司提交给美国当局的报告显示,此事件已导致69589人的PHI泄露。


https://www.bleepingcomputer.com/news/security/kaiser-permanente-data-breach-exposes-health-data-of-69k-people/


4、Galium利用新RAT PingPull攻击欧洲、非洲和东南亚


Unit 42在6月13日公开了APT团伙Galium针对欧洲、非洲和东南亚的新攻击活动。此次活动主要针对电信、政府和金融机构,利用了一种名为PingPull的新RAT。PingPull是基于Visual C++的恶意软件,它旨在为攻击者提供在目标系统中的反向shell,并执行任意命令。Unit42对三个具有相似功能的不同变体进行采样,发现这些变体使用了不同的C2通信协议:ICMP、HTTPS和TCP。研究人员还发现了与Gallium有关的基础设施包括170多个IP地址,有些可以追溯到2020年底。


https://unit42.paloaltonetworks.com/pingpull-gallium/


5、Confiant发现窃取Web3钱包资金的SeaFlower活动


据6月13日报道,Confiant发现了针对Web3钱包的SeaFlower活动。该活动于今年3月初被发现,一直针对Android和iOS用户,模仿官方加密货币钱包网站,并利用了SEO技术,来分发窃取目标资金的后门应用。目前,SeaFlower主要使用后门代码修改Web3钱包,并窃取种子密码(seed phrase)。研究人员表示,该活动的目标应用包括Android和iOS版本的Coinbase Wallet、MetaMask、TokenPocket和imToken。


https://thehackernews.com/2022/06/chinese-hackers-distribute-backdoored.html


6、微软发布关于勒索软件BlackCat的技术分析报告


微软在6月13日发布了关于勒索软件BlackCat(也称ALPHV)的分析报告。BlackCat于2021年11月首次被发现,是最早用Rust编写的勒索软件之一,可以攻击Windows和Linux设备,以及VMWare实例。近期,研究人员观察到一个攻击者利用Exchange服务器漏洞来获得目标网络访问。此外,至少有两个附属组织正在利用BlackCat: DEV-0237和DEV-0504。根据微软的数据,BlackCat已影响了非洲、美洲、亚洲和欧洲的各个国家并引起重视。


https://www.microsoft.com/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/