Google Play中恶意软件Autolycos已被下载300万次
发布时间 2022-07-15
据媒体7月13日报道,Google Play商店中存在一个新的Android恶意软件Autolycos,下载量已超过300万次。Autolycos会秘密为用户订阅高级服务,至少存在于8个Android应用中,如Vlog Star Video Editor(100万次下载)和Creative 3D Launcher(100万次下载)等,Evina研究人员在2021年6月发现这些应用。Autolycos会隐蔽地执行攻击,并可以访问目标的SMS文本消息。目前,Google已在Play商店中删除了这些应用。
https://www.bleepingcomputer.com/news/security/new-android-malware-on-google-play-installed-3-million-times/
2、微软披露macOS沙盒逃逸漏洞CVE-2022-26706的细节
7月13日,微软披露了macOS中的一个漏洞(CVE-2022-26706),它可通过特制代码绕过沙盒限制并在系统上执行代码。研究人员解释称,该漏洞是在macOS上运行和检测Microsoft Office文档中的恶意宏方法时发现的。为确保向后兼容,Microsoft Word可以读写带有前缀"~$"的文件,这是在应用程序的沙盒规则中定义的。使用Launch Services对一个带有上述前缀的特殊Python文件运行open -stdin命令,可以在macOS上的App沙盒逃逸,并入侵系统。该漏洞在今年5月的macOS安全更新(Big Sur 11.6.6)中修复。
https://www.microsoft.com/security/blog/2022/07/13/uncovering-a-macos-app-sandbox-escape-vulnerability-a-deep-dive-into-cve-2022-26706/
3、AMD和Intel CPU易受推测执行攻击Retbleed的影响
据7月13日报道,苏黎世联邦理工学院的研究人员发现了可影响AMD和Intel CPU的新推测执行攻击Retbleed。Retbleed也称为Spectre-BTI,包含2个漏洞CVE-2022-29900(AMD)和CVE-2022-29901(Intel),可绕过当前的防御并导致基于Spectre的攻击。虽然许多操作系统使用了像Retpoline这样的保护措施来防御分支目标注入(BTI),但Retbleed可以绕过这种策略,劫持内核中的返回指令并执行任意推测性代码。
https://thehackernews.com/2022/07/new-retbleed-speculative-execution.html
4、巴基斯坦空军总部遭到印度团伙Sidewinder的攻击
Check Point7月13日称,巴基斯坦空军总部遭到了疑似印度APT组织Sidewinder的攻击。2022年5月,与攻击活动相关的多个恶意软件样本和两个加密文件被上传到VirusTotal。在解密文件后,CPR发现一个与Sidewinder团伙相关的.NET DLL,该团伙主要针对巴基斯坦的实体。第二个加密文件包含了目标设备上所有文件的列表,其中大部分与军事和航空有关。此外,被攻击系统的用户名包括AHQ-STRC3,而AHQ代表巴基斯坦空军总部。
https://blog.checkpoint.com/2022/07/13/a-hit-is-made-suspected-india-based-sidewinder-apt-successfully-cyber-attacks-pakistan-military-focused-targets/
5、美国追债公司PFC近200万医疗数据在勒索攻击后泄露
媒体7月14日称,美国收债公司Professional Finance Company(PFC)泄露了650多家医疗机构的190万人的信息。PFC主要为医疗公司追讨未偿债务,在2月26日发现其遭到了勒索攻击,直到5月初才通知该事件。PFC的声明称未经授权的第三方访问了包含个人信息的文件,虽然并未透露受影响的个人数量,但卫生与公众服务部(DHHS) 网站显示,有1918841人受到此事件的影响。PFC正在联系可能受到影响的个人,并将为他们提供免费的信用监控。
https://www.infosecurity-magazine.com/news/healthcare-records-breaches/
6、Zscaler发布Qakbot使用的多个新技术的分析报告
7月12日,Zscaler发布了关于恶意软件Qakbot的技术分析报告。Qakbot自2008年开始活跃,是一种窃取密码的常见木马,近期,Qakbot背后的运营团伙正在更新其传播载体,以试图绕过检测。攻击者通过使用ZIP文件扩展名以及具有常见格式的文件名和Excel(XLM) 4.0来诱使目标下载安装Qakbot恶意附件,除此之外,攻击者还在使用了其它技术来绕过自动检测并提高的攻击成功率,包括混淆代码、利用多个URL来分发payload和使用未知的文件扩展名来分发payload等。
https://www.zscaler.com/blogs/security-research/rise-qakbot-attacks-traced-evolving-threat-techniques
京公网安备11010802024551号