Resecurity披露通过武器化Office文档分发的Escanor
发布时间 2022-08-231、Resecurity披露通过武器化Office文档分发的Escanor
8月21日,Resecurity称在暗网和Telegram中发现了一种名为Escanor的新RAT。该工具于今年1月26日发布,最初是作为紧凑型HVNC植入程序,可用来建立与目标计算机的远程静默连接,后来转变为具有多种功能集的商业RAT。最近检测到的大多数样本都是使用Escanor Exploit Builder分发的,攻击者使用了诱饵文,模仿流行在线服务的发票和通知。此外,域名escanor[.]live此前已被确认与AridViper的基础设施有关。
https://resecurity.com/blog/article/escanor-malware-delivered-in-weaponized-microsoft-office-documents
2、美国Novant Health的130万患者的个人信息泄露
据8月22日报道,美国医疗保健提供商Novant Health披露了一起数据泄露事件,影响了1362296个患者。该事件始于2020年5月,当时Novant开展了涉及Facebook广告的COVID-19疫苗接种宣传活动。为了跟踪这些广告,该公司在网站上添加了Meta Pixel代码,来判断广告的效果。但是,Novant Health的网站和MyChart门户上的Meta Pixel配置错误,导致患者的信息会被发送给Meta及其广告合作伙伴。Novant在2022年5月从其网站和门户中删除了Meta Pixel。
https://www.bleepingcomputer.com/news/security/misconfigured-meta-pixel-exposed-healthcare-data-of-13m-patients/
3、Donot Team为其恶意软件框架Jaca添加新的功能
媒体8月22日报道,Donot Team(又名APT-C-35)已为其Windows恶意软件框架Jaca添加了新的功能。该团伙自2016年开始活跃,主要针对印度、巴基斯坦、斯里兰卡、孟加拉国等南亚国家的政府机构、军事组织、外交部和大使馆。新版本增强了浏览器窃取模块,使用前一阶段下载的4个附加可执行文件(WavemsMp.dll)实现窃取功能,而不是在DLL中,每个附加的可执行文件都可以从Chrome或Firefox中窃取信息。
https://securityaffairs.co/wordpress/134674/apt/donot-team-improves-jaca-framework.html
4、APT29在针对北约的攻击活动中使用新的TTP绕过检测
8月18日,Mandiant披露了俄罗斯APT29(Cozy Bear)针对北约国家的新一轮攻击活动。在攻击中,APT29使用了新的战术、技术和程序(TTP)来绕过检测,包括在在感染的目标帐户上禁用Purview Audit功能,然后收集收件箱中的电子邮件;利用Azure Active Directory和其它平台中的MFA自我注册过程,该团伙可暴力破解从未登录过的域的帐户并将其设备注册到MFA;研究人员强调APT29采用了的特殊的运营安全和绕过策略,它使用了Azure虚拟机。
https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft
5、Apple修复Safari中已被利用的漏洞CVE-2022-32893
8月18日,Apple为macOS Big Sur和Catalina发布了Safari 15.6.1,以修复一个被用来入侵Mac的漏洞。这是WebKit中的一个越界写入漏洞(CVE-2022-32893),可用来在目标设备上远程执行代码。该漏洞与Apple之前修复的macOS Monterey和iPhone/iPad中的漏洞相同,该公司并未提供有关如何被利用的详细信息,只是说它可能已被积极利用。这是Apple在2022年修复的第7个0 day。
https://www.bleepingcomputer.com/news/security/apple-releases-safari-1561-to-fix-zero-day-bug-used-in-attacks/
6、Unit42发布2022年2月至4月网络安全态势的分析报告
Unit42在8月19日发布了2022年2月至4月网络安全态势的分析报告。从今年2月至4月,Unit42共记录了5962个新的CVE,其中26.4%被归类为本地漏洞,剩余的73.6%是可通过网络利用的远程漏洞。XSS漏洞仍是报告最多的漏洞,其次是越界写入、信息泄露和SQL注入漏洞。对网络攻击进行分类,最多的是远程代码执行攻击,其次是遍历攻击、信息泄露攻击、跨站脚本攻击和SQL注入攻击。大多数攻击似乎来自美国,其次是德国和俄罗斯。
https://unit42.paloaltonetworks.com/recent-exploits-network-security-trends/
京公网安备11010802024551号