微软7月份更新包括6个被利用0day在内的132个漏洞
发布时间 2023-07-121、微软7月份更新包括6个被利用0day在内的132个漏洞
据媒体7月11日报道,微软发布了7月份的周二补丁,总计修复了132个漏洞,其中包括6个已被利用的漏洞。披露的被利用漏洞包括Windows MSHTML平台提权漏洞(CVE-2023-32046)、Windows SmartScreen安全功能绕过漏洞(CVE-2023-32049)、Windows错误报告服务提权漏洞(CVE-2023-36874)、Office和Windows HTML远程代码执行漏洞(CVE-2023-36884)和Outlook安全功能绕过漏洞(CVE-2023-35311)等。其中,尚无针对CVE-2023-36884的可用更新,该漏洞被RomCom团伙利用,预计会在紧急更新或未来的周二补丁中修复,用户可先采取缓解措施。
https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2023-patch-tuesday-warns-of-6-zero-days-132-flaws/
2、澳大利亚Ventia遭到网络攻击导致部分系统暂时关闭
据7月11日报道,澳大利亚基础设施服务提供商Ventia遭到了网络攻击。该公司在上周六透露,其检测到了入侵活动并关闭了一些关键系统以应对该事件,目前正在进行调查。该公司在上周日又发表了后续声明,称他们仍在应对此次攻击,所有运营预计将在接下来的几天内恢复正常。Ventia没有回应这是否是勒索攻击的询问,但关闭系统是应对此类事件的常见措施。
https://www.securityweek.com/critical-infrastructure-services-firm-ventia-takes-systems-offline-due-to-cyberattack/
3、BlackBerry发现RomCom针对北约峰会参会者的钓鱼攻击
BlackBerry在7月8日称其近期发现了两份恶意文件,冒充乌克兰世界大会组织并使用了与北约峰会相关的主题。分析发现,附加组件是一个利用微软支持诊断工具(MSDT)中漏洞Follina(CVE-2022-30190)的脚本,成功利用漏洞可通过恶意.docx或.rtf文档进行RCE攻击。最后阶段的恶意软件是RomCom RAT,它以x64 DLL文件Calc.exe的形式出现。研究人员认为,此次活动要么是重新命名的RomCom行动,要么是有旧团伙的核心成员支持的新活动。
https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-membership-talks-at-nato-summit
4、黑客利用Revolut支付系统中漏洞盗取超过2000万美元
媒体7月10日报道称,黑客利用Revolut支付系统中漏洞,盗取了超过2000万美元。该事件发生于2022年初,源于美国和欧洲支付系统之间的差异。当一些交易被拒绝时,该公司会错误地用自己的钱退还账户。攻击者会进行高价购物,但这些购物会被拒绝,然后在ATM机上提取退款。攻击者利用该漏洞窃取了约2300万美元,其中部分金额被收回,净损失约为2000万美元,相当于Revault在2021年净利润的三分之二。
https://securityaffairs.com/148315/breaking-news/revolut-payment-systems-flaw.html
5、Zscaler披露新木马TOITOIN针对拉丁美洲企业的攻击
Zscaler在7月7日披露了一种基于Windows的新型木马TOITOIN,主要针对在拉丁美洲(LATAM)地区运营的企业。攻击活动始于5月份,使用了一个遵循多阶段感染链的木马,在每个阶段都利用了特制的模块。这些模块是定制设计的,用于执行各种恶意活动,如向远程进程注入恶意代码、通过COM Elevation Moniker绕过用户帐户控制,以及通过系统重启和父进程检查等技术绕过沙盒检测等。该活动的最终payload是木马TOITOIN,它会收集系统信息,以及与浏览器和Topaz OFD保护模块相关的数据。
https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region
6、AhnLab发布后门Rekoobe针对韩国的攻击的分析报告
7月11日,AhnLab发布了APT31使用的后门Rekoobe针对韩国的攻击的分析报告。后门Rekoobe于2015年首次被发现,是基于开源程序Tiny SHell的源代码开发的。Rekoobe通过将其进程名称更改为/bin/bash来伪装自己,它与Tiny SHell之间的显着区别是缺少用于接收C&C地址或密码的命令行选项,因此地址被硬编码在恶意软件中。针对韩国的所有样本均基于x64架构且采用反向shell形式,表明它们针对的是Linux服务器。根据几乎相同的密码推测,它们均被同一个攻击者使用。
https://asec.ahnlab.com/en/55229/
京公网安备11010802024551号