微软称升级到Android 12后部分设备Intune出现问题
发布时间 2022-03-16微软称升级到Android 12后部分设备Intune出现问题
据媒体3月10日报道,Microsoft确认从Android 11升级到Android 12后会导致部分设备的Intune注册出现问题。受此问题影响的客户还称其在升级后无法访问托管在Microsoft Intune的资源。到目前为止,Microsoft已确定OPPO、OnePlus和Realme设备受此问题影响。此外,研究人员在三星Galaxy设备中发现一个类似问题,在升级到Android 12后注册Intune,会因证书缺失导致电子邮件和VPN连接出现问题。
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-intune-enrollment-issue-on-android-devices/
Cisco发现MuddyWater针对土耳其等国的新一轮攻击
Cisco Talos在3月10日披露了伊朗团伙MuddyWater新一轮攻击活动的详情。此次活动主要针对土耳其和阿拉伯半岛,攻击者使用钓鱼邮件分发带有恶意软件的文档,并安装基于Windows脚本文件 (WSF) 的远程访问木马SloughRAT(又名Canopy)。研究人员还发现了另外2个基于脚本的植入程序,一个是用Visual Basic编写的,另一个是用JavaScript编码的,它们都用于在目标主机上下载和执行恶意命令。
https://blog.talosintelligence.com/2022/03/iranian-supergroup-muddywater.html
ASEC发现伪装成Valorant作弊器分发RedLine的活动
3月11日,ASEC分析团队称其发现了一个通过YouTube分发信息窃取程序RedLine的活动。攻击者将恶意软件伪装成Valorant作弊器,并上传了游戏视频以及该作弊器的下载链接。Valorant是一款适用于Windows的免费第一人称射击游戏,该作弊器声称是一个自动瞄准工具。用户点击下载后会被重定向到anonfiles并下载一个RAR文件,其中包含Cheat installer.exe,该文件实际上是RedLine的副本。
https://asec.ahnlab.com/en/32499/
研究团队发布银行木马Lampion攻击活动的分析报告
媒体3月13日报道,seguranca研究团队发现近期银行木马Lampion的攻击活动。Lampion自2019年开始活跃,主要使用葡萄牙政府财政和税务钓鱼邮件在目标系统中下载加载程序(VBS文件)。此次活动的恶意软件TTP及其功能与之前相似,但木马加载程序存在显著差异。攻击者将垃圾文件的大小扩大到56MB右,以绕过检测(2019年仅为13.20KB),还删除了VBS文件中31.7MB无用代码。此外,Lampion在超过两年的时间中使用了位于俄罗斯的同一个C2服务器。
https://securityaffairs.co/wordpress/128975/malware/hidden-c2-lampion-trojan-release-212.html
Avast发布恶意软件Raccoon Stealer的分析报告
3月9日,Avast发布Raccoon Stealer的技术分析报告。该恶意软件于2019年4月首次出现,用来窃取密码和cookie等各种类型的数据。研究人员发现,它正在使用Telegram来存储和更新C2地址,且新增了多个分发渠道。除了使用2个加载程序Buer Loader和GCleaner之外,还通过游戏作弊器、破解软件补丁等软件进行传播。此外,攻击者还利用Themida等打包程序来绕过检测,检测到的部分样本被同一个打包程序打包了超过5次。
https://decoded.avast.io/vladimirmartyanov/raccoon-stealer-trash-panda-abuses-telegram/
Linux的netfilter组件中越界写入漏洞CVE-2022-25636
据3月14日报道,Capsule8研究人员发现了Linux内核中netfilter子组件中的堆越界写入漏洞(CVE-2022-25636)。该漏洞是由于对框架硬件卸载功能的处理错误导致的,本地攻击者可将其武器化,导致DoS或执行任意代码。Red Hat在2月22日发布公告表示,此漏洞可导致系统崩溃或权限提升,并提供了缓解措施。Debian、Oracle Linux、SUSE和Ubuntu也发布了类似的通告。
https://thehackernews.com/2022/03/new-linux-bug-in-netfilter-firewall.html
安全工具
GoodHound
使用 Sharphound、Bloodhound 和 Neo4j 生成可操作的攻击路径列表以进行有针对性的补救。
https://github.com/idnahacks/GoodHound
Dome
子域枚举工具,它可以进行主动和/或被动扫描以获取子域并搜索开放端口。
https://github.com/v4d1/Dome
BlueTeam.Lab
该项目包含一组 Terraform 和 Ansible 脚本,用于创建协调的 BlueTeam Lab。
https://github.com/op7ic/BlueTeam.Lab
factual-rules-generator
是一个开源项目,旨在从正在运行的操作系统生成有关已安装软件的YARA 规则。
https://github.com/CIRCL/factual-rules-generator
安全分析
查找浏览器上的 WhatsApp Web 代码是否被入侵
https://thehackernews.com/2022/03/heres-how-to-find-if-whatsapp-web-code.html
DuckDuckGo 将宣传俄罗斯的网站降级
https://www.bleepingcomputer.com/news/technology/duckduckgo-down-ranks-sites-spreading-russian-propaganda/
谷歌试图解释 Chrome 零日漏洞利用的激增
https://www.securityweek.com/google-attempts-explain-surge-chrome-zero-day-exploitation
VPN提供商在被电影制片厂起诉后禁止BitTorrent
https://www.bleepingcomputer.com/news/security/vpn-provider-bans-bittorrent-after-getting-sued-by-film-studios/
Link11 的新 DDoS 报告
https://www.darkreading.com/attacks-breaches/the-fight-against-the-hydra-new-ddos-report-from-link11-
HBO 因与 Facebook 共享用户数据而被起诉
https://blog.malwarebytes.com/privacy-2/2022/03/hbo-sued-for-sharing-subscriber-data-with-facebook/
京公网安备11010802024551号