微软8月份的非英语Exchange安全更新存在Bug已回滚
发布时间 2023-08-111、微软8月份的非英语Exchange安全更新存在Bug已回滚
据媒体8月10日报道,微软发现8月份Microsoft Exchange Server安全更新存在问题,已将其从Windows Update中删除。微软在8月8日发布了此更新,总共修复了6个漏洞。然而,当管理员在非英语服务器上安装更新后,发现Exchange Windows服务无法启动。安装失败,错误代码为1603,并留下错误的Exchange安装。研究人员指出,该问题是由“Exchange Server 2023年8月SU安装程序中的本地化问题”导致的。在非英语操作系统上安装微软Exchange Server 2019或2016安全更新时,安装程序将停止并回滚更改,使Exchange Server服务处于禁用状态。为此,微软提供了解决办法。
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-updates-pulled-after-breaking-non-english-installs/
2、研究人员发现大规模劫持云帐户的EvilProxy钓鱼攻击
Proofpoint在8月9日称其发现了利用EvilProxy大规模劫持云帐户的钓鱼活动。研究人员透露,在3月至6月期间,大约120000封钓鱼邮件被发送到全球上百个目标企业,以窃取Microsoft 365帐户。约39%的目标是C级高管,其中17%是首席财务官,9%是总裁和首席执行官。这些攻击利用了基于反向代理架构的钓鱼工具EvilProxy,并结合使用了品牌冒充、机器人检测绕过和开放重定向等技术。
https://www.proofpoint.com/us/blog/email-and-cloud-threats/cloud-account-takeover-campaign-leveraging-evilproxy-targets-top-level
3、LockBit声称要公开瓦里安医疗系统癌症患者的数据
据8月9日报道,勒索团伙LockBit声称入侵了瓦里安医疗系统(Varian Medical Systems),并威胁要公开患者的医疗数据。该公司隶属于西门子医疗集团,收入达30亿美元,主要开发和销售用于治疗癌症等疾病的医疗设备和软件。Lockbit在网站上写道,所有数据库和患者数据都已被泄露并准备在博客上发布,还将付赎金的截止日期定为8月17日。该公司尚未披露此次安全事件。
https://securityaffairs.com/149307/cyber-crime/varian-medical-systems-lockbit-ransomware.html
4、Freeze.rs和SYK Crypter被用于分发XWorm等恶意软件
Fortinet在8月9日披露了利用Freeze.rs和SYK Crypter分发恶意软件的活动。研究人员于7月13日检测到钓鱼攻击活动,攻击链始于恶意PDF文件。该文件重定向到HTML文件,并利用“search-ms”协议访问远程服务器上的LNK文件。打开LNK文件后,PowerShell脚本会执行Freeze.rs和SYK Crypter,以执行进一步的攻击。最终,会加载XWorm和Remcos,并与C2服务器建立通信。
https://www.fortinet.com/blog/threat-research/malware-distributed-via-freezers-and-syk-crypter
5、Trend Micro详述Rhysida针对医疗保健行业的攻击
8月9日,Trend Micro概述了针对医疗保健行业的新型Rhysida勒索软件的攻击活动。Rhysida主要针对医疗保健和公共卫生机构,通常首先通过钓鱼攻击入侵目标的计算机,然后使用Cobalt Strike在系统内横向移动。攻击者执行PsExec来安装PowerShell脚本和Rhysida payload。PowerShell脚本被用于终止AV进程、删除卷影副本并修改RDP配置,这表明加密程序仍在积极开发中。此外,勒索软件采用4096位RSA密钥和AES-CTR来加密文件。
https://www.trendmicro.com/en_us/research/23/h/an-overview-of-the-new-rhysida-ransomware.html
6、Check Point发布2023年7月全球威胁指数的报告
8月9日,Check Point发布了2023年7月全球威胁指数的分析报告。7月份最流行的恶意软件是Qbot,影响了全球5%的组织,其次是Formbook(4%)和Remcos(2%)。全球遭到攻击最多的行业是教育和研究行业,其次是政府和军事行业,然后是医疗保健行业。最常被利用的漏洞Web服务器恶意URL目录遍历漏洞,影响了全球49%的组织,其次是Apache Log4j远程代码执行漏洞(45%)和HTTP标头远程代码执行漏洞(42%)。最常见的移动恶意软件Anubis,然后是SpinOk和AhMyth。
https://blog.checkpoint.com/security/july-2023s-most-wanted-malware-remote-access-trojan-rat-remcos-climbs-to-third-place-while-mobile-malware-anubis-returns-to-top-spot/
京公网安备11010802024551号