每日安全简讯(20220611)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 MakeMoney恶意广告活动诱导用户安装虚假的Firefox更新

研究人员近期发现了一个新的恶意广告活动，会安装虚假的Firefox更新。这个虚假的更新包含几个脚本，用来下载加密的有效载荷。初始可执行文件包含一个加载程序，会检索被检测为BrowserAssistant的广告软件。恶意广告基础设施与自2019年底以来许多活动中使用的基础设施基本相同，可能出于某种原因，攻击者在俄罗斯重复使用相同的服务器，因此研究人员这将该活动与MakeMoney联系起来。


https://blog.malwarebytes.com/th ... ke-update-template/

---

2 研究人员表示越来越多的恶意软件团伙开始利用Follina漏洞

Follina是微软支持诊断工具(MSDT)中的一个RCE漏洞，虽然企业还在等待微软发布Windows中“Follina”漏洞的修复程序，但越来越多的恶意软件团伙正在利用这个漏洞。现在积极利用该漏洞的报告不断浮出水面。本月早些时候，Proofpoint威胁洞察团队的分析师发布了关于网络钓鱼活动的推文，目标是存在Follina漏洞的美国和欧盟机构。本周，Proofpoint的研究人员发现了另一个与Qbot数据窃取软件和后门僵尸网络相关的组织发起的钓鱼活动，该组织正在利用Follina漏洞用恶意软件感染系统。现在，赛门铁克威胁搜索专家表示，他们还发现了其他组织利用这个漏洞来分发恶意软件。


https://www.theregister.com/2022 ... -follina-microsoft/

---

3 日本德岛县一家医院遭受勒索软件攻击

一份报告显示，去年10月，一家公司关闭了德岛县一家医院的杀毒软件后，这家医院遭到了网络攻击。该公司为德岛县鹤木市的半田医院提供电子病历系统。这家由鹤木市政府经营的医院在遭受勒索软件攻击后，被迫暂停部分业务约两个月。该报告由医院内成立的专家小组编制。该公司说，在网络攻击发生之前，该公司对与电子病历系统相连的电脑的Windows设置禁用了杀毒软件和Windows定期更新等功能。该公司表示，这样做是因为这些功能如果没有被禁用，会使电子病历系统变得不稳定。该报告批评该公司称其“优先使电子病历系统能够运行，而不是计算机的安全保护。”


https://www.asahi.com/ajw/articles/14640348

---

4 网络犯罪分子使用自动机器人大规模绕过2FA身份验证

美国全球威胁情报提供商Cyble发现，网络犯罪分子使用的不同机器人，通过拦截目标的一次性密码来绕过2FA。首先，攻击者访问Internet的服务，并提供他们之前获得的受害者凭据。同时，攻击者选择目标系统的相关模式，将受害者的手机号码和银行或服务名称输入到机器人。然后，机器人使用IVR启动模拟银行或服务的呼叫，并要求受害者提供一次性密码，一旦受害者将代码提供给机器人，攻击者就会收到它并可以非法访问Internet服务。


https://www.techrepublic.com/art ... ted-bot-bypass-2fa/

---

5 Carrier的LenelS2 Mercury门禁控制面板被发现8个零日漏洞

来自Trellix的安全研究人员发现了8个影响Carrier提供的一款流行工业控制系统的零日漏洞，并进行了修补。这些漏洞影响LenelS2 Mercury访问控制面板，该面板用于授予对设施的物理访问权，并与更复杂的楼宇自动化部署集成。Trellix表示，他们结合了已知和新技术，使他们能够入侵系统，实现对设备操作系统的root访问。Carrier产品安全架构副总监表示，他的团队与Trellix合作解决了这些问题，并发布了一份关于用户解决这些漏洞的详细指导方针。其中一些问题需要缓解，而大多数问题可以在固件更新中解决。


https://therecord.media/8-zero-d ... ystem-from-carrier/

---

6 Onapsis研究实验室发现的三个被积极利用的SAP漏洞

Onapsis研究实验室持续监控不断变化的威胁形势，以便更好地了解针对SAP和Oracle等业务应用程序的目标。最近，研究发现了与SAP已修补的三个漏洞相关的利用活动：CVE-2021-38163、CVE-2016-2386和CVE-2016-2388。攻击者使用他们可用的任何东西来实现破坏业务应用程序的目标，现在通常包括对这些关键业务应用程序本身的直接攻击。SAP、CISA和Onapsis发布了威胁情报，记录了利用未修补、未受保护的SAP系统的旧漏洞的攻击活动，这三个较旧的SAP漏洞表明这种趋势仍在继续。


https://onapsis.com/blog/three-a ... apsis-research-labs

---