每日安全简讯(20221013)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 LockBit附属公司入侵Microsoft Exchange服务器以部署勒索软件


微软正在调查关于一个新的零日漏洞被滥用来入侵Exchange服务器的报告，这些漏洞后来被用来发起LockBit勒索软件攻击。在2022年7月的一次此类事件中，攻击者利用先前在受感染的Exchange服务器上部署的Web Shell将权限提升到Active Directory管理员权限，窃取大约1.3TB的数据，并加密网络系统。虽然微软目前正在开发安全补丁以解决两个被积极利用的Microsoft Exchange零日漏洞，分别为CVE-2022-41040和CVE-2022-41082，但研究人员称，用于在7月份访问Exchange服务器的漏洞可能会有所不同因为攻击策略不重叠。

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-to-deploy-lockbit-ransomware/

---

2 研究人员发现通过合法应用分发恶意软件模块活动

研究人员发现修改WhatsApp合法应用并添加了一个恶意模块的活动，恶意模块窃取了合法WhatsApp工作所需的各种密钥。网络犯罪分子感兴趣的密钥通常用于开源实用程序，这些实用程序允许在没有应用程序的情况下使用WhatsApp帐户。如果密钥被盗，恶意WhatsApp模块的用户可能会失去对其帐户的控制。据统计，恶意模块传播途径来源于流行的Snaptube应用中的广告。经过简单检查，确认可以在Snaptube官方应用程序中找到YoWhatsApp广告，当点击一个时，会提示用户安装恶意模块。

https://securelist.com/malicious-whatsapp-mod-distributed-through-legitimate-apps/107690/

---

3 隐藏的DNS解析器会造成广泛的网站劫持风险

研究人员警告说，隐藏的DNS(域名系统)解析器为执行电子邮件重定向和帐户接管攻击创造了一种手段。分析发现，通过利用封闭的DNS解析器与开放互联网上的垃圾邮件保护机制进行交互，可以进行攻击侦察。这可以帮助攻击者了解DNS安全功能，如源端口随机化、DNSSEC、IP分段，更简单地说，是利用依赖封闭解析器的Web应用程序的注册、密码重置和时事通讯功能。这种攻击侦察工作涉及向一些知名域发送电子邮件，并将分析域指定为发送域，使它们容易受到Kaminsky式攻击。

https://portswigger.net/daily-swig/hidden-dns-resolver-insecurity-creates-widespread-website-hijack-risk

---

4 微软更新策略阻止对本地管理账户的暴力攻击


微软今天宣布，IT管理员现在可以配置任何接收安全更新的Windows系统，以通过组策略自动阻止针对本地管理员帐户的暴力攻击。此前，微软企业和操作系统安全副总裁David Weston在7月份表示，现在在最新的Windows 11版本上默认启用相同的Windows组策略。因此，在10分钟内尝试登录失败10次后，启用该策略的Windows 11系统会自动锁定用户帐户(包括管理员帐户)10分钟。据微软透露，现在在任何安装了2022年10月累积更新的Windows系统上都可以使用相同的帐户锁定策略。从2022年10月11日或之后的Windows累积更新开始，将提供本地策略来启用本地管理员帐户锁定。

https://www.bleepingcomputer.com/news/microsoft/all-windows-versions-can-now-block-admin-brute-force-attacks/

---

5 研究人员发现Android设备连接WiFi时会泄露流量

研究人员发现，每次设备连接到WiFi网络时，Android都会泄露流量，即使启用了“在没有VPN的情况下阻止连接”或“始终在线VPN”功能也是如此。在VPN隧道外泄露的数据包括源IP地址、DNS查找、HTTPS流量，可能还包括NTP流量。不幸的是，由于需要适应特殊情况，例如识别强制门户(如酒店WiFi)，必须在用户登录之前或使用拆分隧道功能时检查这些情况，但这一功能被削弱了。这也是为什么Android被配置为在连接到新的WiFi网络时泄漏一些数据，无论您是否启用了“阻止没有VPN的连接”设置。

https://www.bleepingcomputer.com/news/google/android-leaks-some-traffic-even-when-always-on-vpn-is-enabled/

---

6 诈骗者伪装成加密货币发起新一轮PayPal诈骗攻击

研究人员发现，新一轮PayPal发票诈骗以区块链/加密货币相关业务为伪装。虽然诈骗者使用一种非常常见的方法，冒充PayPal卖家通过PayPal系统发送随机目标发票，称用户已被收取一定金额的费用并推动他们点击恶意链接，但他们使用不同区块链上的知名公司/代币的名称进行攻击。利用的名称包括Stellar XLM、Bitcoin Exchange、Terra Luna Classic、Oasis Network和TrueUSD。

https://www.infosecurity-magazine.com/news/paypal-invoice-scams-using-crypto/