每日安全简讯(20211225)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者绕过Microsoft Office补丁传播Formbook恶意软件

网络犯罪分子已经找到了一种方法来绕过被跟踪为CVE-2021-40444的Microsoft Office漏洞补丁(CVSS得分为8.8)。坏消息是，攻击者正在利用它来分发Formbook恶意软件。CVE-2021-40444是一个影响MSHTML文件格式的远程代码执行漏洞。想要利用该漏洞的攻击者需要诱骗受害者打开一个恶意文档。研究人员观察到攻击者通过持续大约36小时的恶意垃圾邮件活动传播一个名为Profile.rar的存档文件，当打开存档文件时，将执行脚本把Formbook恶意软件投放到受害者的系统上。


https://securityaffairs.co/wordp ... bypass-malware.html

---

2 AvosLocker勒索软件重启系统到安全模式以绕过防御措施

近日，AvosLocker勒索软件团伙已经开始把重点放在禁用终端安全解决方案上，他们重新启动受攻击的系统进入Windows安全模式以绕过这些解决方案。这种策略使得加密受害者的文件更容易，因为在Windows设备以安全模式启动后，大多数安全解决方案将自动禁用。AvosLocker团伙利用PDQ Deploy（一个合法的自动化补丁管理部署工具），将几个Windows批处理脚本投放到目标机器上，这有助于他们为攻击奠定基础。这些脚本修改或删除属于特定终端安全工具的注册表项。这些脚本还会在受感染的机器上创建一个新用户帐户，将其命名为“newadmin”并将其添加到管理员用户组。


https://www.bleepingcomputer.com ... ass-security-tools/

---

3 新电影蜘蛛侠的俄罗斯种子文件中附加了门罗币挖矿工具

网络安全公司里森实验室警告《蜘蛛侠:无家可归》的狂热粉丝，如果他们决定通过bt下载而不是去电影院看这部电影，要小心加密货币挖矿工具。研究人员表示，他们发现新电影的俄罗斯种子文件中有门罗币挖矿工具。该挖矿工具向Windows Defender添加了排除项，创建持久性，并生成看门狗进程维护其活动，它创建的文件和进程使用看似“合法”的名称来逃避检测。研究人员建议，从非官方来源下载任何类型的内容时都要格外小心。


https://www.zdnet.com/article/be ... -way-home-torrents/

---

4 黑客利用Echelon信息窃取程序针对Telegram用户的加密钱包

研究人员表示，攻击者正在使用Echelon信息窃取程序瞄准Telegram用户的加密钱包，窃取加密货币和用户账户的凭证。研究人员发现，去年10月Telegram上发布了一份Echelon加密货币的样本。该恶意活动中使用的恶意软件旨在窃取多个消息和文件共享平台的证书，包括Discord、Edge、FileZilla、OpenVPN、Outlook，甚至Telegram本身，以及多个加密货币钱包，包括AtomicWallet、bitcoinore、ByteCoin、Exodus、Jaxx和Monero。


https://threatpost.com/telegram- ... credentials/177266/

---

5 捷克工业自动化公司mySCADA的myPRO产品存在多个漏洞

一名研究人员在捷克工业自动化公司mySCADA的myPRO产品中发现了十几个漏洞，其中几个漏洞被评为严重级别。CISA已经发布了两份关于这些漏洞的建议，一份于8月发布，另一份于12月21日发布。研究人员Heinzl也发布了针对每个漏洞的建议。Heinzl发现的第一轮漏洞于7月发布8.20.0版本进行修补，而第二轮漏洞则于11月初发布8.22.0版本进行修补。8.20.0版本修补了四个高危漏洞，利用这些漏洞可获取敏感信息或无需身份验证远程上传任意文件。8.22.0版本修复了八个漏洞，其中一个关键漏洞可用于绕过身份验证，一个与后门帐户有关，而其余漏洞可被远程、未经身份验证的攻击者利用以进行操作系统命令注入。


https://www.securityweek.com/sev ... ro-hmiscada-product

---

6 美国服装供应商Pro Wrestling Tee披露了数据泄露

销售职业摔跤运动员T恤的Pro Wrestling Tees公司发现，一些客户的信用卡号码被泄露。这家总部位于芝加哥的公司寄给可能受到影响的客户的一封信表明，与恶意软件相关的客户姓名和支付卡数据泄露事件于11月1日曝光。12月18日，这封信的截屏被一个摔跤粉丝分享到了推特上。Pro Wrestling Tees表示，一家网络安全公司已经帮助其删除了恶意软件。


https://portswigger.net/daily-sw ... -hit-by-data-breach

---