每日安全简讯(20220714)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布关于Confucius组织攻击活动的分析报告

近期，安天CERT在对来自南亚次大陆方向的攻击事件进行追踪和梳理时，发现一起Confucius组织针对巴基斯坦政府、军事机构的攻击活动。在安天CERT发现的本次攻击活动中，该组织主要伪装成巴基斯坦政府工作人员向目标投递鱼叉式钓鱼邮件，通过钓鱼邮件内容诱骗目标下载、打开嵌入恶意宏代码的文档，从而向目标机器植入开源木马QuasarRAT、自研C++后门木马、C#窃密木马以及JScript下载者木马。目前，该起攻击活动已引起巴基斯坦政府相关部门注意，其中巴基斯坦国家电信和信息技术安全委员会（NTISB）多次发出全国网络威胁预警，称攻击者正在向政府官员和公众发送模仿巴基斯坦总理办公室的虚假网络钓鱼电子邮件，因此要求政府官员和公众保持警惕，不要通过电子邮件和社交媒体链接提供任何信息。


https://mp.weixin.qq.com/s/n6XQAGtNEXfPZXp1mlwDTQ

---

2 Qakbot恶意软件操控者改变投送手段以逃避检测

Zscaler Threatlabz的研究人员发现，Qakbot恶意软件的操控人员正在改变他们的投送手段，以试图避开检测。最近，威胁参与者通过使用ZIP文件扩展名、使用常见格式的文件名和Excel（XLM）4.0来诱骗受害者下载安装Qakbot的恶意附件，从而改变了他们的技术以逃避检测。威胁行为者还部署了其他更微妙的技术，以防止自动检测并提高攻击成功的几率，包括混淆代码、利用多个URL来交付有效载荷、使用未知的文件扩展名来交付有效载荷，以及通过在初始危害、交付和最终执行之间引入新层来改变流程的步骤。此外，进一步的修改还包括使用PowerShell下载DLL恶意软件以及从regsvr32.exe切换到rundlll32.exe来加载有效负载。


https://www.zscaler.com/blogs/se ... g-threat-techniques

---

3 立陶宛能源公司Ignitis集团遭到大规模DDOS攻击

上周六，立陶宛能源公司Ignitis集团遭受了被其称为“十年来最大的网络攻击”，当时针对该公司的分布式拒绝服务（DDoS）攻击破坏了其数字服务和网站。Killnet黑客组织在其Telegram频道声称对上周六的攻击事件负责，这是该组织在立陶宛发起的最新一次攻击，原因是该国在与俄罗斯的战争中支持乌克兰。7月9日Ignitis集团在Facebook上的一篇帖子中表示，该公司已经能够管理和限制攻击对其系统的影响，并且没有记录到任何违规行为。然而，该帖子还透露，攻击仍在继续。


https://www.infosecurity-magazin ... energy-ddos-attack/

---

4 攻击者使用AiTM网络钓鱼网站进一步发起BEC诈骗

微软表示，从2021年9月开始，一系列大规模的网络钓鱼活动攻击了1万多个组织，该攻击活动使用中间对手（AiTM）网络钓鱼网站窃取密码、劫持用户的登录会话并绕过身份验证过程，即使受害者启用了多因素身份验证（MFA）。一旦获得访问用户邮箱的凭据和会话cookie，威胁参与者就会针对其他目标发起商业电子邮件诈骗（BEC）活动。此活动中使用的登录页旨在通过冒充Office在线身份验证页面来针对Office 365身份验证过程。在专家观察到的一些攻击中，攻击者还会使用带有HTML文件附件的钓鱼邮件。为了诱骗受害者打开附件，该消息通知收件人他们有一条语音消息。


https://www.microsoft.com/securi ... er-financial-fraud/

---

5 微软发布7月补丁更新总共修复了84个安全漏洞

微软发布了7月的补丁星期二更新，以解决跨越多个产品类别的84个新安全漏洞，其中包括一个正在被积极利用的零日漏洞。修复的零日漏洞被追踪为CVE-2022-22047（CVSS分数：7.8），这是Windows客户端服务器运行时子系统（CSRSS）中的权限提升漏洞，攻击者可能会滥用该漏洞来获取系统权限。微软在同一组件中还修复了另外两个特权提升漏洞：CVE-2022-22026（CVSS得分：8.8）和CVE-2022-22049（CVSS得分：7.8）。除此之外，微软7月的更新还修复了Windows Print Spooler模块中的四个权限提升漏洞（CVE-2022-22022、CVE-2022-22041、CVE-2022-30206和CVE-2022-30226)。


https://thehackernews.com/2022/0 ... x-for-zero-day.html

---

6 ExpressLRS协议中的漏洞允许攻击者接管无人机

研究人员警告称，名为ExpressLRS的无线电遥控（RC）无人机协议存在漏洞，可以利用该漏洞接管无人机。根据最近发布的公告，攻击者可以通过观察相关发射器的流量来控制任何接收器。仅使用标准的ExpressLRS兼容发射器，就可以在观察到来自相应发射器的流量后控制任何接收器。绑定阶段的安全问题可能允许攻击者提取接收器和发送器之间共享的部分标识符。对这部分的分析，以及暴力破解，可以让攻击者发现标识符的剩余部分。一旦攻击者获得了完整的标识符，它就可以在不知道绑定短语的情况下，通过使用发射器接管包含接收器的飞行器。


https://securityaffairs.co/wordp ... rones-takeover.html

---