安全資訊報告

Puma在Kronos勒索軟體攻擊後遭受資料洩露

 

運動服裝製造商Puma在2021年12月對其北美勞動力管理服務提供商之一Kronos發起勒索軟體攻擊後，遭到資料洩露。

 

本月早些時候向幾家司法部長辦公室提交的資料洩露通知稱，攻擊者還在加密資料之前從Kronos私有云(KPC)雲環境中竊取了屬於Puma員工及其家屬的個人資訊。

 

襲擊發生後，一名在事件中受到影響的Kronos客戶告訴BleepingComputer，他們不得不重新使用紙和鉛筆來削減支票並監控計時。Kronos於2022年1月10日將這一事件通知了PUMA。

 

雖然沒有提到有多少Puma員工的資訊在攻擊期間被盜，但提供給緬因州總檢察長辦公室的資訊顯示，勒索軟體運營商掌握了屬於6,632個人的資料。

 

Puma還表示，在Kronos勒索軟體攻擊期間被盜的檔案包括向同一辦公室提交的社會安全號碼。

 

新聞來源：

https://www.bleepingcomputer.com/news/security/puma-hit-by-data-breach-after-kronos-ransomware-attack/g g t

 

微軟因惡意軟體濫用而禁用MSIX協議

 

微軟週五宣佈MSIX的ms-appinstaller協議已被暫時禁用，因為它已被惡意軟體濫用。微軟在12月宣佈了補丁和解決方法，但它仍在努力解決該漏洞，與此同時，它決定禁用該協議。

雖然微軟的公告表明該協議現在才被禁用，但開發人員抱怨它在12月CVE-2021-43890被披露後不久後被禁用。

網路犯罪分子一直在濫用這種方法，透過誘騙使用者安裝明顯合法的應用程式來將惡意軟體傳遞給使用者。

禁用協議處理程式後，Windows中的App Installer元件將不再能夠直接從Web伺服器安裝應用程式。使用者必須下載他們想要的應用程式，然後安裝。

 

“我們認識到這個功能對於許多企業組織來說至關重要，”微軟的DianHartono說。“我們正在花時間進行徹底的測試，以確保可以以安全的方式重新啟用協議。我們正在考慮引入一個組策略，允許IT管理員重新啟用協議並控制其在組織內的使用。”

 

新聞來源：

https://www.securityweek.com/microsoft-disables-msix-protocol-due-abuse-malware

 

微軟稱Mac木馬變得更隱秘、更具威脅性

 

微軟的惡意軟體獵手正在呼籲關注一個令人討厭的macOS惡意軟體家族，該家族已經從基本的資訊收集木馬迅速演變為具有更強大功能的隱秘後門。

 

名為UpdateAgent的macOS惡意軟體家族於一年多前首次浮出水面，具有基本的感染和資料盜竊功能，但研究人員發現了該惡意軟體正在成為功能齊全的間諜工具包的跡象。

微軟在一份記錄UpdateAgent惡意軟體系列的報告中表示：“最新的活動看到惡意軟體安裝了隱蔽和持久的Adload廣告軟體，但理論上可以進一步利用UpdateAgent獲得裝置訪問許可權的能力來獲取其他可能更危險的有效負載。”

該惡意軟體目前被用於從惡意線上廣告中竊取資金，還被發現繞過了Apple的Gatekeeper安全技術，並利用現有使用者許可權悄悄地執行惡意活動，然後刪除證據以掩蓋其蹤跡。

該公司還發布了技術證據，表明UpdateAgent濫用公共雲基礎設施Amazon S3和CloudFront服務來託管有效負載。

“UpdateAgent的獨特之處在於其永續性技術的逐步升級，這一關鍵特性表明該木馬可能會在未來的活動中繼續使用更復雜的技術。”微軟警告說，並指出該木馬很可能透過路過式下載或廣告傳播冒充合法軟體應用程式的彈出視窗。

 

“這種冒充或將自身與合法軟體捆綁在一起的行為增加了使用者被誘騙安裝惡意軟體的可能性。安裝後，UpdateAgent開始收集系統資訊，然後將這些資訊傳送到其命令和控制(C2)伺服器。

 

新聞來源：

https://www.securityweek.com/microsoft-says-mac-trojan-becoming-stealthier-more-menacing

 

美杜莎惡意軟體加劇了Android簡訊網路釣魚攻擊

 

Medusa Android銀行木馬的感染率正在上升，因為它針對更多地理區域竊取線上憑證並進行金融欺詐。

 

今天，ThreatFabric的研究人員釋出了一份新報告，詳細介紹了Medusa惡意軟體使用的最新技巧以及它如何繼續發展新功能。

Medusa和FluBot特洛伊木馬此前曾使用過“duckdns.org”，這是一種被濫用為交付機制的免費動態DNS，因此這並不是兩者重疊的第一個跡象。

在ThreatFabric的一份新報告中，研究人員發現MedusaBot現在使用與FluBot相同的服務來執行smishing（SMS網路釣魚）活動。研究人員認為，Medusa威脅參與者在看到FluBot活動的廣泛傳播和成功後開始使用這種分發服務。

 

Medusa的主要優勢在於它濫用了Android的“可訪問性”指令碼引擎，它使演員能夠像使用者一樣執行各種操作。

 

這些行動是：

• home_key–執行HOME全域性操作

• ges-在裝置的螢幕上執行指定的手勢

• fid_click–點選具有指定ID的UI元素

• sleep–休眠（等待）指定的微秒數

• recent_key-顯示最近的應用程式的概述

• scrshot_key–執行TAKE_SCREENSHOT全域性操作

• notification_key–開啟活動通知

• lock_key–鎖定螢幕

• back_key–執行BACK全域性動作

• text_click–點選顯示指定文字的UI元素

• fill_text–尚未實現

 

總而言之，它是一款功能強大的銀行木馬，具有鍵盤記錄功能、實時音訊和影片流、遠端命令執行選項等。安全專家建議，在任何情況下都不要從未知網站下載APK，因為它們總是會導致惡意軟體感染。

 

新聞來源：

https://www.bleepingcomputer.com/news/security/medusa-malware-ramps-up-android-sms-phishing-attacks/

 

微軟計劃透過修改Office宏預設設定阻止惡意軟體傳遞

 

微軟宣佈，從4月初開始，將難以在多個MicrosoftOffice應用程式中啟用從Internet下載的VBA宏，從而有效地扼殺了一種流行的惡意軟體分發方法。

 

在此更改推出後，Office使用者將無法再透過單擊按鈕啟用宏，因為它們被自動阻止。這將自動阻止透過惡意Office文件在家庭和企業網路上傳播惡意軟體的攻擊，包括各種資訊竊取木馬和勒索軟體團伙使用的惡意工具。

 

現在，在新的自動阻止預設設定生效之前，當Office開啟一個文件時，它會檢查它是否帶有“Web標記”(MoTW)標記，這意味著它是從Internet下載的。如果找到此標記，Microsoft將以只讀模式開啟文件，阻止利用，除非使用者單擊文件頂部顯示的“啟用編輯”或“啟用內容”按鈕。

 

透過刪除這些允許使用者刪除MoTW的按鈕，並在預設情況下阻止來自不受信任來源的宏，大多數惡意文件將不再被執行，從而阻止惡意軟體攻擊利用這一弱點進行攻擊。

 

據微軟稱，這一重大的安全改進將在以後推廣到其他Office更新頻道，例如當前頻道、每月企業頻道和半年企業頻道。此更新還將在未來推送給OfficeLTSC、Office2021、Office2019、Office2016和Office2013使用者。

 

在Office更新推出並阻止從Internet下載的文件中一鍵啟用宏後，仍然可以透過進入文件的屬性並選中右下角的“解鎖”按鈕來啟用它們。

 

新聞來源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-plans-to-kill-malware-delivery-via-office-macros/

 

安全漏洞威脅

微軟二月補丁日修復48個安全漏洞

 

今天是微軟二月例行補丁日，微軟釋出安全更新修復了48個安全漏洞（不包括22個Microsoft Edge漏洞），漏洞等級均為“重要”，本月沒有一個漏洞被歸類為“嚴重”。修復包括一個曾被公開披露的0day漏洞，二月例行安全更新中沒有被積極利用的0day漏洞。

 

騰訊安全專家建議所有受影響使用者儘快升級安裝補丁，推薦採用Windows更新、騰訊電腦管家、騰訊零信任iOA的漏洞掃描修復功能安裝。

 

按漏洞性質分類，包括：

• 16個特權提升漏洞

• 3個安全功能繞過漏洞

• 16個遠端程式碼執行漏洞

• 5個資訊洩露漏洞

• 5個拒絕服務漏洞

• 3個欺騙漏洞

• 另有22個Edge-Chromium漏洞

 

更多資訊，請參考微軟2022年2月安全更新發行說明：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Feb

 

新聞來源：

https://s.tencent.com/research/report/160