1、微软称数百万个Android设备预装的应用存在多个漏洞
微软在5月27日发布报告称,在数百万个Android设备预装的应用存在多个严重的漏洞。据悉,研究人员在mce Systems的移动框架中发现了4个漏洞,分别为CVE-2021-42598、CVE-2021-42599、 CVE-2021-42600和CVE-2021-42601,可导致命令注入和提权等。根据mce Systems的说法,其中部分漏洞还影响了Android和iOS设备上的其它应用。受影响应用在Google Play上有数百万次下载量,作为系统应用程序预装在从AT&T和TELUS等运营商处购买的设备上。目前,这些漏洞已被修复。
https://www.microsoft.com/security/blog/2022/05/27/android-apps-with-millions-of-downloads-exposed-to-high-severity-vulnerabilities/
2、新Android木马ERMAC 2.0可以从467个应用中窃取信息
据媒体5月26日报道,Android银行木马ERMAC已已出现2.0版本,针对的目标应用数量从之前的378个增加到467个。该恶意软件旨在窃取目标的登录凭据并发送给攻击者,然后利用窃取的凭证来控制目标的银行和加密货币账户,进行金融或其它形式的欺诈。研究人员发现的第一个利用了ERMAC 2.0的活动是针对波兰的,攻击者冒充了欧洲外卖服务Bolt Food,通过bolt-food[.]site网站分发恶意软件。为防止Android木马感染,研究人员建议用户尽量避免从Play Store以外下载APK。
https://www.bleepingcomputer.com/news/security/new-ermac-20-android-malware-steals-accounts-wallets-from-467-apps/
3、勒索团伙Clop卷土重来,仅今年4月就已攻击21个目标
媒体5月28日称,勒索团伙Clop在去年11月至今年2月短暂地关闭数月后,又卷土重来。在国际刑警组织协调的代号为Operation Cyclone的执法行动之后,Clop部分基础设施于2021年6月关闭,6个成员被捕。NCC Group的数据显示,4月份Clop在其网站新增了21个已被攻击的目标,其主要针对工业行业,占比为45%,其次是科技公司(27%)。此外,Lockbit 2.0和Conti是4月份最活跃的团伙,分别攻击了103和45个目标。
https://www.bleepingcomputer.com/news/security/clop-ransomware-gang-is-back-hits-21-victims-in-a-single-month/
4、GitHub公开近10万NPM用户凭据的OAuth令牌被盗的信息
GitHub在5月26日透露,4月中旬的安全事件中,攻击者利用Heroku和Travis-CI的被盗OAuth应用的令牌窃取了约100000个npm帐户的登录信息。自4月12日遭到以来,GitHub一直在调查这次攻击对npm的影响,并在近期发现了新的信息。攻击者可利用被盗令牌升级对npm基础设施的访问权限,并窃取skimdb.npmjs.com的数据库备份中截至2021年4月7日的数据(包含约10万npm用户信息)、截至2022年4月10日所有npm私有包的已发布版本名称和版本号(semVer)的存档,以及两个组织的部分私有包。
https://github.blog/2022-05-26-npm-security-update-oauth-tokens/
5、奥地利克恩顿州遭到BlackCat的攻击并被勒索500万美元
据5月27日报道,奥地利克恩顿州(Carinthia)遭到了BlackCat的勒索攻击。攻击发生在上周二,该州政府服务的运营发生中断,并被勒索500万美元。据称,数千个工作站已被加密,Carinthia的官网和邮件服务处于离线状态,政府无法签发护照或处理交通罚款。该州发言人Gerd Kurath表示,他们不会满足攻击者的要求,BlackCat没有从他们的系统中窃取任何数据,而他们可以用备份恢复设备。此外,在受影响的3000个系统中,第一批系统预计在5月27日可重新启用。
https://www.bleepingcomputer.com/news/security/blackcat-alphv-ransomware-asks-5-million-to-unlock-austrian-state/
6、Kaspersky发布2022年Q1网络威胁态势的分析报告
5月27日,Kaspersky发布了2022年第一季度网络威胁态势的分析报告。报告概述了几次有针对性的攻击,分别为恶意软件MoonBounce攻击UEFI固件、APT组织BlueNoroff继续寻找加密货币、Roaming Mantis已将攻击范围扩展到欧洲、与乌克兰危机有关的网络攻击,以及Lazarus使用木马化DeFi应用来分发恶意软件。此外,报告还包括其它的恶意软件活动,如Noreboot假装iPhone重启、在ICS网络上寻找公司凭证、Lapsus$组入侵Okta和网络钓鱼工具包市场。
https://securelist.com/it-threat-evolution-q1-2022/106513/
EV
一种工具可制作TCP数据包并利用一些TCP/IP数据包操作技术来绕过IDS设备。
https://github.com/TomAPU/ev
hollows_hunter
扫描所有正在运行的进程,识别并转储各种潜在的恶意植入。
https://github.com/hasherezade/hollows_hunter
mitmproxy2swagger
自动逆向工程REST API。
https://github.com/alufers/mitmproxy2swagger
CISA发布5G安全评估流程计划
https://www.infosecurity-magazine.com/news/cisa-5g-security-evaluation-process/
谷歌关闭了两家俄罗斯ISP的缓存服务器
https://www.bleepingcomputer.com/news/technology/google-shut-down-caching-servers-at-two-russian-isps/
黑客窃取了数百名Verizon员工的信息
https://www.databreaches.net/hacker-steals-database-of-hundreds-of-verizon-employees/
Tails 5.0 Linux提醒用户不要将其用于“敏感信息”
https://www.bleepingcomputer.com/news/security/tails-50-linux-users-warned-against-using-it-for-sensitive-information/
意大利宣布其2022/26年国家网络安全战略
https://securityaffairs.co/wordpress/131674/security/italy-national-cybersecurity-strategy.html
Windows 11 KB5014019与趋势科技产品存在兼容性问题
https://www.bleepingcomputer.com/news/security/windows-11-kb5014019-breaks-trend-micro-ransomware-protection/
工业间谍数据勒索市场
https://www.bleepingcomputer.com/news/security/industrial-spy-data-extortion-market-gets-into-the-ransomware-game/
