Puma遭遇勒索攻击致数据泄漏、微软修复48个安全漏洞｜2月9日全球网络安全热点

安全资讯报告

Puma在Kronos勒索软件攻击后遭受数据泄露

运动服装制造商Puma在2021年12月对其北美劳动力管理服务提供商之一Kronos发起勒索软件攻击后，遭到数据泄露。

本月早些时候向几家司法部长办公室提交的数据泄露通知称，攻击者还在加密数据之前从Kronos私有云(KPC)云环境中窃取了属于Puma员工及其家属的个人信息。

袭击发生后，一名在事件中受到影响的Kronos客户告诉BleepingComputer，他们不得不重新使用纸和铅笔来削减支票并监控计时。Kronos于2022年1月10日将这一事件通知了PUMA。

虽然没有提到有多少Puma员工的信息在攻击期间被盗，但提供给缅因州总检察长办公室的信息显示，勒索软件运营商掌握了属于6,632个人的数据。

Puma还表示，在Kronos勒索软件攻击期间被盗的文件包括向同一办公室提交的社会安全号码。

新闻来源：

https://www.bleepingcomputer.com/news/security/puma-hit-by-data-breach-after-kronos-ransomware-attack/g g t

微软因恶意软件滥用而禁用MSIX协议

微软周五宣布MSIX的ms-appinstaller协议已被暂时禁用，因为它已被恶意软件滥用。微软在12月宣布了补丁和解决方法，但它仍在努力解决该漏洞，与此同时，它决定禁用该协议。

虽然微软的公告表明该协议现在才被禁用，但开发人员抱怨它在12月CVE-2021-43890被披露后不久后被禁用。

网络犯罪分子一直在滥用这种方法，通过诱骗用户安装明显合法的应用程序来将恶意软件传递给用户。

禁用协议处理程序后，Windows中的App Installer组件将不再能够直接从Web服务器安装应用程序。用户必须下载他们想要的应用程序，然后安装。

“我们认识到这个功能对于许多企业组织来说至关重要，”微软的DianHartono说。“我们正在花时间进行彻底的测试，以确保可以以安全的方式重新启用协议。我们正在考虑引入一个组策略，允许IT管理员重新启用协议并控制其在组织内的使用。”

新闻来源：

https://www.securityweek.com/microsoft-disables-msix-protocol-due-abuse-malware

微软称Mac木马变得更隐秘、更具威胁性

微软的恶意软件猎手正在呼吁关注一个令人讨厌的macOS恶意软件家族，该家族已经从基本的信息收集木马迅速演变为具有更强大功能的隐秘后门。

名为UpdateAgent的macOS恶意软件家族于一年多前首次浮出水面，具有基本的感染和数据盗窃功能，但研究人员发现了该恶意软件正在成为功能齐全的间谍工具包的迹象。

微软在一份记录UpdateAgent恶意软件系列的报告中表示：“最新的活动看到恶意软件安装了隐蔽和持久的Adload广告软件，但理论上可以进一步利用UpdateAgent获得设备访问权限的能力来获取其他可能更危险的有效负载。”

该恶意软件目前被用于从恶意在线广告中窃取资金，还被发现绕过了Apple的Gatekeeper安全技术，并利用现有用户权限悄悄地执行恶意活动，然后删除证据以掩盖其踪迹。

该公司还发布了技术证据，表明UpdateAgent滥用公共云基础设施Amazon S3和CloudFront服务来托管有效负载。

“UpdateAgent的独特之处在于其持久性技术的逐步升级，这一关键特性表明该木马可能会在未来的活动中继续使用更复杂的技术。”微软警告说，并指出该木马很可能通过路过式下载或广告传播冒充合法软件应用程序的弹出窗口。

“这种冒充或将自身与合法软件捆绑在一起的行为增加了用户被诱骗安装恶意软件的可能性。安装后，UpdateAgent开始收集系统信息，然后将这些信息发送到其命令和控制(C2)服务器。

新闻来源：

https://www.securityweek.com/microsoft-says-mac-trojan-becoming-stealthier-more-menacing

美杜莎恶意软件加剧了Android短信网络钓鱼攻击

Medusa Android银行木马的感染率正在上升，因为它针对更多地理区域窃取在线凭证并进行金融欺诈。

今天，ThreatFabric的研究人员发布了一份新报告，详细介绍了Medusa恶意软件使用的最新技巧以及它如何继续发展新功能。

Medusa和FluBot特洛伊木马此前曾使用过“duckdns.org”，这是一种被滥用为交付机制的免费动态DNS，因此这并不是两者重叠的第一个迹象。

在ThreatFabric的一份新报告中，研究人员发现MedusaBot现在使用与FluBot相同的服务来执行smishing（SMS网络钓鱼）活动。研究人员认为，Medusa威胁参与者在看到FluBot活动的广泛传播和成功后开始使用这种分发服务。

Medusa的主要优势在于它滥用了Android的“可访问性”脚本引擎，它使演员能够像用户一样执行各种操作。

这些行动是：

• home_key–执行HOME全局操作

• ges-在设备的屏幕上执行指定的手势

• fid_click–点击具有指定ID的UI元素

• sleep–休眠（等待）指定的微秒数

• recent_key-显示最近的应用程序的概述

• scrshot_key–执行TAKE_SCREENSHOT全局操作

• notification_key–打开活动通知

• lock_key–锁定屏幕

• back_key–执行BACK全局动作

• text_click–点击显示指定文本的UI元素

• fill_text–尚未实现

总而言之，它是一款功能强大的银行木马，具有键盘记录功能、实时音频和视频流、远程命令执行选项等。安全专家建议，在任何情况下都不要从未知网站下载APK，因为它们总是会导致恶意软件感染。

新闻来源：

https://www.bleepingcomputer.com/news/security/medusa-malware-ramps-up-android-sms-phishing-attacks/

微软计划通过修改Office宏默认设置阻止恶意软件传递

微软宣布，从4月初开始，将难以在多个MicrosoftOffice应用程序中启用从Internet下载的VBA宏，从而有效地扼杀了一种流行的恶意软件分发方法。

在此更改推出后，Office用户将无法再通过单击按钮启用宏，因为它们被自动阻止。这将自动阻止通过恶意Office文档在家庭和企业网络上传播恶意软件的攻击，包括各种信息窃取木马和勒索软件团伙使用的恶意工具。

现在，在新的自动阻止默认设置生效之前，当Office打开一个文档时，它会检查它是否带有“Web标记”(MoTW)标记，这意味着它是从Internet下载的。如果找到此标记，Microsoft将以只读模式打开文档，阻止利用，除非用户单击文档顶部显示的“启用编辑”或“启用内容”按钮。

通过删除这些允许用户删除MoTW的按钮，并在默认情况下阻止来自不受信任来源的宏，大多数恶意文档将不再被执行，从而阻止恶意软件攻击利用这一弱点进行攻击。

据微软称，这一重大的安全改进将在以后推广到其他Office更新频道，例如当前频道、每月企业频道和半年企业频道。此更新还将在未来推送给OfficeLTSC、Office2021、Office2019、Office2016和Office2013用户。

在Office更新推出并阻止从Internet下载的文档中一键启用宏后，仍然可以通过进入文档的属性并选中右下角的“解锁”按钮来启用它们。

新闻来源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-plans-to-kill-malware-delivery-via-office-macros/

安全漏洞威胁

微软二月补丁日修复48个安全漏洞

今天是微软二月例行补丁日，微软发布安全更新修复了48个安全漏洞（不包括22个Microsoft Edge漏洞），漏洞等级均为“重要”，本月没有一个漏洞被归类为“严重”。修复包括一个曾被公开披露的0day漏洞，二月例行安全更新中没有被积极利用的0day漏洞。

腾讯安全专家建议所有受影响用户尽快升级安装补丁，推荐采用Windows更新、腾讯电脑管家、腾讯零信任iOA的漏洞扫描修复功能安装。

按漏洞性质分类，包括：

• 16个特权提升漏洞

• 3个安全功能绕过漏洞

• 16个远程代码执行漏洞

• 5个信息泄露漏洞

• 5个拒绝服务漏洞

• 3个欺骗漏洞

• 另有22个Edge-Chromium漏洞

更多信息，请参考微软2022年2月安全更新发行说明：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Feb

新闻来源：

https://s.tencent.com/research/report/160