TAC-040利用Confluence漏洞安装Ljl Backdoor；微软称其最新版本某些Windows系统存在数据损坏问题

1、TAC-040利用Confluence中漏洞安装Ljl Backdoor

      据媒体8月4日报道，Deepwatch发现TAC-040团伙利用Atlassian Confluence中漏洞的攻击活动。此次攻击发生在5月，并持续了7天，通过对网络日志的分析表明TAC-040已在目标系统中窃取了约700MB数据。疑似被利用的漏洞是对象图导航语言(OGNL)注入漏洞（CVE-2022-26134），已在2022年6月4日被修复。此外，该活动分发了新后门Ljl Backdoor，它可以收集文件和用户帐户、加载任意.NET payload并收集系统信息及目标地理位置。

https://thehackernews.com/2022/08/hackers-exploited-atlassian-confluence.html

2、微软称其最新版本某些Windows系统存在数据损坏问题

      微软公司在8月8日透露，支持最新矢量高级加密标准(AES)(VAES)指令集的Windows设备可能容易受到数据损坏的影响。使用最新处理器的Windows设备在Windows 11和Windows Server 2022存在问题，受此问题影响的设备在新硬件上使用AES-XTS或AES-GCM分组密码模式。虽然该公司提到了受影响系统的会存在数据丢失风险，但并未详细说明会发生什么，该问题已在5月24日和6月14日发布的预览版和安全版中修复。但是，这些更新也会对性能造成影响，微软建议存在性能下降问题的用户安装6月23日的预览更新或7月12日的安全更新。

https://www.bleepingcomputer.com/news/microsoft/windows-devices-with-newest-cpus-are-susceptible-to-data-damage/

3、Lazarus冒充Coinbase对金融科技行业进行钓鱼攻击

      媒体8月7日称，朝鲜黑客团伙Lazarus冒充Coinbase对金融科技行业进行钓鱼攻击。在该活动中，攻击者假装来自Coinbase招聘产品安全工程经理。诱饵是关于工作职位的PDF文件Coinbase_online_careers_2022_07.exe，这实际上是使用了PDF图标的恶意可执行文件，会在显示诱饵PDF的同时加载恶意DLL。一旦执行，恶意软件将使用GitHub作为C2来接收命令。美国情报部门曾提醒，Lazarus会传播木马化加密货币钱包和投资应用来窃取目标的资产。 

https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-crypto-experts-with-fake-coinbase-job-offers/

4、Ahnlab发现主要针对韩国的新勒索软件GwisinLocker    

      Ahnlab在8月3日称其发现了一个新的勒索软件家族GwisinLocker，主要针对韩国的医疗保健、工业和制药行业。该恶意软件来源于Gwisin团伙，因为攻击恰逢韩国公众假期和凌晨，研究人员推断攻击者深知韩国文化和商业习惯。加密Windows系统时，感染始于执行MSI安装文件，需要特殊的命令行参数来正确加载作为勒索软件加密器的嵌入式DLL；而Linux版本中，加密器着重于加密VMware ESXi虚拟机，使用了带有SHA256 hashing的AES对称密钥加密。

https://asec.ahnlab.com/en/37483/

5、攻击者用美国运通等合法域的开放重定向漏洞攻击M365用户

      据8月8日报道，攻击者滥用合法域（Snapchat和美国运通）上的开放重定向漏洞来窃取Microsoft 365用户的凭据。攻击发生在今年5月中旬到7月下旬，攻击者利用受信任组织和网站的域作为临时登录页面，以简化钓鱼攻击。在这两个半月内，Inky检测到从Google Workspace和Microsoft 365发送的6812封钓鱼邮件中利用了Snapchat开放重定向漏洞，2029封钓鱼邮件利用了americanexpress[.]com重定向漏洞。

https://securityaffairs.co/wordpress/134131/cyber-crime/snapchat-amex-open-redirects-phishing.html

6、Cisco发布关于C2aaS平台Dark Utilities的分析报告

      8月4日，Cisco Talos发布了关于C2即服务（C2aaS）平台Dark Utilities的分析报告。Dark Utilities于2022年初发布，是一个为攻击者提供全功能C2的平台，可在目标系统上进行远程访问、命令执行、分布式拒绝服务(DDoS)攻击和加密货币挖掘。该平台目前支持基于Windows、Linux和Python的payload，并托管在星际文件系统(IPFS)中，可针对多种架构进行攻击而无需大量开发资源。研究人员称，自该恶意软件发布以来，已在野检测到它被用来进行远程访问和挖矿的活动。

https://blog.talosintelligence.com/2022/08/dark-utilities.html

ForceAdmin

      是ac# payload构建器，创建无限的UAC弹出窗口，直到用户允许程序运行。

https://github.com/catzsec/ForceAdmin

Apache Tomcat Scanner

      用于扫描Apache Tomcat服务器漏洞的python脚本。

https://github.com/p0dalirius/ApacheTomcatScanner

Kage

      Metasploit Meterpreter和会话处理程序的图形用户界面。

https://github.com/Zerx0r/Kage

Monero CoinMiner通过Webhards分发

https://asec.ahnlab.com/en/37526/

希腊情报部门使用恶意软件监视某记者

https://securityaffairs.co/wordpress/134097/intelligence/greek-intelligence-surveillance-malware.html

Windows 10 22H2即将到来

https://www.bleepingcomputer.com/news/microsoft/windows-10-22h2-is-coming-heres-everything-we-know/

马来西亚部长表示正在对PDPA进行修正

https://www.databreaches.net/malaysian-minister-says-amendments-to-pdpa-in-the-works-after-repeated-data-breached/

2022年上半年政府强制关闭网络影响19亿人

https://www.networkworld.com/article/3669388/government-imposed-internet-shutdowns-impacted-19-billion-people-in-first-half-of-2022.html#tk.rss_security

美国和澳大利亚安全机构发布2021年顶级恶意软件家族列表

https://therecord.media/u-s-and-australian-security-agencies-release-list-of-2021s-top-malware-strains/

推荐阅读：