维他命每日安全简讯（2023.03.31）

1、微软调查Defender将合法URL识别为恶意链接的问题

      据媒体3月29日报道，微软在调查合法URL链接被Microsoft Defender服务识别为恶意链接的问题。自问题出现的五个多小时以来，一些客户已经收到了数十封警告邮件。微软表示，尽管存在误报警报，但用户仍然能够访问合法URL，其也在调查服务的哪一部分出错将合法的URL识别为恶意。3月29日15:08 EDT更新显示，误报问题已通过恢复最近对SafeLinks功能的更新解决。

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-mistakenly-tagging-urls-as-malicious/

2、研究人员发现利用木马化3CX桌面应用的供应链攻击

      媒体3月29日报道称，研究人员披露了利用木马化3CX桌面应用的供应链攻击。3CX是一家VoIP IPBX软件开发公司，其3CX Phone System被全球超过600000家公司使用。SentinelOne透露，木马化3CXDesktopApp是攻击链中的第一阶段，它从Github中提取附加了base64数据的ICO文件，并最终导致第三阶段的信息窃取程序DLL。3CX CEO Nick Galea表示，其使用的上游库已被感染，Android和iOS版本不受影响。他建议所有用户卸载桌面应用程序，转而使用PWA客户端。

https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/

3、Google披露利用Android和iOS中多个漏洞的攻击活动

      3月29日，Google披露了最近发现的两个攻击活动，利用了Android、iOS和Chrome中多个漏洞。第一个活动于2022年11月被发现，利用了iOS WebKit RCE漏洞(CVE-2022-42856)和Chrome GPU沙箱绕过漏洞(CVE-2022-4135)等，主要针对意大利、马来西亚和哈萨克斯坦。2022年12月，研究人员发现了第二个活动，利用了CVE-2022-4262和CVE-2023-0266等漏洞，针对最新版本的三星浏览器。它将来自阿拉伯联合酋长国(UAE)的目标重定向到商业间谍软件供应商Variston开发的Heliconia框架相同的登陆页面，最终安装一个基于C++的Android间谍软件套件。

https://blog.google/threat-analysis-group/spyware-vendors-use-0-days-and-n-days-against-popular-platforms/

4、软件供应商Nebu因泄露约200万用户的信息被起诉

      3月30日媒体称，约200万荷兰公民的数据被泄露，涉及一些使用Nebu软件的市场研究机构。其中一家机构现将该软件供应商告上法庭，市场研究机构Blauw希望通过法院强制要求Nebu提供更多关于泄露事件的信息，包括哪些数据已被泄露以及事件是如何发生。该事件影响了De Vrienden van Amstel LIVE、荷兰高尔夫联合会（NGF）、运营商NS和供应商VodafoneZiggo等。荷兰数据保护局（AP）表示，不排除有更多的公司和组织受到影响。

https://www.nu.nl/tech/6257515/data-van-2-miljoen-nederlanders-gelekt-softwareleverancier-voor-rechter-gesleept.html

5、印度制药公司Sun Pharmaceuticals遭到勒索攻击

      据3月30日报道，印度最大的制药公司Sun Pharmaceuticals透露其遭到勒索攻击，公司数据和个人信息被盗。这是全球第四大特种仿制药公司，2022年收入50亿美元。该公司表示，一个勒索团伙已声称对这起事件负责，它没有透露该团伙的名字。但是，勒索团伙Black Cat于3月24日在其网站上列出了该公司。该公司表示，作为响应措施其隔离了网络并启动了恢复程序，因此公司的业务运营受到了影响。

https://therecord.media/sun-pharma-india-ransomware-attack

6、Kaspersky发布2022年的金融行业威胁态势的报告

      3月29日，Kaspersky发布2022年的金融行业威胁态势的报告。2022年，金融钓鱼占所有钓鱼攻击的36.3%。网店品牌是最受欢迎的诱饵，占钓鱼网站访问次数的15.56%。受金融恶意软件影响的用户数量比2021年下降了14%。Ramnit是最流行的恶意软件家族，占比为34.4%，其次是Zbot，占16.2%。遭到银行恶意软件攻击的Android用户数量比去年减少了55%。Bian超越Agent成为最活跃的移动恶意软件，占比24.25%，而Agent为21.57%。

https://securelist.com/financial-cyberthreats-in-2022/109219/

BingBang：AAD配置错误导致Bing.com帐户接管

https://www.wiz.io/blog/azure-active-directory-bing-misconfiguration

SafeMoon被黑流动资金池中损失890万美元

https://www.bleepingcomputer.com/news/cryptocurrency/safemoon-burn-bug-abused-to-drain-89-million-from-liquidity-pool/

新Linux恶意软件Mélofée

https://blog.exatrack.com/melofee/

IBM Aspera Faspex中漏洞CVE-2022-47986被利用

https://arstechnica.com/information-technology/2023/03/ransomware-crooks-are-exploiting-ibm-file-exchange-bug-with-a-9-8-severity/

Steam将于2024年1月停止支持Windows 7和8

https://www.bleepingcomputer.com/news/software/steam-will-drop-support-for-windows-7-and-8-in-january-2024/

2022年最常被利用的五个漏洞

https://www.qualys.com/docs/qualys-2023-trurisk-threat-research-report.pdf

Samba修复多个安全漏洞

https://www.samba.org/samba/history/security.html

QRExfiltrate - 将任何二进制文件转换为二维码GIF

https://github.com/Shell-Company/QRExfil

乌克兰警方捣毁盗窃430万美元的欺诈团伙

https://www.bleepingcomputer.com/news/security/ukrainian-cyberpolice-busts-fraud-gang-that-stole-43-million/

工业控制系统的安全咨询

https://www.cisa.gov/news-events/alerts/2023/03/30/cisa-releases-one-industrial-control-systems-advisory

推荐阅读：