维他命每日安全简讯（2023.08.09）

每日头条

1、微软8月份安全更新修复两个被利用漏洞在内的87个漏洞

据媒体8月8日报道，是微软发布了8月份的周二补丁，总计修复了87个漏洞，其中包括两个被主动利用的漏洞。已被利用的漏洞分别是.NET和Visual Studio拒绝服务漏洞（CVE-2023-38180），微软未公开利用此漏洞的攻击的详情。另一个是先前已缓解并被积极利用的远程代码执行漏洞（CVE-2023-36884）的补丁绕过问题，该漏洞被RomCom用来分发勒索软件Industrial Spy。此外，还修复了较为严重的Outlook RCE漏洞（CVE-2023-36895）和Teams RCE漏洞（CVE-2023-29328和CVE-2023-29330）等。

https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2023-patch-tuesday-warns-of-2-zero-days-87-flaws/

2、安装量250万次的43个Android应用在锁屏时加载广告

据8月8日报道，McAfee发现Google Play中的43个Android应用会在手机锁屏时加载广告。这些应用伪装成电视/DMB播放器、音乐下载器、新闻和日历应用程序，安装量高达250万次，主要针对韩国的目标。此类恶意应用会耗尽设备电池寿命并消耗大量流量。一旦安装，这些广告应用会等待几周才启动恶意活动，以欺骗用户并绕过Google审核人员的检测。目前，Google已从其应用商店中删除了这些应用。

https://securityaffairs.com/149274/malware/google-play-43-rogue-android.html

3、Cisco披露利用Yashma的变体针对越南等国的攻击活动

Cisco Talos在8月7日披露了利用勒索软件Yashma的变体针对保加利亚和越南等国的攻击活动。攻击活动始于6月4日左右，可能与越南的黑客团伙有关。该活动模仿了WannaCry的勒索信，并表示如果目标不在三天内交赎金，赎金金额将翻倍。但勒索信中没有列出赎金数额，共享的账户中也没有比特币，这表明该活动可能仍处于初期阶段。此外，攻击者没有在二进制文件中嵌入勒索信的字符串，而是通过执行嵌入的批处理文件，从攻击者的GitHub存储库中下载。

https://blog.talosintelligence.com/new-threat-actor-using-yashma-ransomware/

4、间谍软件服务LetMeSpy在大规模数据泄露后停止运营

媒体8月7日称，Android间谍软件服务LetMeSpy在发生大规模数据泄露后，被迫停止运营。泄露事件发生于6月21日，包括超过13000个位置数据点和26000名客户的数据等。LetMeSpy通过其网站发布了一则公告，通知用户将在8月31日之前停止所有服务。事件发生后，LetMeSpy的网站也落入了黑客的控制之下。针对这一情况，LetMeSpy已指示希望访问其数据的用户在9月30日之前使用网站上提供的邮件地址联系公司。

https://www.hackread.com/letmespy-android-spyware-data-breach-shuts-down/

5、Kasada发现利用撞库工具OpenBullet分发RAT的活动

8月7日报道称，Kasada发现了新的攻击活动，利用恶意OpenBullet配置文件来分发窃取信息的RAT。OpenBullet是一个合法的开源渗透测试工具，用于自动撞库攻击。虽然OpenBullet配置文件的多功能性可以实现复杂的攻击，但缺乏经验的新手黑客不能完全理解正在创建哪些请求以及正在检索哪些数据。这些恶意配置会访问GitHub存储库来检索基于Rust的dropper Ocean，它会下载基于Python的恶意软件Patent。最终启动一个RAT，以Telegram作为C2，窃取浏览器密码、cookie和加密钱包等信息。

https://thehackernews.com/2023/08/new-malware-campaign-targets.html

6、Fortinet发布2023年上半年全球威胁态势的分析报告

8月7日，Fortinet发布了2023年上半年全球威胁态势的分析报告。今年上半年，研究人员发现APT活动频繁、勒索软件频率和复杂性提高以及僵尸网络活动增加等趋势。虽然攻击数量并未像过去那样持续攀升，但入侵企图变得更加复杂和有针对性。攻击者利用主要漏洞的可能性增加了327倍。在MITRE识别的138个攻击团伙中，有41个(30%)在今年上半年活跃。在过去五年中，唯一漏洞的利用次数增加了68%，恶意软件家族和变体呈爆炸式增长，分别增长了135%和175%。

https://www.fortinet.com/blog/threat-research/fortiguard-labs-threat-report-key-findings-1h-2023

安全动态

黑客滥用Cloudflare Tunnels进行隐秘连接

https://www.bleepingcomputer.com/news/security/hackers-increasingly-abuse-cloudflare-tunnels-for-stealthy-connections/

谷歌Android系统中的多个漏洞

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-android-os-could-allow-for-remote-code-execution_2023-089

Honeypot Recon：针对Redis的SkidMap新变体

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/honeypot-recon-new-variant-of-skidmap-targeting-redis/

利用开源程序MerlinAgent的钓鱼攻击

https://therecord.media/ukrainian-agencies-targeted-with-merlin

Rhysida勒索软件的警报

https://www.hhs.gov/sites/default/files/rhysida-ransomware-sector-alert-tlpclear.pdf