马来西亚电信公司RedOne遭到DESORDEN团伙的攻击；Okta子公司Auth0透露其部分源代码存储库已经泄露

1、马来西亚电信公司RedOne遭到DESORDEN团伙的攻击

      据媒体9月27日报道，马来西亚电信公司RedOne遭到了DESORDEN的攻击。9月19日，DESORDEN声称已经入侵该电信公司。在redONE没有回应DESORDEN的要求后，DESORDEN于9月21日左右又进行了第二次攻击，入侵了他们的redCARD和redCARE程序。泄露的信息涉及redONE数据库和源代码，包括客户姓名、NRIC（国民身份证号码）、地址、电话和电子邮件等。目前，redONE尚未对此事作出回应。

https://www.databreaches.net/malaysian-telecom-redone-hit-by-desorden/

2、Okta子公司Auth0透露其部分源代码存储库已经泄露

      媒体9月28日称，Okta子公司身份验证服务提供商Auth0称其部分源代码存储库已经泄露。Auth0的认证平台每天用于认证30个国家的2000多家企业客户的4200多万次登录，其中包括AMD、西门子、辉瑞、马自达和斯巴鲁等公司。8月底，某第三方通知Okta，他们拥有2020年10月及更早的Auth0代码库的副本。之后，该公司立即调查数据是如何被泄露的，但直到现在，还没有找到任何违规的证据。Auth0还表示，此事件未对客户造成影响，因此他们无需采取任何行动。

https://www.bleepingcomputer.com/news/security/auth0-warns-that-some-source-code-repos-may-have-been-stolen/

3、Lazarus以Crypto.com工作机会为诱饵分发恶意软件

      SentinelOne在9月26日披露了朝鲜Lazarus团伙新一轮的攻击活动。与往常一样，攻击者通常利用LinkedIn接近目标，发送一个伪装成PDF的macOS二进制文件，其中包含Crypto.com的招聘职位。在后台，Mach-O二进制文件会在用户的库目录中创建一个文件夹并分发第二阶段和第三阶段的文件。由于C2在调查时一直处于离线状态，研究人员无法检索最终payload并进行分析。

https://www.sentinelone.com/blog/lazarus-operation-interception-targets-macos-users-dreaming-of-jobs-in-crypto/

4、Unit 42观察到利用多语言CHM文件文件传播IcedID的活动

      9月27日，Unit 42称其在近期观察到一个多语言Microsoft编译HTML帮助(CHM)文件被用于分发窃取信息的恶意软件IcedID。研究人员在2022年8月上旬发现了这个特殊的攻击链，该技术可以避免使用长行代码，这使恶意文件更容易绕过安全产品的检测。攻击者可以利用多语言文件来绕过依赖文件格式识别的反恶意软件系统。此外，该技术在感染过程中会对同一个CHM文件执行两次，第一次执行看起来是合法活动，而第二次执行则隐蔽地进行恶意活动。

https://unit42.paloaltonetworks.com/polyglot-file-icedid-payload/

5、Proofpoint披露利用Microsoft Sway的钓鱼活动的细节

      9月26日，Proofpoint披露了近期利用Microsoft Sway开展的钓鱼活动。Sway是Microsoft 365套件中不太常用的程序之一，被用于将文本和媒体结合起来创建一个美观的网站。Microsoft仅允许在Sway页面中上传媒体文件，并会主动阻止上传可执行文件。但是，攻击者仍然可以通过将托管恶意软件嵌入Sway中来使用Sway分发恶意可执行文件。为了降低风险，Proofpoint建议用户在必要时限制Sway在云环境中的使用。

https://www.proofpoint.com/us/blog/cloud-security/proofpoint-analyzes-potentially-dangerous-functionality-microsoft-sway-enables

6、NETSCOUT发布2022年1H DDoS攻击态势的分析报告    

      据9月27日报道，NETSCOUT发布了2022年1H DDoS攻击态势的分析报告。报告指出，2022年1H的攻击总数为6019888，比2021年2H减少了2%；最大带宽为957.9 Gbps，比2021年2H增长了57%；最大吞吐量为284.4 Mpps，较2021年2H减少了37%。此外，攻击者在不断创新和探索新的、更强大的DDoS攻击媒介；僵尸网络仍在继续以惊人的速度扩散；具有战争、宗教和政治因素的DDoS攻击活动增多。

https://www.netscout.com/threatreport

evilgophish

      evilginx2和GoPhish的组合。

https://github.com/fin3ss3g0d/evilgophish

Makes

      由Nix提供支持的软件供应链框架。

https://github.com/fluidattacks/makes

CISA发布三项工业控制系统公告

https://www.cisa.gov/uscert/ncas/current-activity/2022/09/26/cisa-releases-three-industrial-control-systems-advisories

微软将在一年内停用Exchange Online客户端访问规则

https://www.bleepingcomputer.com/news/microsoft/microsoft-to-retire-exchange-online-client-access-rules-in-a-year/

微软宣布Azure虚拟桌面的无密码身份验证和SSO

https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-passwordless-auth-sso-for-azure-virtual-desktop/

Meta 注销多个钓鱼账号，主要涉及欧洲地区

https://www.bleepingcomputer.com/news/security/meta-dismantles-massive-russian-network-spoofing-western-news-sites/

使用英特尔SST驱动程序的Windows 11设备可能出现蓝屏错误

https://www.bleepingcomputer.com/news/microsoft/windows-11-22h2-blocked-due-to-blue-screens-on-some-intel-systems/

LockBit 3.0勒索软件通过Word文档分发

https://asec.ahnlab.com/en/39242/

全球公司每天处理51起安全事件

https://www.infosecurity-magazine.com/news/global-firms-51-security-incidents/

推荐阅读：