安全资讯报告

微软默认禁用Excel4.0宏以阻止恶意软件

微软已宣布Excel4.0(XLM)宏现在将默认禁用，以保护客户免受恶意文档的侵害。

10月，该公司首次在Microsoft 365消息中心更新中透露，如果用户或管理员没有手动打开或关闭该功能，它将在所有租户中禁用XLM宏。

从2021年7月开始，Windows管理员还可以使用组策略和用户使用Excel信任中心的“启用VBA宏时启用XLM宏”设置来手动禁用此功能。

XLM（又名Excel4.0）宏是默认的Excel宏格式，直到Excel5.0于1993年发布，当时微软首次引入仍然是默认格式的VBA宏。

然而，尽管已停止使用XLM，但威胁行为者在30年后仍在使用XLM来创建部署恶意软件或执行其他恶意行为以操纵本地文件系统上的文件的文档，因为当前的Microsoft Office版本仍然支持XLM宏。

已经观察到使用这种类型的宏来推送恶意软件的恶意活动在受害者的计算机上下载和安装TrickBot、Zloader、Qbot、Dridex等恶意软件。自2018年初以来，此类文件已在众多恶意攻击中被武器化，以提供远程访问木马和恶意软件加载程序。

新闻来源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-excel-40-macros-by-default-to-block-malware/

鼹鼠黑客在公共云基础设施背后隐藏新的间谍攻击

一场活跃的间谍活动被归咎于名为Molerats的威胁行为者，他们滥用合法的云服务（如Google Drive和Dropbox）来托管恶意软件有效负载，并用于命令和控制以及从整个中东目标窃取数据。

据基于云的信息安全公司Zscaler称，据信至少从2021年7月开始，网络攻势就开始了，黑客组织继续努力对目标主机进行侦察并掠夺敏感信息。

Molerats也被跟踪为TA402、Gaza Hackers Team和Extreme Jackal，是一个高级持续威胁(APT)组织，主要关注在中东运营的实体。与该行为者相关的攻击活动利用地缘政治和军事主题诱使用户打开Microsoft Office附件并单击恶意链接。

Zscaler详述的最新活动没有什么不同，它利用与以色列和巴勒斯坦之间持续冲突相关的诱饵主题在受感染系统上提供.NET后门，进而利用Dropbox API与攻击者控制的服务器并传输数据。

该植入程序使用特定的命令代码来控制受感染的机器，支持拍摄快照、列出和上传相关目录中的文件以及运行任意命令的功能。研究人员在调查攻击基础设施时表示，他们发现至少有五个用于此目的的Dropbox帐户。

新闻来源：

https://thehackernews.com/2022/01/molerats-hackers-hiding-new-espionage.html

大约三分之一的“网络钓鱼”网站的生命周期只有24小时

卡巴斯基（Kaspersky）的一份题为“网络钓鱼页面的生命周期”的报告得出结论，网络犯罪分子在其“网络钓鱼”计划中使用的虚假网站中有一半的生命周期不到四天，其中三分之一甚至不会持续前24小时。

网络钓鱼是一种网络犯罪策略，包括冒充受信任的实体并诱骗受害者提供其登录凭据或其他敏感信息。例如，出于显而易见的原因，银行非常常用于网络钓鱼活动。网络犯罪分子通常通过虚假电子邮件发起联系，然后将受害者重定向到虚假网站。“网络钓鱼”的其他变体通过称为“网络钓鱼”的SMS或通常称为“网络钓鱼”的电话发起联系。

在卡巴斯基一个月监控的5,307个网站中，有33%（1,784个）在第一天检测结束前就消失了。48小时后，该百分比增加到42%(2,238)，72小时后增加到46%(2,481)，到第四天结束时增加到50%(2,654)。在30天期限结束时，只有28%的虚假网站仍然可以访问。

新闻来源：

https://globalcirculate.com/one-third-of-phishing-websites-usually-disappear-within-24-hours/

2021年软件供应链攻击增加了两倍

2021年可以说是软件供应链攻击之年——SolarWinds让世界大开眼界，威胁程度变得显而易见的一年。

除了SolarWinds之外，其他主要攻击还包括Kaseya、Codecov、ua-parser-js和Log4j。在每种情况下，对攻击者的吸引力在于分布式代码中的单个破坏、妥协或漏洞可能导致多个甚至数千名受害者。

在Argon（Aqua Security公司）对客户安全评估进行了为期六个月的分析之后，2021年软件供应链安全报告强调了犯罪重点的主要领域：开源漏洞和中毒；代码完整性问题；并利用软件供应链流程和供应商信任来分发恶意软件或后门。

共同的因素是开源软件——一种内部系统开发人员通常天生信任并自动使用的代码源。

Argon的分析强调了三个主要问题领域：开源应用程序中的漏洞、受损的管道工具和代码/工件完整性。

易受攻击的应用程序供应链攻击主要集中在两个方面：滥用已广泛分发和安装的应用程序中的漏洞，以及在下载之前从源头毒化软件包。前者的一个2021例子是Log4j攻击，而后者的一个例子是us-parser-js包中毒。

第二个攻击向量是受损的管道工具。“它使攻击者能够在构建过程中更改代码或注入恶意代码并篡改应用程序（就像SolarWinds的情况一样）”报告(PDF)说。“攻击者还使用受感染的软件包注册表来上传受感染的工件而不是合法的工件。此外，还有数十个外部依赖项连接到管道，可用于访问它并发起攻击”，例如Codecov攻击。

研究人员确定的第三个风险领域是将不良代码上传到源代码存储库。这会影响工件质量和安全状况。报告在其研究中指出，“在许多情况下，发现的问题数量巨大，需要专门的清理项目来减少暴露，例如秘密清理、标准化容器图像和其他活动。”

总体而言，Argon认为，与2020年相比，2021年软件供应链攻击的数量增加了两倍。

新闻来源：

https://www.securityweek.com/software-supply-chain-attacks-tripled-2021-study

安全漏洞威胁

Wordpress插件中有超过10,000个安全漏洞

在第三方Wordpress插件中发现的漏洞越来越多，这使黑客更容易工作，也更容易完全控制他们正在攻击的网站。据RiskBased Security的研究人员称，去年，在Wordpress扩展中发现了2,240个漏洞。与2020年相比，这一数字增加了142%。

截至去年年底，Wordpress插件中总共报告了10,359个漏洞。这些漏洞中有四分之三是公开的，这意味着可以在线找到有关如何利用它们的信息。此外，检测到的7,592个漏洞可以被远程利用。

最近，Automattic（Wordpress的所有者）发现了对AccessPress的攻击，AccessPress为Wordpress开发了53个插件和40个主题。攻击后，所有AccessPress主题和插件都感染了后门，该后门到达了所有安装了这些工具的站点。

AccessPress插件和主题目前在超过360,000个站点中使用。据W3Techs称，Wordpress平台是43%的网站的基础。

新闻来源：

https://www.news.ro/economic/exista-peste-10-000-de-gauri-de-securitate-in-plugin-urile-de-wordpress-1922404322492022010820565944

Dark Souls 3漏洞利用可以让黑客控制你的整个计算机

根据Dexerto的一份报告，在《Dark Souls 3》中发现的远程代码执行(RCE)漏洞可能导致黑客控制你的计算机。该漏洞只会使在线玩的PC游戏玩家面临风险，并可能影响Dark Souls、Dark Souls 2和即将推出的Elden Ring。此后，各种《Dark Souls》游戏的服务器已被关闭。

该漏洞在The__Grim__Sleeper的Dark Souls 3在线Twitch直播中被看到。在直播结束时（1:20:22），The__Grim__Sleeper的游戏崩溃了，属于微软文本语音生成器的机器人声音突然开始批评他的游戏玩法。The__Grim__Sleeper随后报告说Microsoft PowerShell自行打开，这表明黑客使用该程序运行了触发文本转语音功能的脚本。

然而，这可能不是恶意黑客的实际意图。“黑客”试图联系DarkSouls开发者FromSoftware解决该问题，据报道，他被忽略了，所以他开始使用流媒体视频来引起人们对这个问题的关注。

但如果恶意攻击者先发现这个问题，结果可能会更糟。RCE是最危险的漏洞之一，它允许黑客在受害者的计算机上运行恶意代码，造成无法弥补的损害，并可能在他们使用时窃取敏感信息。

幸运的是，FromSoftware和Bandai Namco似乎正在解决这个问题。周日清晨，DarkSouls推特账号宣布《黑暗之魂：重制版》、《黑暗之魂2》和《黑暗之魂3》的PvP服务器已暂时关闭。

新闻来源：

https://www.theverge.com/2022/1/22/22896785/dark-souls-3-remote-execution-exploit-rce-exploit-online-hack

CISA在漏洞列表中增加了17个漏洞

网络安全和基础设施安全局(CISA)将17个被积极利用的漏洞添加到“已知利用漏洞目录”中。

“已知被利用漏洞目录”是一个漏洞列表，这些漏洞已被威胁参与者在攻击中滥用，并且需要由联邦民事执行局(FCEB)机构进行修补。

“具有约束力的操作指令(BOD)22-01：降低已知被利用漏洞的重大风险建立了已知被利用漏洞目录作为对联邦企业带来重大风险的已知CVE的活名单，”CISA解释说。

目录中列出的漏洞允许威胁参与者执行各种攻击，包括窃取凭据、访问网络、远程执行命令、下载和执行恶意软件或从设备窃取信息。

加上这17个漏洞，该目录现在总共包含341个漏洞，并包括机构必须应用安全更新来解决错误的日期。

下面列出了本周添加的17个新漏洞，CISA要求在2月的第一周内修补其中的10个。

跟踪为CVE-2021-32648的“October CMS Improper Authentication”漏洞必须在2022年2月1日之前修复，因为它最近被用于入侵和破坏乌克兰政府网站。安全专家将这些攻击归咎于与白俄罗斯有关的黑客组织Ghostwriter。

微软发现被跟踪为CVE-2021-35247的新的“SolarWindsServ-U不正确输入验证”漏洞被用来将Log4j攻击传播到配置为LDAP服务器的Windows域控制器。

新闻来源：

https://www.bleepingcomputer.com/news/security/cisa-adds-17-vulnerabilities-to-list-of-bugs-exploited-in-attacks/