1月18日，星期三，您好！中科汇能与您分享信息安全快讯：

自从微软官宣在 Office 中默认阻止来自互联网的文件中的宏代码后，许多攻击者都开始切换到其他的文件类型，例如 LNK、ISO 或者 ZIP 文件。研究人员发现远控木马 Ekipa 正在尝试通过新的恶意 Office 文档进行传播。

远控木马能够收集系统的基本信息、浏览并上传文件、删除文件、执行命令等。当与恶意 Word 文档一起使用时，木马主要的功能是在一次性 VBA 宏模板中实现的。重新打开文档时，服务器会拒绝下载宏模板的请求。

Ekipa RAT 是一个很好的例子，表明攻击者是不断进取的。恶意软件的开发者也在不断跟踪业内进展，创新攻击方式。

安全研究员 Daniel Milisic 发现他在亚马逊上购买的 T95 Android 电视盒感染了复杂的预装恶意软件。

该设备配备了 Android 10（带有可用的 Play 商店）和 Allwinner H616 处理器。Milisic 在其固件中发现了预加载的恶意软件。

设备固件中嵌入的恶意代码类似于 Android CopyCat恶意软件。专家指出，他测试的所有 AV 产品都无法检测到威胁。

最后，Milisic总结道：“不要相信 AliExpress 或亚马逊上的廉价 Android 盒子，它们的固件带有测试密钥签名。他们正在窃取您的数据（除非您可以查看 DNS 日志）并且不留痕迹！”

Gen Digital正在向客户发送数据泄露通知，通知他们黑客已成功通过撞库攻击破坏诺顿密码管理器帐户。

这些攻击不是由于公司遭到入侵，而是由于其他平台上的帐户泄露造成的。

通知解释说，攻击者使用他们从暗网购买的用户名和密码对试图登录诺顿客户帐户。

该公司尚未透露受此事件影响的确切人数。

概念验证漏洞利用代码将于本周晚些时候发布，针对一个关键漏洞，允许在几个Zoho ManageEngine产品中执行远程代码（RCE）而无需身份验证。

如果基于 SAML 的单点登录 （SSO） 在攻击之前至少启用或曾经启用过一次，则成功利用此漏洞可使未经身份验证的威胁参与者在 ManageEngine 服务器上执行任意代码。

易受攻击的软件列表包括几乎所有的ManageEngine产品。不过，幸运的是，Zoho 已经从 2022 年 10 月 27 日开始，通过将第三方模块更新到更新的版本，对它们进行了多次修补。

近日，滴滴出行官方微博发文称，“一年多来，我公司认真配合国家网络安全审查，严肃对待审查中发现的安全问题，进行了全面整改。经报网络安全审查办公室同意，即日起恢复“滴滴出行”的新用户注册。后续，公司将采取有效措施，切实保障平台设施安全和大数据安全，维护国家网络安全。”

但是，滴滴出行旗下APP依旧未在苹果商店、小米商店、华为商店等主流应用市场上架。有安全专家称，在恢复新用户注册后，滴滴出行APP重新上架只是时间问题，这也意味着滴滴公司的整改已经达到国家相关部门的标准。

据报道，超过 290 个 MSI 主板受到不安全的默认 UEFI 安全启动设置设置的影响，该设置允许任何操作系统映像运行，无论其签名是否错误或缺失。

这一发现来自一位名叫Dawid Potocki的波兰安全研究员，他声称尽管他努力联系MSI并告知他们这个问题，但他没有收到回复。

根据Potocki的说法，这个问题会影响许多使用最新固件版本的基于英特尔和AMD的微星主板，甚至影响全新的微星主板型号。

一个名为Lolip0p的威胁参与者已将三个流氓软件包上传到Python Package Index （PyPI）存储库，旨在将恶意软件丢弃在受感染的开发人员系统上。

这些模块带有相同的安装脚本，旨在调用PowerShell并运行托管在Dropbox上的恶意二进制文件（“Oxzy.exe”）。

Windows制造商将该木马描述为一种威胁，“可以在您的PC上执行恶意黑客选择的许多操作”，包括提供勒索软件和其他有效载荷。

自 2020 年以来，由 250 多个域组成的“大型弹性基础设施”正被用于分发信息窃取恶意软件，例如 Raccoon 和 Vidar。

感染链“使用大约一百个伪造的破解软件目录网站，这些网站在下载托管在GitHub等文件共享平台上的有效载荷之前重定向到多个链接”。

网络安全公司评估了由运行流量指示系统（TDS）的威胁行为者运营的域，该系统允许其他网络犯罪分子租用该服务来分发其恶意软件。

这些攻击针对在谷歌等搜索引擎上搜索破解版软件和游戏的用户，通过利用一种称为搜索引擎优化（SEO）中毒的技术来引诱受害者下载和执行恶意有效载荷，从而在顶部显示欺诈网站。

Vice Society 勒索软件团伙声称对 杜伊斯堡-埃森大学 （UDE） 的网络攻击负责，该攻击迫使该大学重建其 IT 基础设施，这一过程仍在进行中。

威胁行为者还泄露了他们声称在网络泄露期间从大学窃取的文件，暴露了有关大学运营、学生和人员的潜在敏感细节。

由于杜伊斯堡-埃森大学（UDE）遭受网络攻击后，拒绝支付赎金，负责该攻击的犯罪集团现已在暗网上公布了数据。

它们包括备份档案，财务文件，研究论文和学生电子表格。虽然它们似乎是真实的，但没有办法确认它们的真实性。

微软发布了Microsoft Defender签名更新，这个新规则能检测并阻止恶意软件使用VBA宏调用Win32 API。

但是很快，这个新规则就产生了严重的“副作用”，Windows自带的杀毒软件Defender开始不断误报，并从桌面、开始菜单和Windows任务栏中大量删除程序快捷方式（图标）。

快捷方式的“不翼而飞”在大量企业用户中引发混乱，企业环境普遍中断，用户无法快速启动其应用程序，Windows管理员们则手忙脚乱地为员工恢复快捷方式。