MonikerLink 误差使 Outlook 用户面临数据偷窃和恶意软件的威胁

宣布时间 2024-02-19

1. MonikerLink 误差使 Outlook 用户面临数据偷窃和恶意软件的威胁


2月17日,,,Check Point Research (CPR) 发明Microsoft Outlook中保存严重清静误差。。。被称为#MonikerLink;;;该误差允许威胁行为者在其目的装备上执行恣意代码。。。博客文章中详细先容了这项研究,,,强调了该误差可能会使用 Outlook 处置惩罚某些超链接的方法。。。该误差被跟踪为CVE-2024-21413,,, CVSS 评分为 9.8(满分 10),,,这意味着该误差具有严重严重性且高度可使用,,,可能允许攻击者通过最少的用户交互来破损系统。。。这可能会导致系统完全受损、拒绝效劳和数据泄露。。。别的,,,攻击者可以执行恣意代码、窃取数据和装置恶意软件。。。该问题的爆发是由于 Outlook 处置惩罚“file://”超链接的方法造成的,,,从而导致严重的清静隐患。。。威胁加入者可以在目的装备上执行未经授权的代码。。。CPR 的研究批注,,,#MonikerLink 误差滥用了 Windows 上的组件工具模子 ( COM ),,,从而允许执行未经授权的代码并泄露外地 NTLM 凭证信息。。。该误差使用用户的 NTLM 凭证来通过 Windows 中的 COM 执行恣意代码。。。当用户单击恶意超链接时,,,它会毗连到由攻击者控制的远程效劳器,,,从而破损身份验证详细信息并可能导致代码执行。。。这使得攻击者能够绕过Office 应用程序中的受保唬唬护视图模式,,,远程挪用 COM 工具并在受害者的盘算机上执行代码。。。


https://www.hackread.com/monikerlink-bug-microsoft-outlook-data-malware/


2. FBI 通缉犯 Zeus 和 IcedID 恶意软件主谋认罪


2月18日,,,一名乌克兰公民在美国认可自己在 2009 年 5 月至 2021 年 2 月时代加入了两个差别的恶意软件妄想(Zeus 和 IcedID)。。。37 岁的维亚切斯拉夫·伊戈列维奇·彭楚科夫于 2022 年 10 月被瑞士政府拘捕,,,并于去年被引渡到美国。。。2012年,,,他被列入联邦视察局的通缉名单。。。美国司法部 (DoJ)将 Penchukov形貌为“两个多产恶意软件组织的向导者”,,,该组织用恶意软件熏染了数千台盘算机,,,导致勒索软件和数百万美元被盗。。。其中包括 Zeus 银行木马,,,该木马有助于窃取银行账户信息、密码、小我私家识别码以及登录网上银行账户所需的其他详细信息。。。被告还被指控至少从 2018 年 11 月起资助向导涉及IcedID(又名 BokBot)恶意软件的攻击,,,从而为恶意活动提供便当。。。该恶意软件能够充当信息窃取程序和其他有用负载(例如勒索软件)的加载程序。。。最终,,,正如视察记者布莱恩·克雷布斯 (Brian Krebs)在 2022 年报道的那样,,,由于与乌克兰前总统维克托·亚努科维奇 (Victor Yanukovych) 的政治关系,,,他多年来乐成逃避乌克兰网络犯法视察职员的起诉。。。


https://thehackernews.com/2024/02/fbis-most-wanted-zeus-and-icedid.html


3. CISA 称 Akira 勒索团伙正在使用 Cisco ASA/FTD 误差CVE-2020-3259 


2月17日,,,美国网络清静和基础设施清静局 (CISA)在其已知使用误差目录中添加了 一个 Cisco ASA 和 FTD 误差,,,编号为CVE-2020-3259  (CVSS 评分:7.5)。。。误差 CVE-2020-3259 是一个保存于 ASA 和 FTD Web 效劳接口中的信息泄露问题。。。思科于 2020 年 5 月修复了该误差。。。CISA 将该问题列为已知用于勒索软件活动的问题,,,但该机构没有透露哪些勒索软件组织正在起劲使用该问题。。。Truesec CSIRT 团队 发明取证数据批注 Akira 勒索软件组织可能正在起劲使用旧的 Cisco ASA(自顺应清静装备)和 FTD(Firepower 威胁防御)误差,,,跟踪编号为 CVE-2020-3259。。。Akira 勒索软件 自 2023 年 3 月以来一直活跃,,,该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织,,,包括教育、金融和房地产。。。与其他勒索软件团伙一样,,,该组织开发了一款针对 VMware ESXi 效劳器的 Linux 加密器。。。


https://securityaffairs.com/159244/cyber-crime/cisa-cisco-cve-2020-3259-akira-ransomware.html


4. 以色列 NSO 组织涉嫌对 WhatsApp 举行“彩信指纹”攻击


2月16日,,,以色列特工软件公司 NSO Group 涉嫌使用一种新颖的“彩信指纹”攻击来针对 WhatsApp 上未经嫌疑的用户,,,无需用户交互即可袒露他们的装备信息。。。该公司于 2023 年 15 日星期四向 Hackread.com 分享的报告显示,,,WhatsApp 在 2019 年 5 月发明其系统保存误差,,,允许攻击者在用户装备上装置 Pegasus 特工软件。。。随后,,,该误差被使用来针对全球的政府官员和活感人士。。。WhatsApp 就这种使用行为起诉NSO 集团,,,但在美国上诉法院和最高法院上诉均失败。。。Enea 提倡了一项视察,,,以查明彩信指纹攻击是怎样爆发的。。。他们发明,,,它可以通过发送彩信来显示目的装备和操作系统版本,,,而无需用户交互。。。MMS UserAgent 是一个标识操作系统和装备(例如运行 Android 的三星手机)的字符串,,,恶意行为者可以使用 MMS UserAgent 来使用误差、定制恶意负载或策划网络垂纶活动。。。


https://www.hackread.com/israeli-nso-group-mms-fingerprint-attack-whatsapp/


5. 研究团队发明Turla APT 安排新的 TinyTurla-NG 后门


2月17日,,,思科 Talos 的专家发明由 Turla APT 组织策划的针对波兰非政府组织的活动。。。这次攻击使用了一种新颖的后门,,,TinyTurla-NG。。。TinyTurla-NG 的一个显著特征是它能够充当后门,,,当检测到或阻止其他黑客要领时,,,后门就会被激活。。。纪录在案的攻击活动从 2023 年 12 月 18 日一连到 2024 年 1 月 27 日,,,不过有人推测攻击可能早在 2023 年 11 月就最先了。。。病毒通过受熏染的 WordPress 网站撒播,,,该网站充当下令和控制 (C2) 效劳器。。。TinyTurla-NG 能够从 C2 效劳器执行下令、上传和下载文件以及安排剧本以从密码治理数据库窃取密码。。。别的,,,TinyTurla-NG 充当交付 PowerShell 剧本的渠道,,,称为 TurlaPower-NG,,,旨在提取用于保唬唬护盛行密码治理器数据库的信息。。。


https://meterpreter.org/turla-apt-deploys-new-tinyturla-ng-backdoor/


6. Alpha 勒索软件从 NetWalker 灰烬中崛起


2月16日,,,Alpha 是一种新勒索软件,,,于 2023 年 2 月首次泛起,,,并在最近几周增强了运作,,,与早已不保存的 NetWalker 勒索软件很是相似,,,NetWalker 勒索软件于 2021 年 1 月在一次 国际执法行动后消逝。。。对 Alpha 的剖析展现了与旧版 NetWalker 勒索软件的显著相似之处。。。这两种威胁都使用类似的基于 PowerShell 的加载程序来转达有用负载。。。除此之外,,,Alpha 和 NetWalker 有用负载之间保存大宗代码重叠。。。这包括:两个有用负载主要功效的一样平常执行流程;;;在单个线程中处置惩罚两个功效:历程终止和效劳终止;;;已剖析 API 的类似列表。。。虽然 API 是使用哈希值剖析的,,,但所使用的哈希值并不相同;;;两个有用负载具有相似的设置,,,包括跳过的文件夹、文件和扩展名的列表;;;以及要kill的历程和效劳的列表;;;加密完成后,,,两个有用负载都会使用暂时批处置惩罚文件删除自身;;;两者都有类似的支付门户,,,包括相同的新闻:“如需输入,,,请使用用户代码”。。。


https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware?web_view=true