MonikerLink 漏洞使 Outlook 用户面临数据盗窃和恶意软件的威胁
发布时间 2024-02-191. MonikerLink 漏洞使 Outlook 用户面临数据盗窃和恶意软件的威胁
2月17日,Check Point Research (CPR) 发现Microsoft Outlook中存在严重安全漏洞。被称为#MonikerLink;该漏洞允许威胁行为者在其目标设备上执行任意代码。博客文章中详细介绍了这项研究,强调了该漏洞可能会利用 Outlook 处理某些超链接的方式。该漏洞被跟踪为CVE-2024-21413, CVSS 评分为 9.8(满分 10),这意味着该漏洞具有严重严重性且高度可利用,可能允许攻击者通过最少的用户交互来破坏系统。这可能会导致系统完全受损、拒绝服务和数据泄露。此外,攻击者可以执行任意代码、窃取数据和安装恶意软件。该问题的发生是由于 Outlook 处理“file://”超链接的方式造成的,从而导致严重的安全隐患。威胁参与者可以在目标设备上执行未经授权的代码。CPR 的研究表明,#MonikerLink 漏洞滥用了 Windows 上的组件对象模型 ( COM ),从而允许执行未经授权的代码并泄露本地 NTLM 凭据信息。该漏洞利用用户的 NTLM 凭据来通过 Windows 中的 COM 执行任意代码。当用户单击恶意超链接时,它会连接到由攻击者控制的远程服务器,从而破坏身份验证详细信息并可能导致代码执行。这使得攻击者能够绕过Office 应用程序中的受保护视图模式,远程调用 COM 对象并在受害者的计算机上执行代码。
https://www.hackread.com/monikerlink-bug-microsoft-outlook-data-malware/
2. FBI 通缉犯 Zeus 和 IcedID 恶意软件主谋认罪
2月18日,一名乌克兰公民在美国承认自己在 2009 年 5 月至 2021 年 2 月期间参与了两个不同的恶意软件计划(Zeus 和 IcedID)。37 岁的维亚切斯拉夫·伊戈列维奇·彭楚科夫于 2022 年 10 月被瑞士当局逮捕,并于去年被引渡到美国。2012年,他被列入联邦调查局的通缉名单。美国司法部 (DoJ)将 Penchukov描述为“两个多产恶意软件组织的领导者”,该组织用恶意软件感染了数千台计算机,导致勒索软件和数百万美元被盗。其中包括 Zeus 银行木马,该木马有助于窃取银行账户信息、密码、个人识别码以及登录网上银行账户所需的其他详细信息。被告还被指控至少从 2018 年 11 月起帮助领导涉及IcedID(又名 BokBot)恶意软件的攻击,从而为恶意活动提供便利。该恶意软件能够充当信息窃取程序和其他有效负载(例如勒索软件)的加载程序。最终,正如调查记者布莱恩·克雷布斯 (Brian Krebs)在 2022 年报道的那样,由于与乌克兰前总统维克托·亚努科维奇 (Victor Yanukovych) 的政治关系,他多年来成功逃避乌克兰网络犯罪调查人员的起诉。
https://thehackernews.com/2024/02/fbis-most-wanted-zeus-and-icedid.html
3. CISA 称 Akira 勒索团伙正在利用 Cisco ASA/FTD 漏洞CVE-2020-3259
2月17日,美国网络安全和基础设施安全局 (CISA)在其已知利用漏洞目录中添加了 一个 Cisco ASA 和 FTD 漏洞,编号为CVE-2020-3259 (CVSS 评分:7.5)。漏洞 CVE-2020-3259 是一个存在于 ASA 和 FTD Web 服务接口中的信息泄露问题。思科于 2020 年 5 月修复了该漏洞。CISA 将该问题列为已知用于勒索软件活动的问题,但该机构没有透露哪些勒索软件组织正在积极利用该问题。Truesec CSIRT 团队 发现取证数据表明 Akira 勒索软件组织可能正在积极利用旧的 Cisco ASA(自适应安全设备)和 FTD(Firepower 威胁防御)漏洞,跟踪编号为 CVE-2020-3259。Akira 勒索软件 自 2023 年 3 月以来一直活跃,该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织,包括教育、金融和房地产。与其他勒索软件团伙一样,该组织开发了一款针对 VMware ESXi 服务器的 Linux 加密器。
https://securityaffairs.com/159244/cyber-crime/cisa-cisco-cve-2020-3259-akira-ransomware.html
4. 以色列 NSO 组织涉嫌对 WhatsApp 进行“彩信指纹”攻击
2月16日,以色列间谍软件公司 NSO Group 涉嫌利用一种新颖的“彩信指纹”攻击来针对 WhatsApp 上未经怀疑的用户,无需用户交互即可暴露他们的设备信息。该公司于 2023 年 15 日星期四向 Hackread.com 分享的报告显示,WhatsApp 在 2019 年 5 月发现其系统存在漏洞,允许攻击者在用户设备上安装 Pegasus 间谍软件。随后,该漏洞被利用来针对全球的政府官员和活动人士。WhatsApp 就这种利用行为起诉NSO 集团,但在美国上诉法院和最高法院上诉均失败。Enea 发起了一项调查,以查明彩信指纹攻击是如何发生的。他们发现,它可以通过发送彩信来显示目标设备和操作系统版本,而无需用户交互。MMS UserAgent 是一个标识操作系统和设备(例如运行 Android 的三星手机)的字符串,恶意行为者可以利用 MMS UserAgent 来利用漏洞、定制恶意负载或策划网络钓鱼活动。
https://www.hackread.com/israeli-nso-group-mms-fingerprint-attack-whatsapp/
5. 研究团队发现Turla APT 部署新的 TinyTurla-NG 后门
2月17日,思科 Talos 的专家发现由 Turla APT 组织策划的针对波兰非政府组织的活动。这次攻击利用了一种新颖的后门,TinyTurla-NG。TinyTurla-NG 的一个显著特征是它能够充当后门,当检测到或阻止其他黑客方法时,后门就会被激活。记录在案的攻击活动从 2023 年 12 月 18 日持续到 2024 年 1 月 27 日,不过有人猜测攻击可能早在 2023 年 11 月就开始了。病毒通过受感染的 WordPress 网站传播,该网站充当命令和控制 (C2) 服务器。TinyTurla-NG 能够从 C2 服务器执行命令、上传和下载文件以及部署脚本以从密码管理数据库窃取密码。此外,TinyTurla-NG 充当交付 PowerShell 脚本的渠道,称为 TurlaPower-NG,旨在提取用于保护流行密码管理器数据库的信息。
https://meterpreter.org/turla-apt-deploys-new-tinyturla-ng-backdoor/
6. Alpha 勒索软件从 NetWalker 灰烬中崛起
2月16日,Alpha 是一种新勒索软件,于 2023 年 2 月首次出现,并在最近几周加强了运作,与早已不存在的 NetWalker 勒索软件非常相似,NetWalker 勒索软件于 2021 年 1 月在一次 国际执法行动后消失。对 Alpha 的分析揭示了与旧版 NetWalker 勒索软件的显著相似之处。这两种威胁都使用类似的基于 PowerShell 的加载程序来传递有效负载。除此之外,Alpha 和 NetWalker 有效负载之间存在大量代码重叠。这包括:两个有效负载主要功能的一般执行流程;在单个线程中处理两个功能:进程终止和服务终止;已解析 API 的类似列表。虽然 API 是使用哈希值解析的,但所使用的哈希值并不相同;两个有效负载具有相似的配置,包括跳过的文件夹、文件和扩展名的列表;以及要kill的进程和服务的列表;加密完成后,两个有效负载都会使用临时批处理文件删除自身;两者都有类似的支付门户,包含相同的消息:“如需输入,请使用用户代码”。
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware?web_view=true
京公网安备11010802024551号