FinalDraft恶意软件:利用Outlook草稿进行隐蔽攻击的新威胁
发布时间 2025-02-171. FinalDraft恶意软件:利用Outlook草稿进行隐蔽攻击的新威胁
2月16日,FinalDraft是一种新发现的恶意软件,它利用Outlook电子邮件草稿进行隐蔽的命令和控制通信,专门攻击南美某部门。该攻击由Elastic Security Labs发现,涉及一套完整的工具集,包括PathLoader加载器、FinalDraft后门及多个后利用程序。FinalDraft通过滥用Outlook实现隐蔽通信,执行数据泄露、代理、进程注入和横向移动等操作,同时尽量减少痕迹。攻击始于PathLoader入侵,它执行从攻击者基础设施检索的shellcode,包括FinalDraft恶意软件。FinalDraft通过Microsoft Graph API建立通信,使用嵌入的刷新令牌检索OAuth令牌并存储在Windows注册表中,实现持久访问。攻击者通过Outlook草稿发送和接收命令,避免检测并融入正常Microsoft 365流量。FinalDraft支持37个命令,包括数据泄露、进程注入、传递哈希攻击等。此外,还发现FinalDraft的Linux变体及另一个未记录的恶意软件加载器GuidLoader。REF7707是针对南美外交部的网络间谍活动,但分析显示其与东南亚受害者有联系,暗示行动范围更广。攻击者通过东南亚电信和互联网基础设施提供商的受感染端点瞄准高价值机构,并利用东南亚一所大学的存储系统托管恶意软件负载。
https://www.bleepingcomputer.com/news/security/new-finaldraft-malware-abuses-outlook-mail-service-for-stealthy-comms/
2. Steam商店游戏PirateFi传播Vidar恶意软件,影响超1500用户
2月14日,Steam商店中一款名为PirateFi的免费游戏在2月6日至2月12日期间传播了Vidar信息窃取恶意软件,影响可能多达1500名用户。该游戏由Seaworth Interactive发布,被描述为一款生存游戏,但Steam发现其包含恶意软件后已向受影响用户发送通知,建议他们重新安装Windows以确保安全。SECUINFRA Falcon Team确认该恶意软件为Vidar信息窃取程序的一个版本,隐藏在Pirate.exe文件中。该恶意软件使用各种混淆技术和更改命令和控制服务器以窃取凭证。研究人员认为,PirateFi名称中的web3/区块链/加密货币引用是为了吸引特定玩家群体。虽然Steam推出了额外措施保护玩家免受未经授权的恶意更新侵害,但PirateFi案例表明这些措施仍需加强。此前也有类似恶意软件入侵Steam商店的案例,如利用Chrome漏洞的Dota 2游戏模式和被黑客攻击的《Slay the Spire》模组。
https://www.bleepingcomputer.com/news/security/piratefi-game-on-steam-caught-installing-password-stealing-malware/
3. 疑似俄罗斯黑客组织Storm-2372利用设备代码钓鱼攻击Microsoft 365帐户
2月15日,一个名为Storm-2372的威胁行为者,疑似与俄罗斯有关,正在针对全球多个领域的组织发起设备代码网络钓鱼攻击,目标包括政府、非政府组织、IT服务和技术、国防、电信、卫生以及能源等领域。自去年8月以来,该行为者通过消息平台冒充与目标相关的知名人士,诱骗用户在合法登录页面上输入攻击者生成的设备代码,从而获取对受害者Microsoft 365帐户的初始访问权限,并启用Graph API数据收集活动。微软表示,攻击者现在使用Microsoft身份验证代理的特定客户端ID,能够生成新的令牌,带来新的攻击和持久性可能性。为了防御此类攻击,微软建议阻止设备代码流,实施条件访问策略,并在怀疑存在钓鱼攻击时撤销用户的刷新令牌并设置条件访问策略以强制重新身份验证。同时,使用Microsoft Entra ID的登录日志进行监控并快速识别异常登录尝试。
https://www.bleepingcomputer.com/news/security/microsoft-hackers-steal-emails-in-device-code-phishing-attacks/
4. 朝鲜黑客组织Kimsuky疑似发起DEEP#DRIVE网络钓鱼攻击
2月14日,一场名为DEEP#DRIVE的网络钓鱼攻击活动自2024年9月起针对韩国企业、政府实体及加密货币用户展开,已造成数千名受害者。此次攻击由疑似朝鲜黑客组织Kimsuky发起,其主要目的是收集韩国实体的敏感信息。攻击者使用韩语编写的定制网络钓鱼诱饵,伪装成工作日志、保险文件和加密相关文件等合法文件,通过Dropbox等平台分发,以逃避传统安全防御。这些诱饵通常以.hwp、.xlsx和.pptx等受信任的文件格式出现,精心设计以吸引目标受众。攻击链以伪装成合法文档的.lnk文件开始,启动恶意PowerShell脚本的执行,进而下载其他有效负载并建立持久性。攻击者还利用Dropbox进行数据泄露,并使用多种技术逃避检测。尽管攻击者的基础设施看似短暂,但其策略、技术和程序与Kimsuky组织非常相似。Securonix建议对用户进行网络钓鱼教育、监控恶意软件暂存目录以及可靠的端点日志记录,以防御此类攻击。
https://hackread.com/n-korean-hackers-deep-drive-attacks-against-s-korea/
5. 黑客利用CVE-2025-0108漏洞攻击PAN-OS防火墙
2月14日,黑客利用最近修复的CVE-2025-0108漏洞对Palo Alto Networks的PAN-OS防火墙发起了攻击。该漏洞允许未经身份验证的攻击者绕过身份验证并调用PHP脚本,危及系统的完整性和机密性。Palo Alto Networks在2月12日发布安全公告,敦促管理员将防火墙升级到指定版本以解决此问题,同时指出PAN-OS 11.0因已达使用寿命,将不再发布修复程序。该漏洞由Assetnote的安全研究人员发现并报告,他们已发表包含完整漏洞利用细节的文章。攻击者可利用此漏洞提取敏感数据、检索配置或操纵设置。GreyNoise平台记录了针对未修补防火墙的攻击尝试,且可能有多个威胁行为者参与。目前,有超过4400台PAN-OS设备的管理界面在线暴露。为防御攻击,建议应用补丁并限制对防火墙管理接口的访问。
https://www.bleepingcomputer.com/news/security/hackers-exploit-authentication-bypass-in-palo-alto-networks-pan-os/
6. CISA将Apple iOS/iPadOS及Mitel SIP电话漏洞列入已知利用漏洞目录
2月15日,美国网络安全和基础设施安全局(CISA)已将Apple iOS和iPadOS的授权错误漏洞(CVE-2025-24200)以及Mitel SIP电话的参数注入漏洞(CVE-2024-41710)添加到其已知利用漏洞(KEV)目录中。苹果紧急发布了安全更新,修复了可能被“极其复杂”针对性攻击利用的CVE-2025-24200漏洞,该漏洞影响iPhone XS及更新机型和多款iPad,攻击者可利用此漏洞在锁定设备上禁用USB限制模式。同时,Mitel也发布了固件更新解决了CVE-2024-41710漏洞,该漏洞影响Mitel 6800、6900和6900w系列SIP电话,可能允许攻击者进行命令注入攻击。随后,有研究发现基于Mirai的僵尸网络Aquabot的新变种针对存在该漏洞的Mitel SIP电话进行攻击。CISA要求联邦机构在2025年3月5日前修复这些漏洞,并建议私人组织审查KEV目录并解决其基础设施中的漏洞,以降低重大风险。
https://securityaffairs.com/174246/security/u-s-cisa-adds-apple-ios-and-ipados-and-mitel-sip-phones-flaws-to-its-known-exploited-vulnerabilities-catalog.html
京公网安备11010802024551号