首頁 > 安全研究 > 安全通報 > 安全簡訊

MonikerLink 漏洞使 Outlook 用戶面臨數據盜竊和惡意軟件的威脅

發布時間 2024-02-19

1. MonikerLink 漏洞使 Outlook 用戶面臨數據盜竊和惡意軟件的威脅


2月17日,Check Point Research (CPR) 發現Microsoft Outlook中存在嚴重安全漏洞。被稱為#MonikerLink;該漏洞允許威脅行為者在其目標設備上執行任意代碼。博客文章中詳細介紹了這項研究,強調了該漏洞可能會利用 Outlook 處理某些超鏈接的方式。該漏洞被跟蹤為CVE-2024-21413, CVSS 評分為 9.8(滿分 10),這意味著該漏洞具有嚴重嚴重性且高度可利用,可能允許攻擊者通過最少的用戶交互來破壞系統。這可能會導致系統完全受損、拒絕服務和數據泄露。此外,攻擊者可以執行任意代碼、竊取數據和安裝惡意軟件。該問題的發生是由于 Outlook 處理“file://”超鏈接的方式造成的,從而導致嚴重的安全隱患。威脅參與者可以在目標設備上執行未經授權的代碼。CPR 的研究表明,#MonikerLink 漏洞濫用了 Windows 上的組件對象模型 ( COM ),從而允許執行未經授權的代碼并泄露本地 NTLM 憑據信息。該漏洞利用用戶的 NTLM 憑據來通過 Windows 中的 COM 執行任意代碼。當用戶單擊惡意超鏈接時,它會連接到由攻擊者控制的遠程服務器,從而破壞身份驗證詳細信息并可能導致代碼執行。這使得攻擊者能夠繞過Office 應用程序中的受保護視圖模式,遠程調用 COM 對象并在受害者的計算機上執行代碼。


https://www.hackread.com/monikerlink-bug-microsoft-outlook-data-malware/


2. FBI 通緝犯 Zeus 和 IcedID 惡意軟件主謀認罪


2月18日,一名烏克蘭公民在美國承認自己在 2009 年 5 月至 2021 年 2 月期間參與了兩個不同的惡意軟件計劃(Zeus 和 IcedID)。37 歲的維亞切斯拉夫·伊戈列維奇·彭楚科夫于 2022 年 10 月被瑞士當局逮捕,并于去年被引渡到美國。2012年,他被列入聯邦調查局的通緝名單。美國司法部 (DoJ)將 Penchukov描述為“兩個多產惡意軟件組織的領導者”,該組織用惡意軟件感染了數千臺計算機,導致勒索軟件和數百萬美元被盜。其中包括 Zeus 銀行木馬,該木馬有助于竊取銀行賬戶信息、密碼、個人識別碼以及登錄網上銀行賬戶所需的其他詳細信息。被告還被指控至少從 2018 年 11 月起幫助領導涉及IcedID(又名 BokBot)惡意軟件的攻擊,從而為惡意活動提供便利。該惡意軟件能夠充當信息竊取程序和其他有效負載(例如勒索軟件)的加載程序。最終,正如調查記者布萊恩·克雷布斯 (Brian Krebs)在 2022 年報道的那樣,由于與烏克蘭前總統維克托·亞努科維奇 (Victor Yanukovych) 的政治關系,他多年來成功逃避烏克蘭網絡犯罪調查人員的起訴。


https://thehackernews.com/2024/02/fbis-most-wanted-zeus-and-icedid.html


3. CISA 稱 Akira 勒索團伙正在利用 Cisco ASA/FTD 漏洞CVE-2020-3259 


2月17日,美國網絡安全和基礎設施安全局 (CISA)在其已知利用漏洞目錄中添加了 一個 Cisco ASA 和 FTD 漏洞,編號為CVE-2020-3259  (CVSS 評分:7.5)。漏洞 CVE-2020-3259 是一個存在于 ASA 和 FTD Web 服務接口中的信息泄露問題。思科于 2020 年 5 月修復了該漏洞。CISA 將該問題列為已知用于勒索軟件活動的問題,但該機構沒有透露哪些勒索軟件組織正在積極利用該問題。Truesec CSIRT 團隊 發現取證數據表明 Akira 勒索軟件組織可能正在積極利用舊的 Cisco ASA(自適應安全設備)和 FTD(Firepower 威脅防御)漏洞,跟蹤編號為 CVE-2020-3259。Akira 勒索軟件 自 2023 年 3 月以來一直活躍,該惡意軟件背后的威脅行為者聲稱已經入侵了多個行業的多個組織,包括教育、金融和房地產。與其他勒索軟件團伙一樣,該組織開發了一款針對 VMware ESXi 服務器的 Linux 加密器。


https://securityaffairs.com/159244/cyber-crime/cisa-cisco-cve-2020-3259-akira-ransomware.html


4. 以色列 NSO 組織涉嫌對 WhatsApp 進行“彩信指紋”攻擊


2月16日,以色列間諜軟件公司 NSO Group 涉嫌利用一種新穎的“彩信指紋”攻擊來針對 WhatsApp 上未經懷疑的用戶,無需用戶交互即可暴露他們的設備信息。該公司于 2023 年 15 日星期四向 Hackread.com 分享的報告顯示,WhatsApp 在 2019 年 5 月發現其系統存在漏洞,允許攻擊者在用戶設備上安裝 Pegasus 間諜軟件。隨后,該漏洞被利用來針對全球的政府官員和活動人士。WhatsApp 就這種利用行為起訴NSO 集團,但在美國上訴法院和最高法院上訴均失敗。Enea 發起了一項調查,以查明彩信指紋攻擊是如何發生的。他們發現,它可以通過發送彩信來顯示目標設備和操作系統版本,而無需用戶交互。MMS UserAgent 是一個標識操作系統和設備(例如運行 Android 的三星手機)的字符串,惡意行為者可以利用 MMS UserAgent 來利用漏洞、定制惡意負載或策劃網絡釣魚活動。


https://www.hackread.com/israeli-nso-group-mms-fingerprint-attack-whatsapp/


5. 研究團隊發現Turla APT 部署新的 TinyTurla-NG 后門


2月17日,思科 Talos 的專家發現由 Turla APT 組織策劃的針對波蘭非政府組織的活動。這次攻擊利用了一種新穎的后門,TinyTurla-NG。TinyTurla-NG 的一個顯著特征是它能夠充當后門,當檢測到或阻止其他黑客方法時,后門就會被激活。記錄在案的攻擊活動從 2023 年 12 月 18 日持續到 2024 年 1 月 27 日,不過有人猜測攻擊可能早在 2023 年 11 月就開始了。病毒通過受感染的 WordPress 網站傳播,該網站充當命令和控制 (C2) 服務器。TinyTurla-NG 能夠從 C2 服務器執行命令、上傳和下載文件以及部署腳本以從密碼管理數據庫竊取密碼。此外,TinyTurla-NG 充當交付 PowerShell 腳本的渠道,稱為 TurlaPower-NG,旨在提取用于保護流行密碼管理器數據庫的信息。


https://meterpreter.org/turla-apt-deploys-new-tinyturla-ng-backdoor/


6. Alpha 勒索軟件從 NetWalker 灰燼中崛起


2月16日,Alpha 是一種新勒索軟件,于 2023 年 2 月首次出現,并在最近幾周加強了運作,與早已不存在的 NetWalker 勒索軟件非常相似,NetWalker 勒索軟件于 2021 年 1 月在一次 國際執法行動后消失。對 Alpha 的分析揭示了與舊版 NetWalker 勒索軟件的顯著相似之處。這兩種威脅都使用類似的基于 PowerShell 的加載程序來傳遞有效負載。除此之外,Alpha 和 NetWalker 有效負載之間存在大量代碼重疊。這包括:兩個有效負載主要功能的一般執行流程;在單個線程中處理兩個功能:進程終止和服務終止;已解析 API 的類似列表。雖然 API 是使用哈希值解析的,但所使用的哈希值并不相同;兩個有效負載具有相似的配置,包括跳過的文件夾、文件和擴展名的列表;以及要kill的進程和服務的列表;加密完成后,兩個有效負載都會使用臨時批處理文件刪除自身;兩者都有類似的支付門戶,包含相同的消息:“如需輸入,請使用用戶代碼”。


https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware?web_view=true

上一篇 下一篇