首頁 > 安全研究 > 安全通報 > 安全簡訊

FinalDraft惡意軟件:利用Outlook草稿進行隱蔽攻擊的新威脅

發布時間 2025-02-17

1. FinalDraft惡意軟件:利用Outlook草稿進行隱蔽攻擊的新威脅


2月16日,FinalDraft是一種新發現的惡意軟件,它利用Outlook電子郵件草稿進行隱蔽的命令和控制通信,專門攻擊南美某部門。該攻擊由Elastic Security Labs發現,涉及一套完整的工具集,包括PathLoader加載器、FinalDraft后門及多個后利用程序。FinalDraft通過濫用Outlook實現隱蔽通信,執行數據泄露、代理、進程注入和橫向移動等操作,同時盡量減少痕跡。攻擊始于PathLoader入侵,它執行從攻擊者基礎設施檢索的shellcode,包括FinalDraft惡意軟件。FinalDraft通過Microsoft Graph API建立通信,使用嵌入的刷新令牌檢索OAuth令牌并存儲在Windows注冊表中,實現持久訪問。攻擊者通過Outlook草稿發送和接收命令,避免檢測并融入正常Microsoft 365流量。FinalDraft支持37個命令,包括數據泄露、進程注入、傳遞哈希攻擊等。此外,還發現FinalDraft的Linux變體及另一個未記錄的惡意軟件加載器GuidLoader。REF7707是針對南美外交部的網絡間諜活動,但分析顯示其與東南亞受害者有聯系,暗示行動范圍更廣。攻擊者通過東南亞電信和互聯網基礎設施提供商的受感染端點瞄準高價值機構,并利用東南亞一所大學的存儲系統托管惡意軟件負載。


https://www.bleepingcomputer.com/news/security/new-finaldraft-malware-abuses-outlook-mail-service-for-stealthy-comms/


2. Steam商店游戲PirateFi傳播Vidar惡意軟件,影響超1500用戶


2月14日,Steam商店中一款名為PirateFi的免費游戲在2月6日至2月12日期間傳播了Vidar信息竊取惡意軟件,影響可能多達1500名用戶。該游戲由Seaworth Interactive發布,被描述為一款生存游戲,但Steam發現其包含惡意軟件后已向受影響用戶發送通知,建議他們重新安裝Windows以確保安全。SECUINFRA Falcon Team確認該惡意軟件為Vidar信息竊取程序的一個版本,隱藏在Pirate.exe文件中。該惡意軟件使用各種混淆技術和更改命令和控制服務器以竊取憑證。研究人員認為,PirateFi名稱中的web3/區塊鏈/加密貨幣引用是為了吸引特定玩家群體。雖然Steam推出了額外措施保護玩家免受未經授權的惡意更新侵害,但PirateFi案例表明這些措施仍需加強。此前也有類似惡意軟件入侵Steam商店的案例,如利用Chrome漏洞的Dota 2游戲模式和被黑客攻擊的《Slay the Spire》模組。


https://www.bleepingcomputer.com/news/security/piratefi-game-on-steam-caught-installing-password-stealing-malware/


3. 疑似俄羅斯黑客組織Storm-2372利用設備代碼釣魚攻擊Microsoft 365帳戶


2月15日,一個名為Storm-2372的威脅行為者,疑似與俄羅斯有關,正在針對全球多個領域的組織發起設備代碼網絡釣魚攻擊,目標包括政府、非政府組織、IT服務和技術、國防、電信、衛生以及能源等領域。自去年8月以來,該行為者通過消息平臺冒充與目標相關的知名人士,誘騙用戶在合法登錄頁面上輸入攻擊者生成的設備代碼,從而獲取對受害者Microsoft 365帳戶的初始訪問權限,并啟用Graph API數據收集活動。微軟表示,攻擊者現在使用Microsoft身份驗證代理的特定客戶端ID,能夠生成新的令牌,帶來新的攻擊和持久性可能性。為了防御此類攻擊,微軟建議阻止設備代碼流,實施條件訪問策略,并在懷疑存在釣魚攻擊時撤銷用戶的刷新令牌并設置條件訪問策略以強制重新身份驗證。同時,使用Microsoft Entra ID的登錄日志進行監控并快速識別異常登錄嘗試。


https://www.bleepingcomputer.com/news/security/microsoft-hackers-steal-emails-in-device-code-phishing-attacks/


4. 朝鮮黑客組織Kimsuky疑似發起DEEP#DRIVE網絡釣魚攻擊


2月14日,一場名為DEEP#DRIVE的網絡釣魚攻擊活動自2024年9月起針對韓國企業、政府實體及加密貨幣用戶展開,已造成數千名受害者。此次攻擊由疑似朝鮮黑客組織Kimsuky發起,其主要目的是收集韓國實體的敏感信息。攻擊者使用韓語編寫的定制網絡釣魚誘餌,偽裝成工作日志、保險文件和加密相關文件等合法文件,通過Dropbox等平臺分發,以逃避傳統安全防御。這些誘餌通常以.hwp、.xlsx和.pptx等受信任的文件格式出現,精心設計以吸引目標受眾。攻擊鏈以偽裝成合法文檔的.lnk文件開始,啟動惡意PowerShell腳本的執行,進而下載其他有效負載并建立持久性。攻擊者還利用Dropbox進行數據泄露,并使用多種技術逃避檢測。盡管攻擊者的基礎設施看似短暫,但其策略、技術和程序與Kimsuky組織非常相似。Securonix建議對用戶進行網絡釣魚教育、監控惡意軟件暫存目錄以及可靠的端點日志記錄,以防御此類攻擊。


https://hackread.com/n-korean-hackers-deep-drive-attacks-against-s-korea/


5. 黑客利用CVE-2025-0108漏洞攻擊PAN-OS防火墻


2月14日,黑客利用最近修復的CVE-2025-0108漏洞對Palo Alto Networks的PAN-OS防火墻發起了攻擊。該漏洞允許未經身份驗證的攻擊者繞過身份驗證并調用PHP腳本,危及系統的完整性和機密性。Palo Alto Networks在2月12日發布安全公告,敦促管理員將防火墻升級到指定版本以解決此問題,同時指出PAN-OS 11.0因已達使用壽命,將不再發布修復程序。該漏洞由Assetnote的安全研究人員發現并報告,他們已發表包含完整漏洞利用細節的文章。攻擊者可利用此漏洞提取敏感數據、檢索配置或操縱設置。GreyNoise平臺記錄了針對未修補防火墻的攻擊嘗試,且可能有多個威脅行為者參與。目前,有超過4400臺PAN-OS設備的管理界面在線暴露。為防御攻擊,建議應用補丁并限制對防火墻管理接口的訪問。


https://www.bleepingcomputer.com/news/security/hackers-exploit-authentication-bypass-in-palo-alto-networks-pan-os/


6. CISA將Apple iOS/iPadOS及Mitel SIP電話漏洞列入已知利用漏洞目錄


2月15日,美國網絡安全和基礎設施安全局(CISA)已將Apple iOS和iPadOS的授權錯誤漏洞(CVE-2025-24200)以及Mitel SIP電話的參數注入漏洞(CVE-2024-41710)添加到其已知利用漏洞(KEV)目錄中。蘋果緊急發布了安全更新,修復了可能被“極其復雜”針對性攻擊利用的CVE-2025-24200漏洞,該漏洞影響iPhone XS及更新機型和多款iPad,攻擊者可利用此漏洞在鎖定設備上禁用USB限制模式。同時,Mitel也發布了固件更新解決了CVE-2024-41710漏洞,該漏洞影響Mitel 6800、6900和6900w系列SIP電話,可能允許攻擊者進行命令注入攻擊。隨后,有研究發現基于Mirai的僵尸網絡Aquabot的新變種針對存在該漏洞的Mitel SIP電話進行攻擊。CISA要求聯邦機構在2025年3月5日前修復這些漏洞,并建議私人組織審查KEV目錄并解決其基礎設施中的漏洞,以降低重大風險。


https://securityaffairs.com/174246/security/u-s-cisa-adds-apple-ios-and-ipados-and-mitel-sip-phones-flaws-to-its-known-exploited-vulnerabilities-catalog.html

上一篇 下一篇