MonikerLink 误差使 Outlook 用户面临数据偷窃和恶意软件的威胁

首页 > 清静研究 > 清静转达 > 清静简讯

MonikerLink 误差使 Outlook 用户面临数据偷窃和恶意软件的威胁

宣布时间 2024-02-19

1. MonikerLink 误差使 Outlook 用户面临数据偷窃和恶意软件的威胁

2月17日，Check Point Research (CPR) 发明Microsoft Outlook中保存严重清静误差。被称为#MonikerLink；该误差允许威胁行为者在其目的装备上执行恣意代码。博客文章中详细先容了这项研究，强调了该误差可能会使用 Outlook 处置惩罚某些超链接的方法。该误差被跟踪为CVE-2024-21413， CVSS 评分为 9.8（满分 10），这意味着该误差具有严重严重性且高度可使用，可能允许攻击者通过最少的用户交互来破损系统。这可能会导致系统完全受损、拒绝服务和数据泄露。别的，攻击者可以执行恣意代码、窃取数据和装置恶意软件。该问题的爆发是由于 Outlook 处置惩罚“file://”超链接的方法造成的，从而导致严重的清静隐患。威胁加入者可以在目的装备上执行未经授权的代码。CPR 的研究批注，#MonikerLink 误差滥用了 Windows 上的组件工具模子 ( COM )，从而允许执行未经授权的代码并泄露外地 NTLM 凭证信息。该误差使用用户的 NTLM 凭证来通过 Windows 中的 COM 执行恣意代码。当用户单击恶意超链接时，它会毗连到由攻击者控制的远程服务器，从而破损身份验证详细信息并可能导致代码执行。这使得攻击者能够绕过Office 应用程序中的受�；な油寄Ｊ�，远程挪用 COM 工具并在受害者的盘算机上执行代码。

https://www.hackread.com/monikerlink-bug-microsoft-outlook-data-malware/

2. FBI 通缉犯 Zeus 和 IcedID 恶意软件主谋认罪

2月18日，一名乌克兰公民在美国认可自己在 2009 年 5 月至 2021 年 2 月时代加入了两个差别的恶意软件妄想（Zeus 和 IcedID）。37 岁的维亚切斯拉夫·伊戈列维奇·彭楚科夫于 2022 年 10 月被瑞士政府拘捕，并于去年被引渡到美国。2012年，他被列入联邦视察局的通缉名单。美国司法部 (DoJ)将 Penchukov形貌为“两个多产恶意软件组织的向导者”，该组织用恶意软件熏染了数千台盘算机，导致勒索软件和数百万美元被盗。其中包括 Zeus 银行木马，该木马有助于窃取银行账户信息、密码、小我私家识别码以及登录网上银行账户所需的其他详细信息。被告还被指控至少从 2018 年 11 月起资助向导涉及IcedID（又名 BokBot）恶意软件的攻击，从而为恶意运动提供便当。该恶意软件能够充当信息窃取程序和其他有用负载（例如勒索软件）的加载程序。最终，正如视察记者布莱恩·克雷布斯 (Brian Krebs)在 2022 年报道的那样，由于与乌克兰前总统维克托·亚努科维奇 (Victor Yanukovych) 的政治关系，他多年来乐成逃避乌克兰网络犯法视察职员的起诉。

https://thehackernews.com/2024/02/fbis-most-wanted-zeus-and-icedid.html

3. CISA 称 Akira 勒索团伙正在使用 Cisco ASA/FTD 误差CVE-2020-3259

2月17日，美国网络清静和基础设施清静局 (CISA)在其已知使用误差目录中添加了一个 Cisco ASA 和 FTD 误差，编号为CVE-2020-3259 （CVSS 评分：7.5）。误差 CVE-2020-3259 是一个保存于 ASA 和 FTD Web 服务接口中的信息泄露问题。思科于 2020 年 5 月修复了该误差。CISA 将该问题列为已知用于勒索软件运动的问题，但该机构没有透露哪些勒索软件组织正在起劲使用该问题。Truesec CSIRT 团队发明取证数据批注 Akira 勒索软件组织可能正在起劲使用旧的 Cisco ASA（自顺应清静装备）和 FTD（Firepower 威胁防御）误差，跟踪编号为 CVE-2020-3259。Akira 勒索软件自 2023 年 3 月以来一直活跃，该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织，包括教育、金融和房地产。与其他勒索软件团伙一样，该组织开发了一款针对 VMware ESXi 服务器的 Linux 加密器。

https://securityaffairs.com/159244/cyber-crime/cisa-cisco-cve-2020-3259-akira-ransomware.html

4. 以色列 NSO 组织涉嫌对 WhatsApp 举行“彩信指纹”攻击

2月16日，以色列特工软件公司 NSO Group 涉嫌使用一种新颖的“彩信指纹”攻击来针对 WhatsApp 上未经嫌疑的用户，无需用户交互即可袒露他们的装备信息。该公司于 2023 年 15 日星期四向 Hackread.com 分享的报告显示，WhatsApp 在 2019 年 5 月发明其系统保存误差，允许攻击者在用户装备上装置 Pegasus 特工软件。随后，该误差被使用来针对全球的政府官员和活感人士。WhatsApp 就这种使用行为起诉NSO 集团，但在美国上诉法院和最高法院上诉均失败。Enea 提倡了一项视察，以查明彩信指纹攻击是怎样爆发的。他们发明，它可以通过发送彩信来显示目的装备和操作系统版本，而无需用户交互。MMS UserAgent 是一个标识操作系统和装备（例如运行 Android 的三星手机）的字符串，恶意行为者可以使用 MMS UserAgent 来使用误差、定制恶意负载或策划网络垂纶运动。

https://www.hackread.com/israeli-nso-group-mms-fingerprint-attack-whatsapp/

5. 研究团队发明Turla APT 安排新的 TinyTurla-NG 后门

2月17日，思科 Talos 的专家发明由 Turla APT 组织策划的针对波兰非政府组织的运动。这次攻击使用了一种新颖的后门，TinyTurla-NG。TinyTurla-NG 的一个显著特征是它能够充当后门，当检测到或阻止其他黑客要领时，后门就会被激活。纪录在案的攻击运动从 2023 年 12 月 18 日一连到 2024 年 1 月 27 日，不过有人推测攻击可能早在 2023 年 11 月就最先了。病毒通过受熏染的 WordPress 网站撒播，该网站充当下令和控制 (C2) 服务器。TinyTurla-NG 能够从 C2 服务器执行下令、上传和下载文件以及安排剧本以从密码治理数据库窃取密码。别的，TinyTurla-NG 充当交付 PowerShell 剧本的渠道，称为 TurlaPower-NG，旨在提取用于�；な⑿忻苈胫卫砥魇菘獾男畔�。

https://meterpreter.org/turla-apt-deploys-new-tinyturla-ng-backdoor/

6. Alpha 勒索软件从 NetWalker 灰烬中崛起

2月16日，Alpha 是一种新勒索软件，于 2023 年 2 月首次泛起，并在最近几周增强了运作，与早已不保存的 NetWalker 勒索软件很是相似，NetWalker 勒索软件于 2021 年 1 月在一次国际执法行动后消逝。对 Alpha 的剖析展现了与旧版 NetWalker 勒索软件的显著相似之处。这两种威胁都使用类似的基于 PowerShell 的加载程序来转达有用负载。除此之外，Alpha 和 NetWalker 有用负载之间保存大宗代码重叠。这包括：两个有用负载主要功效的一样平常执行流程；在单个线程中处置惩罚两个功效：历程终止和服务终止；已剖析 API 的类似列表。虽然 API 是使用哈希值剖析的，但所使用的哈希值并不相同；两个有用负载具有相似的设置，包括跳过的文件夹、文件和扩展名的列表；以及要kill的历程和服务的列表；加密完成后，两个有用负载都会使用暂时批处置惩罚文件删除自身；两者都有类似的支付门户，包括相同的新闻：“如需输入，请使用用户代码”。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware?web_view=true

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究