MonikerLink 误差使 Outlook 用户面临数据偷窃和恶意软件的威胁

首页 > 清静研究 > 清静转达 > 清静简讯

MonikerLink 误差使 Outlook 用户面临数据偷窃和恶意软件的威胁

宣布时间 2024-02-19

1. MonikerLink 误差使 Outlook 用户面临数据偷窃和恶意软件的威胁

2月17日，，，，，，，Check Point Research (CPR) 发明Microsoft Outlook中保存严重清静误差。。。。。。被称为#MonikerLink；；；；；；；该误差允许威胁行为者在其目的装备上执行恣意代码。。。。。。博客文章中详细先容了这项研究，，，，，，，强调了该误差可能会使用 Outlook 处置惩罚某些超链接的方法。。。。。。该误差被跟踪为CVE-2024-21413，，，，，，， CVSS 评分为 9.8（满分 10），，，，，，，这意味着该误差具有严重严重性且高度可使用，，，，，，，可能允许攻击者通过最少的用户交互来破损系统。。。。。。这可能会导致系统完全受损、拒绝效劳和数据泄露。。。。。。别的，，，，，，，攻击者可以执行恣意代码、窃取数据和装置恶意软件。。。。。。该问题的爆发是由于 Outlook 处置惩罚“file://”超链接的方法造成的，，，，，，，从而导致严重的清静隐患。。。。。。威胁加入者可以在目的装备上执行未经授权的代码。。。。。。CPR 的研究批注，，，，，，，#MonikerLink 误差滥用了 Windows 上的组件工具模子 ( COM )，，，，，，，从而允许执行未经授权的代码并泄露外地 NTLM 凭证信息。。。。。。该误差使用用户的 NTLM 凭证来通过 Windows 中的 COM 执行恣意代码。。。。。。当用户单击恶意超链接时，，，，，，，它会毗连到由攻击者控制的远程效劳器，，，，，，，从而破损身份验证详细信息并可能导致代码执行。。。。。。这使得攻击者能够绕过Office 应用程序中的受�；；；；；；；な油寄Ｊ剑�，，，，，，远程挪用 COM 工具并在受害者的盘算机上执行代码。。。。。。

https://www.hackread.com/monikerlink-bug-microsoft-outlook-data-malware/

2. FBI 通缉犯 Zeus 和 IcedID 恶意软件主谋认罪

2月18日，，，，，，，一名乌克兰公民在美国认可自己在 2009 年 5 月至 2021 年 2 月时代加入了两个差别的恶意软件妄想（Zeus 和 IcedID）。。。。。。37 岁的维亚切斯拉夫·伊戈列维奇·彭楚科夫于 2022 年 10 月被瑞士政府拘捕，，，，，，，并于去年被引渡到美国。。。。。。2012年，，，，，，，他被列入联邦视察局的通缉名单。。。。。。美国司法部 (DoJ)将 Penchukov形貌为“两个多产恶意软件组织的向导者”，，，，，，，该组织用恶意软件熏染了数千台盘算机，，，，，，，导致勒索软件和数百万美元被盗。。。。。。其中包括 Zeus 银行木马，，，，，，，该木马有助于窃取银行账户信息、密码、小我私家识别码以及登录网上银行账户所需的其他详细信息。。。。。。被告还被指控至少从 2018 年 11 月起资助向导涉及IcedID（又名 BokBot）恶意软件的攻击，，，，，，，从而为恶意活动提供便当。。。。。。该恶意软件能够充当信息窃取程序和其他有用负载（例如勒索软件）的加载程序。。。。。。最终，，，，，，，正如视察记者布莱恩·克雷布斯 (Brian Krebs)在 2022 年报道的那样，，，，，，，由于与乌克兰前总统维克托·亚努科维奇 (Victor Yanukovych) 的政治关系，，，，，，，他多年来乐成逃避乌克兰网络犯法视察职员的起诉。。。。。。

https://thehackernews.com/2024/02/fbis-most-wanted-zeus-and-icedid.html

3. CISA 称 Akira 勒索团伙正在使用 Cisco ASA/FTD 误差CVE-2020-3259

2月17日，，，，，，，美国网络清静和基础设施清静局 (CISA)在其已知使用误差目录中添加了一个 Cisco ASA 和 FTD 误差，，，，，，，编号为CVE-2020-3259 （CVSS 评分：7.5）。。。。。。误差 CVE-2020-3259 是一个保存于 ASA 和 FTD Web 效劳接口中的信息泄露问题。。。。。。思科于 2020 年 5 月修复了该误差。。。。。。CISA 将该问题列为已知用于勒索软件活动的问题，，，，，，，但该机构没有透露哪些勒索软件组织正在起劲使用该问题。。。。。。Truesec CSIRT 团队发明取证数据批注 Akira 勒索软件组织可能正在起劲使用旧的 Cisco ASA（自顺应清静装备）和 FTD（Firepower 威胁防御）误差，，，，，，，跟踪编号为 CVE-2020-3259。。。。。。Akira 勒索软件自 2023 年 3 月以来一直活跃，，，，，，，该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织，，，，，，，包括教育、金融和房地产。。。。。。与其他勒索软件团伙一样，，，，，，，该组织开发了一款针对 VMware ESXi 效劳器的 Linux 加密器。。。。。。

https://securityaffairs.com/159244/cyber-crime/cisa-cisco-cve-2020-3259-akira-ransomware.html

4. 以色列 NSO 组织涉嫌对 WhatsApp 举行“彩信指纹”攻击

2月16日，，，，，，，以色列特工软件公司 NSO Group 涉嫌使用一种新颖的“彩信指纹”攻击来针对 WhatsApp 上未经嫌疑的用户，，，，，，，无需用户交互即可袒露他们的装备信息。。。。。。该公司于 2023 年 15 日星期四向 Hackread.com 分享的报告显示，，，，，，，WhatsApp 在 2019 年 5 月发明其系统保存误差，，，，，，，允许攻击者在用户装备上装置 Pegasus 特工软件。。。。。。随后，，，，，，，该误差被使用来针对全球的政府官员和活感人士。。。。。。WhatsApp 就这种使用行为起诉NSO 集团，，，，，，，但在美国上诉法院和最高法院上诉均失败。。。。。。Enea 提倡了一项视察，，，，，，，以查明彩信指纹攻击是怎样爆发的。。。。。。他们发明，，，，，，，它可以通过发送彩信来显示目的装备和操作系统版本，，，，，，，而无需用户交互。。。。。。MMS UserAgent 是一个标识操作系统和装备（例如运行 Android 的三星手机）的字符串，，，，，，，恶意行为者可以使用 MMS UserAgent 来使用误差、定制恶意负载或策划网络垂纶活动。。。。。。

https://www.hackread.com/israeli-nso-group-mms-fingerprint-attack-whatsapp/

5. 研究团队发明Turla APT 安排新的 TinyTurla-NG 后门

2月17日，，，，，，，思科 Talos 的专家发明由 Turla APT 组织策划的针对波兰非政府组织的活动。。。。。。这次攻击使用了一种新颖的后门，，，，，，，TinyTurla-NG。。。。。。TinyTurla-NG 的一个显著特征是它能够充当后门，，，，，，，当检测到或阻止其他黑客要领时，，，，，，，后门就会被激活。。。。。。纪录在案的攻击活动从 2023 年 12 月 18 日一连到 2024 年 1 月 27 日，，，，，，，不过有人推测攻击可能早在 2023 年 11 月就最先了。。。。。。病毒通过受熏染的 WordPress 网站撒播，，，，，，，该网站充当下令和控制 (C2) 效劳器。。。。。。TinyTurla-NG 能够从 C2 效劳器执行下令、上传和下载文件以及安排剧本以从密码治理数据库窃取密码。。。。。。别的，，，，，，，TinyTurla-NG 充当交付 PowerShell 剧本的渠道，，，，，，，称为 TurlaPower-NG，，，，，，，旨在提取用于�；；；；；；；な⑿忻苈胫卫砥魇菘獾男畔�。。。。。。

https://meterpreter.org/turla-apt-deploys-new-tinyturla-ng-backdoor/

6. Alpha 勒索软件从 NetWalker 灰烬中崛起

2月16日，，，，，，，Alpha 是一种新勒索软件，，，，，，，于 2023 年 2 月首次泛起，，，，，，，并在最近几周增强了运作，，，，，，，与早已不保存的 NetWalker 勒索软件很是相似，，，，，，，NetWalker 勒索软件于 2021 年 1 月在一次国际执法行动后消逝。。。。。。对 Alpha 的剖析展现了与旧版 NetWalker 勒索软件的显著相似之处。。。。。。这两种威胁都使用类似的基于 PowerShell 的加载程序来转达有用负载。。。。。。除此之外，，，，，，，Alpha 和 NetWalker 有用负载之间保存大宗代码重叠。。。。。。这包括：两个有用负载主要功效的一样平常执行流程；；；；；；；在单个线程中处置惩罚两个功效：历程终止和效劳终止；；；；；；；已剖析 API 的类似列表。。。。。。虽然 API 是使用哈希值剖析的，，，，，，，但所使用的哈希值并不相同；；；；；；；两个有用负载具有相似的设置，，，，，，，包括跳过的文件夹、文件和扩展名的列表；；；；；；；以及要kill的历程和效劳的列表；；；；；；；加密完成后，，，，，，，两个有用负载都会使用暂时批处置惩罚文件删除自身；；；；；；；两者都有类似的支付门户，，，，，，，包括相同的新闻：“如需输入，，，，，，，请使用用户代码”。。。。。。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware?web_view=true

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究