MonikerLink 缝隙使 Outlook 用户面对数据偷窃和恶意软件的威胁

首页 > 安全钻研 > 安全传递 > 安全简讯

MonikerLink 缝隙使 Outlook 用户面对数据偷窃和恶意软件的威胁

颁布功夫 2024-02-19

1. MonikerLink 缝隙使 Outlook 用户面对数据偷窃和恶意软件的威胁

2月17日，Check Point Research (CPR) 发现Microsoft Outlook中存在严沉安全缝隙。被称为#MonikerLink；该缝隙允许威胁行为者在其指标设备上执行肆意代码。博客文章中具体介绍了这项钻研，强调了该缝隙可能会利用 Outlook 处置某些超链接的方式。该缝隙被跟踪为CVE-2024-21413， CVSS 评分为 9.8（满分 10），这意味着该缝隙拥有严沉严沉性且高度可利用，可能允许攻击者通过至少的用户交互来粉碎系统。这可能会导致系统齐全受损、回绝服务和数据泄露。此表，攻击者能够执行肆意代码、窃取数据和装置恶意软件。该问题的产生是由于 Outlook 处置“file://”超链接的方式造成的，从而导致严沉的安全隐患。威胁参加者能够在指标设备上执行未经授权的代码。CPR 的钻研批注，#MonikerLink 缝隙滥用了 Windows 上的组件对象模型 ( COM )，从而允许执行未经授权的代码并泄露本地 NTLM 痛处信息。该缝隙利用用户的 NTLM 痛处来通过 Windows 中的 COM 执行肆意代码。当用户单击恶意超链接时，它会衔接到由攻击者节造的远程服务器，从而粉碎身份验证具体信息并可能导致代码执行。这使得攻击者可能绕过Office 利用法式中的受�；な油寄Ｊ�，远程挪用 COM 对象并在受害者的推算机上执行代码。

https://www.hackread.com/monikerlink-bug-microsoft-outlook-data-malware/

2. FBI 通缉犯 Zeus 和 IcedID 恶意软件主谋认罪

2月18日，一名乌克兰公民在美国认可自己在 2009 年 5 月至 2021 年 2 月期间参加了两个分歧的恶意软件打算（Zeus 和 IcedID）。37 岁的维亚切斯拉夫·伊戈列维奇·彭楚科夫于 2022 年 10 月被瑞士当局扣留，并于去年被引渡到美国。2012年，他被列入联国调查局的通缉名单。美国司法部 (DoJ)将 Penchukov描述为“两个多产恶意软件组织的辅导者”，该组织用恶意软件习染了数千台推算机，导致勒索软件和数百万美元被盗。其中蕴含 Zeus 银行木马，该木马有助于窃取银行账户信息、密码、幼我鉴别码以及登录网上银行账户所需的其他具体信息。被告还被指控至少从 2018 年 11 月起援手辅导涉及IcedID（别名 BokBot）恶意软件的攻击，从而为恶意活动提供方便。该恶意软件可能充任信息窃取法式和其他有效负载（例如勒索软件）的加载法式。最终，正如调查记者布莱恩·克雷布斯 (Brian Krebs)在 2022 年报路的那样，由于与乌克兰前总统维克陀驻亚努科维奇 (Victor Yanukovych) 的政治关系，他多年来成功逃避乌克兰网络犯罪调查人员的告状。

https://thehackernews.com/2024/02/fbis-most-wanted-zeus-and-icedid.html

3. CISA 称 Akira 勒索团伙在利用 Cisco ASA/FTD 缝隙CVE-2020-3259

2月17日，美国网络安全和基础设施安全局 (CISA)在其已知利用缝隙目录中增长了一个 Cisco ASA 和 FTD 缝隙，编号为CVE-2020-3259 （CVSS 评分：7.5）。缝隙 CVE-2020-3259 是一个存在于 ASA 和 FTD Web 服务接口中的信息泄露问题。思科于 2020 年 5 月建复了该缝隙。CISA 将该问题列为已知用于勒索软件活动的问题，但该机构没有泄漏哪些勒索软件组织在积极利用该问题。Truesec CSIRT 团队发现取证数据批注 Akira 勒索软件组织可能在积极利用旧的 Cisco ASA（自适应安全设备）和 FTD（Firepower 威胁防御）缝隙，跟踪编号为 CVE-2020-3259。Akira 勒索软件自 2023 年 3 月以来一向活跃，该恶意软件背后的威胁行为者宣称已经入侵了多个行业的多个组织，蕴含教育、金融和房地产。与其他勒索软件团伙一样，该组织开发了一款针对 VMware ESXi 服务器的 Linux 加密器。

https://securityaffairs.com/159244/cyber-crime/cisa-cisco-cve-2020-3259-akira-ransomware.html

4. 以色列 NSO 组织涉嫌对 WhatsApp 进杏装彩信指纹”攻击

2月16日，以色列间谍软件公司 NSO Group 涉嫌利用一种新鲜的“彩信指纹”攻击来针对 WhatsApp 上未经疑惑的用户，无需用户交互即可露出他们的设备信息。该公司于 2023 年 15 日星期四向 Hackread.com 分享的汇报显示，WhatsApp 在 2019 年 5 月发显熹系统存在缝隙，允许攻击者在用户设备上装置 Pegasus 间谍软件。随后，该缝隙被利用来针对全球确当局官员和活动人士。WhatsApp 就这种利用行为告状NSO 集团，但在美国上诉法院和最高法院上诉均失败。Enea 提议了一项调查，以查明彩信指纹攻击是若何产生的。他们发现，它能够通过发送彩信来显示指标设备和操作系统版本，而无需用户交互。MMS UserAgent 是一个标识操作系统和设备（例如运行 Android 的三星手机）的字符串，恶意行为者能够利用 MMS UserAgent 来利用缝隙、定造恶意负载或策动网络垂钓活动。

https://www.hackread.com/israeli-nso-group-mms-fingerprint-attack-whatsapp/

5. 钻研团队发现Turla APT 部署新的 TinyTurla-NG 后门

2月17日，思科 Talos 的专家发现由 Turla APT 组织策动的针对波兰非当局组织的活动。这次攻击利用了一种新鲜的后门，TinyTurla-NG。TinyTurla-NG 的一个显著特点是它可能充任后门，当检测到或阻止其他黑客步骤时，后门就会被激活。纪录在案的攻击活动从 2023 年 12 月 18 日持续到 2024 年 1 月 27 日，不外有人猜测攻击可能早在 2023 年 11 月就起头了。病毒通过受习染的 WordPress 网站传布，该网站充任号令和节造 (C2) 服务器。TinyTurla-NG 可能从 C2 服务器执行号令、上传和下载文件以及部署剧本以从密码治理数据库窃取密码。此表，TinyTurla-NG 充任交付 PowerShell 剧本的渠路，称为 TurlaPower-NG，旨在提取用于�；な⑿忻苈胫卫砥魇菘獾男畔�。

https://meterpreter.org/turla-apt-deploys-new-tinyturla-ng-backdoor/

6. Alpha 勒索软件从 NetWalker 灰烬中崛起

2月16日，Alpha 是一种新勒索软件，于 2023 年 2 月初次出现，并在最近几周加强了运作，与早已不存在的 NetWalker 勒索软件极度类似，NetWalker 勒索软件于 2021 年 1 月在一次国际法律行动后隐没。对 Alpha 的分析揭示了与旧版 NetWalker 勒索软件的显著类似之处。这两种威胁都使用类似的基于 PowerShell 的加载法式来传递有效负载。除此之表，Alpha 和 NetWalker 有效负载之间存在大量代码沉叠。这蕴含：两个有效负载重要职能的通常执行流程；在单个线程中处置两个职能：过程终止和服务终止；已解析 API 的类似列表。固然 API 是使用哈希值解析的，但所使用的哈希值并不一样；两个有效负载拥有类似的配置，蕴含跳过的文件加注文件和扩大名的列表；以及要kill的过程和服务的列表；加密实现后，两个有效负载城市使用一时批处置文件删除自身；两者都有类似的支讣户，蕴含一样的新闻：“如需输入，请使用用户代码”。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware?web_view=true

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研