FinalDraft恶意软件：利用Outlook草稿进行荫蔽攻击的新威胁

首页 > 安全钻研 > 安全传递 > 安全简讯

FinalDraft恶意软件：利用Outlook草稿进行荫蔽攻击的新威胁

颁布功夫 2025-02-17

1. FinalDraft恶意软件：利用Outlook草稿进行荫蔽攻击的新威胁

2月16日，FinalDraft是一种新发现的恶意软件，它利用Outlook电子邮件草稿进行荫蔽的号令和节造通讯，专门攻击南美某部门。该攻击由Elastic Security Labs发现，涉及一套齐全的工具集，蕴含PathLoader加载器、FinalDraft后门及多个后利用法式。FinalDraft通过滥用Outlook实现荫蔽通讯，执行数据泄露、代理、过程注入和横向移动等操作，同时尽量削减痕迹。攻击始于PathLoader入侵，它执行从攻击者基础设施检索的shellcode，蕴含FinalDraft恶意软件。FinalDraft通过Microsoft Graph API成立通讯，使用嵌入的刷新令牌检索OAuth令牌并存储在Windows注册表中，实现悠久接见。攻击者通过Outlook草稿发送和接管号令，预防检测并融入正常Microsoft 365流量。FinalDraft支持37个号令，蕴含数据泄露、过程注入、传递哈希攻击等。此表，还发现FinalDraft的Linux变体及另一个未纪录的恶意软件加载器GuidLoader。REF7707是针对南美表交部的网络间谍活动，但分析显示其与东南亚受害者有联系，暗示行动领域更广。攻击者通过东南亚电信和互联网基础设施提供商的受习染端点对准高价值机构，并利用东南亚一所大学的存储系统托管恶意软件负载。

https://www.bleepingcomputer.com/news/security/new-finaldraft-malware-abuses-outlook-mail-service-for-stealthy-comms/

2. Steam商店游戏PirateFi传布Vidar恶意软件，影响超1500用户

2月14日，Steam商店中一款名为PirateFi的免费游戏在2月6日至2月12日期间传布了Vidar信息窃取恶意软件，影响可能多达1500名用户。该游戏由Seaworth Interactive颁布，被描述为一款生计游戏，但Steam发显熹蕴含恶意软件后已向受影响用户发送通知，建议他们沉新装置Windows以确保安全。SECUINFRA Falcon Team确认该恶意软件为Vidar信息窃取法式的一个版本，暗藏在Pirate.exe文件中。该恶意软件使用各类混合技术和更改号令和节造服务器以窃取凭证。钻研人员以为，PirateFi名称中的web3/区块链/加密钱币引用是为了吸引特定玩家群体。固然Steam推出了额表措施�；ね婕颐馐芪淳谌ǖ亩褚飧虑趾�，但PirateFi案例批注这些措施仍需加强。此前也有类似恶意软件入侵Steam商店的案例，如利用Chrome缝隙的Dota 2游戏模式和被黑客攻击的《Slay the Spire》模组。

https://www.bleepingcomputer.com/news/security/piratefi-game-on-steam-caught-installing-password-stealing-malware/

3. 疑似俄罗斯黑客组织Storm-2372利用设备代码垂钓攻击Microsoft 365帐户

2月15日，一个名为Storm-2372的威胁行为者，疑似与俄罗斯有关，在针对全球多个领域的组织提议设备代码网络垂钓攻击，指标蕴含当局、非当局组织、IT服务和技术、国防、电信、卫生以及能源等领域。自去年8月以来，该行为者通过新闻平台假意与指标有关的驰名人士，诱骗用户在合法登录页面上输入攻击者天生的设备代码，从而获取对受害者Microsoft 365帐户的初始接见权限，并启用Graph API数据网络活动。微软暗示，攻击者此刻使用Microsoft身份验证代理的特定客户端ID，可能天生新的令牌，带来新的攻击和悠久性可能性。为了防御此类攻击，微软建议阻止设备代码流，执行前提接见战术，并在疑惑存在垂钓攻击时撤销用户的刷新令牌并设置前提接见战术以强造沉新身份验证。同时，使用Microsoft Entra ID的登录日志进行监控并急剧鉴别异常登录尝试。

https://www.bleepingcomputer.com/news/security/microsoft-hackers-steal-emails-in-device-code-phishing-attacks/

4. 朝鲜黑客组织Kimsuky疑似提议DEEP#DRIVE网络垂钓攻击

2月14日，一场名为DEEP#DRIVE的网络垂钓攻击活动自2024年9月起针对韩国企业、敌灾实体及加密钱币用户发展，已造成数千名受害者。这次攻击由疑似朝鲜黑客组织Kimsuky提议，其重要主张是网络韩国实体的敏感信息。攻击者使用韩语编写的定造网络垂钓钓饵，假装成工作日志、保险文件和加密有关文件等合法文件，通过Dropbox等平台分发，以逃避传统安全防御。这些钓饵通常以.hwp、.xlsx和.pptx等受信赖的文件体式出现，精心设计以吸引指标受多。攻击链以假装成合法文档的.lnk文件起头，启动恶意PowerShell剧本的执行，进而下载其他有效负载并成立悠久性。攻击者还利用Dropbox进行数据泄露，并使用多种技术逃避检测。只管攻击者的基础设施看似短暂，但其战术、技术和法式与Kimsuky组织极度类似。Securonix建议对用户进行网络垂钓教育、监控恶意软件暂存目录以及靠得住的端点日志纪录，以防御此类攻击。

https://hackread.com/n-korean-hackers-deep-drive-attacks-against-s-korea/

5. 黑客利用CVE-2025-0108缝隙攻击PAN-OS防火墙

2月14日，黑客利用最近建复的CVE-2025-0108缝隙对Palo Alto Networks的PAN-OS防火墙提议了攻击。该缝隙允许未经身份验证的攻击者绕过身份验证并挪用PHP剧本，危及系统的齐全性和机密性。Palo Alto Networks在2月12日颁布安全布告，督促治理员将防火墙升级到指定版本以解决此问题，同时指出PAN-OS 11.0因已达使用寿命，将不再颁布建复法式。该缝隙由Assetnote的安全钻研人员发现并汇报，他们已颁发蕴含齐全缝隙利用细节的文章。攻击者可利用此缝隙提取敏感数据、检索配置或把持设置。GreyNoise平台纪录了针对未建补防火墙的攻击尝试，且可能有多个威胁行为者参加。目前，有超过4400台PAN-OS设备的治理界面在线露出。为防御攻击，建议利用补丁并限度对防火墙治理接口的接见。

https://www.bleepingcomputer.com/news/security/hackers-exploit-authentication-bypass-in-palo-alto-networks-pan-os/

6. CISA将Apple iOS/iPadOS及Mitel SIP电话缝隙列入已知利用缝隙目录

2月15日，美国网络安全和基础设施安全局（CISA）已将Apple iOS和iPadOS的授权谬误缝隙（CVE-2025-24200）以及Mitel SIP电话的参数注入缝隙（CVE-2024-41710）增长到其已知利用缝隙（KEV）目录中。苹果垂危颁布了安全更新，建复了可能被“极其复杂」仉对性攻击利用的CVE-2025-24200缝隙，该缝隙影响iPhone XS及更新机型和多款iPad，攻击者可利用此缝隙在锁定设备上禁用USB限度模式。同时，Mitel也颁布了固件更新解决了CVE-2024-41710缝隙，该缝隙影响Mitel 6800、6900和6900w系列SIP电话，可能允许攻击者进行号令注入攻击。随后，有钻研发现基于Mirai的僵尸网络Aquabot的新变种针对存在该缝隙的Mitel SIP电话进行攻击。CISA要求联国机构在2025年3月5日前建复这些缝隙，并建议个人组织审查KEV目录并解决其基础设施中的缝隙，以降低落大风险。

https://securityaffairs.com/174246/security/u-s-cisa-adds-apple-ios-and-ipados-and-mitel-sip-phones-flaws-to-its-known-exploited-vulnerabilities-catalog.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研