MonikerLink 漏洞使 Outlook 用户面临数据偷窃和恶意软件的威胁

首页 > 宁静研究 > 宁静通报 > 宁静简讯

MonikerLink 漏洞使 Outlook 用户面临数据偷窃和恶意软件的威胁

宣布时间 2024-02-19

1. MonikerLink 漏洞使 Outlook 用户面临数据偷窃和恶意软件的威胁

2月17日，Check Point Research (CPR) 发现Microsoft Outlook中存在严重宁静漏洞。被称为#MonikerLink；该漏洞允许威胁行为者在其目标设备上执行任意代码。博客文章中详细介绍了这项研究，强调了该漏洞可能会利用 Outlook 处置某些超链接的方式。该漏洞被跟踪为CVE-2024-21413， CVSS 评分为 9.8（满分 10），这意味着该漏洞具有严重严重性且高度可利用，可能允许攻击者通过最少的用户交互来破坏系统。这可能会导致系统完全受损、拒绝服务和数据泄露。此外，攻击者可以执行任意代码、窃取数据和安装恶意软件。该问题的发生是由于 Outlook 处置“file://”超链接的方式造成的，从而导致严重的宁静隐患。威胁加入者可以在目标设备上执行未经授权的代码。CPR 的研究表明，#MonikerLink 漏洞滥用了 Windows 上的组件工具模型 ( COM )，从而允许执行未经授权的代码并泄露当地 NTLM 凭据信息。该漏洞利用用户的 NTLM 凭据来通过 Windows 中的 COM 执行任意代码。当用户单击恶意超链接时，它会连接到由攻击者控制的远程服务器，从而破坏身份验证详细信息并可能导致代码执行。这使得攻击者能够绕过Office 应用法式中的受�；な油寄Ｊ�，远程调用 COM 工具并在受害者的计算机上执行代码。

https://www.hackread.com/monikerlink-bug-microsoft-outlook-data-malware/

2. FBI 通缉犯 Zeus 和 IcedID 恶意软件主谋认罪

2月18日，一名乌克兰公民在美国认可自己在 2009 年 5 月至 2021 年 2 月期间加入了两个差异的恶意软件计划（Zeus 和 IcedID）。37 岁的维亚切斯拉夫·伊戈列维奇·彭楚科夫于 2022 年 10 月被瑞士政府逮捕，并于去年被引渡到美国。2012年，他被列入联邦视察局的通缉名单。美国司法部 (DoJ)将 Penchukov描述为“两个多产恶意软件组织的领导者”，该组织用恶意软件熏染了数千台计算机，导致勒索软件和数百万美元被盗。其中包罗 Zeus 银行木马，该木马有助于窃取银行账户信息、密码、个人识别码以及登录网上银行账户所需的其他详细信息。被告还被指控至少从 2018 年 11 月起资助领导涉及IcedID（又名 BokBot）恶意软件的攻击，从而为恶意活动提供便利。该恶意软件能够充当信息窃取法式和其他有效负载（例如勒索软件）的加载法式。最终，正如视察记者布莱恩·克雷布斯 (Brian Krebs)在 2022 年报道的那样，由于与乌克兰前总统维克托·亚努科维奇 (Victor Yanukovych) 的政治关系，他多年来乐成逃避乌克兰网络犯罪视察人员的起诉。

https://thehackernews.com/2024/02/fbis-most-wanted-zeus-and-icedid.html

3. CISA 称 Akira 勒索团伙正在利用 Cisco ASA/FTD 漏洞CVE-2020-3259

2月17日，美国网络宁静和基础设施宁静局 (CISA)在其已知利用漏洞目录中添加了一个 Cisco ASA 和 FTD 漏洞，编号为CVE-2020-3259 （CVSS 评分：7.5）。漏洞 CVE-2020-3259 是一个存在于 ASA 和 FTD Web 服务接口中的信息泄露问题。思科于 2020 年 5 月修复了该漏洞。CISA 将该问题列为已知用于勒索软件活动的问题，但该机构没有透露哪些勒索软件组织正在积极利用该问题。Truesec CSIRT 团队发现取证数据表明 Akira 勒索软件组织可能正在积极利用旧的 Cisco ASA（自适应宁静设备）和 FTD（Firepower 威胁防御）漏洞，跟踪编号为 CVE-2020-3259。Akira 勒索软件自 2023 年 3 月以来一直活跃，该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织，包罗教育、金融和房地产。与其他勒索软件团伙一样，该组织开发了一款针对 VMware ESXi 服务器的 Linux 加密器。

https://securityaffairs.com/159244/cyber-crime/cisa-cisco-cve-2020-3259-akira-ransomware.html

4. 以色列 NSO 组织涉嫌对 WhatsApp 进行“彩信指纹”攻击

2月16日，以色列间谍软件公司 NSO Group 涉嫌利用一种新颖的“彩信指纹”攻击来针对 WhatsApp 上未经怀疑的用户，无需用户交互即可袒露他们的设备信息。该公司于 2023 年 15 日星期四向 Hackread.com 分享的陈诉显示，WhatsApp 在 2019 年 5 月发现其系统存在漏洞，允许攻击者在用户设备上安装 Pegasus 间谍软件。随后，该漏洞被利用来针对全球的政府官员和活感人士。WhatsApp 就这种利用行为起诉NSO 集团，但在美国上诉法院和最高法院上诉均失败。Enea 提倡了一项视察，以查明彩信指纹攻击是如何发生的。他们发现，它可以通过发送彩信来显示目标设备和操作系统版本，而无需用户交互。MMS UserAgent 是一个标识操作系统和设备（例如运行 Android 的三星手机）的字符串，恶意行为者可以利用 MMS UserAgent 来利用漏洞、定制恶意负载或筹谋网络钓鱼活动。

https://www.hackread.com/israeli-nso-group-mms-fingerprint-attack-whatsapp/

5. 研究团队发现Turla APT 部署新的 TinyTurla-NG 后门

2月17日，思科 Talos 的专家发现由 Turla APT 组织筹谋的针对波兰非政府组织的活动。这次攻击利用了一种新颖的后门，TinyTurla-NG。TinyTurla-NG 的一个显著特征是它能够充当后门，当检测到或阻止其他黑客要领时，后门就会被激活。记录在案的攻击活动从 2023 年 12 月 18 日连续到 2024 年 1 月 27 日，不外有人推测攻击可能早在 2023 年 11 月就开始了。病毒通过受熏染的 WordPress 网站流传，该网站充当命令和控制 (C2) 服务器。TinyTurla-NG 能够从 C2 服务器执行命令、上传和下载文件以及部署脚本以从密码管理数据库窃取密码。此外，TinyTurla-NG 充当交付 PowerShell 脚本的渠道，称为 TurlaPower-NG，旨在提取用于�；ち餍忻苈牍芾砥魇菘獾男畔�。

https://meterpreter.org/turla-apt-deploys-new-tinyturla-ng-backdoor/

6. Alpha 勒索软件从 NetWalker 灰烬中崛起

2月16日，Alpha 是一种新勒索软件，于 2023 年 2 月首次泛起，并在最近几周加强了运作，与早已不存在的 NetWalker 勒索软件非常相似，NetWalker 勒索软件于 2021 年 1 月在一次国际执法行动后消失。对 Alpha 的分析揭示了与旧版 NetWalker 勒索软件的显著相似之处。这两种威胁都使用类似的基于 PowerShell 的加载法式来通报有效负载。除此之外，Alpha 和 NetWalker 有效负载之间存在大量代码重叠。这包罗：两个有效负载主要功效的一般执行流程；在单个线程中处置两个功效：进程终止和服务终止；已解析 API 的类似列表。虽然 API 是使用哈希值解析的，但所使用的哈希值并不相同；两个有效负载具有相似的配置，包罗跳过的文件夹、文件和扩展名的列表；以及要kill的进程和服务的列表；加密完成后，两个有效负载都市使用临时批处置文件删除自身；两者都有类似的支付门户，包罗相同的消息：“如需输入，请使用用户代码”。

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/alpha-netwalker-ransomware?web_view=true

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究