俄罗斯疑似利用NTLM新漏洞对乌克兰发动网络攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

俄罗斯疑似利用NTLM新漏洞对乌克兰发动网络攻击

宣布时间 2024-11-15

1. 俄罗斯疑似利用NTLM新漏洞对乌克兰发动网络攻击

11月14日，近日一个名为CVE-2024-43451的新宁静漏洞影响了Windows NT LAN管理器（NTLM），该漏洞被疑似与俄罗斯有关的行为者利用为零日漏洞，对乌克兰发动网络攻击。此漏洞被命名为NTLM哈希泄露欺骗漏洞，CVSS评分为6.5，可被用来窃取用户的NTLMv2哈希。微软已及时修补了该漏洞，并指出用户与恶意文件进行最小交互都可能触发漏洞。以色列网络宁静公司ClearSky发现，该漏洞已被用于流传开源Spark RAT恶意软件的攻击链中，恶意文件托管在乌克兰政府官方网站上。攻击链涉及发送网络钓鱼电子邮件，提示收件人点击陷阱URL下载包罗恶意.URL文件的ZIP存档。当受害者与URL文件交互时，就会触发漏洞，导致下载其他有效负载，包罗Spark RAT。乌克兰计算机应急反映小组(CERT-UA)将此活动与可能的俄罗斯威胁行为者UAC-0194联系起来，并警告称，企业与远程银行系统协作的会计处于高风险区，资金可能在短时间内被盗。

https://thehackernews.com/2024/11/russian-hackers-exploit-new-ntlm-flaw.html

2. 哈马斯关联网络组织WIRTE针对以色列实施破坏性攻击

11月13日，据The Hack News报道，与哈马斯有关联的网络攻击者近期专门针对以色列实体进行破坏性攻击。Check Point的分析指出，这些攻击与一个名为WIRTE的组织有关，该组织自2018年8月以来一直活跃于中东地域，针对广泛实体发动攻击。WIRTE利用中东的地缘政治紧张局势和战乱，制作恶意RAR文档部署Havoc后期开发框架，或利用类似的RAR文档部署IronWind下载器。这些熏染序列通过流传带有欺骗性的PDF文档，使用合法的可执行文件侧载带有恶意软件的DLL。在2024年10月针对以色列医院和市政政府等多个组织的网络钓鱼活动中，甚至泛起了冒充网络宁静公司ESET在以色列合作商发出的钓鱼电子邮件，其中包罗了新版本的SameCoin Wiper，该版本除了笼罩文件外，还会修改受害者系统配景显示哈马斯军事分支Al-Qassam Brigades的图像。据称，该攻击组织的Windows加载法式样本时间戳被更改为哈马斯对以色列发动突然攻势的日期，而初始访问媒介则是冒充以色列国家网络局的电子邮件。

https://thehackernews.com/2024/11/hamas-affiliated-wirte-employs-samecoin.html

3. Glove Stealer恶意软件：可绕过Chrome App-Bound加密窃取Cookie

11月14日，Glove Stealer 是一款新的恶意软件，能够绕过 Google Chrome 的 App-Bound 加密，窃取浏览器 cookie。该恶意软件由 Gen Digital 宁静研究人员在视察网络钓鱼活动时首次发现，他们认为它相对简单，可能处于早期开发阶段。Glove Stealer 使用社会工程计谋诱骗潜在受害者安装，可以从 Firefox 和基于 Chromium 的浏览器（如 Chrome、Edge 等）中提取 cookie，以及窃取浏览器扩展法式中的加密货币钱包、2FA 会话令牌、密码数据等敏感信息。此外，它还能从 280 个浏览器扩展和 80 多个当地应用法式中窃取数据。为了绕过 Chrome 的 App-Bound 加密，Glove Stealer 使用了一个支持�？�，利用 Chrome 的 IElevator Windows 服务来解密和检索加密密钥，但需要先获恰当地管理员权限。尽管这种要领在技术上相对基础，但多个信息窃取恶意软件操作已经能够绕过新的宁静功效，以窃取和解密 Google Chrome cookie。自谷歌 7 月份实施 App-Bound 加密以来，攻击次数并未减少，反而有所增加，通过种种方式瞄准潜在受害者。

https://www.bleepingcomputer.com/news/security/new-glove-infostealer-malware-bypasses-google-chromes-cookie-encryption/

4. 瑞士网络机构警示：假气象邮件流传恶意软件偷取敏感信息

11月15日，瑞士联邦网络宁静局（OFCS）13日发出警告，称该国气象机构的“假信件”被用来流传恶意软件。这些邮件声称提供一款新天气应用法式MeteoSwiss，但包罗一个二维码，会重定向到欺诈者开发的恶意应用法式。扫描二维码后，手机用户会下载名为“Coper”和“Octo2”的恶意软件，该法式试图窃取包罗电子银行应用法式在内的383多个移动应用法式的登录详细信息。虽然使用现实世界的诱饵来熏染恶意软件的情况并不常见，但并非闻所未闻，微软此前也曾遭遇类似事件。OFCS没有透露受影响的人数，但体现假冒应用法式模仿了真正的“Alertswiss”应用法式，仅影响安卓手机。建议安装了假冒应用法式的用户将设备恢复出厂设置，并陈诉给OFCS。该机构已经开始实施�；ご胧�。

https://therecord.media/malware-delivered-by-mail-swiss-cyber-agency

5. 匈牙利国防采购机构遭国际黑客组织攻击

11月15日，匈牙利国防采购机构（VBü）近日遭到名为INC Ransomware或INC Ransom的国际网络犯罪组织的攻击。该组织声称可以访问VBü的数据，并在暗网门户网站上宣布了示例截图。匈牙利国防部拒绝透露可能的信息泄露情况，但确认视察正在进行中，并强调VBü不存储敏感的军事数据。然而，总理维克托·欧尔班的幕僚长将此次袭击归咎于敌对的外国非国家黑客组织，指出可能被访问的最敏感数据包罗有关军事采购的计划和数据。据报道，黑客入侵了该机构的服务器，下载并加密了所有文件，并宣布了包罗匈牙利军队空中和陆地能力数据的文件截图，以及标有“非果然”的文件，并索要500万美元赎金。匈牙利官员未就是否与黑客谈判发表评论。

https://therecord.media/hungary-defense-procurement-agency-hacked

6. Microsoft Power Pages配置错误致700万条记录袒露

11月14日，研究人员发现，Microsoft Power Pages这一低代码工具存在多个配置错误实现的问题，可能导致机密数据被无意访问。Power Pages被广泛应用于政府、教育和私人组织等领域，但在一些安装中，配置错误导致约700万条记录袒露。问题源于用户对配置的理解不足，而非微软产物自己的问题。微软在潜在配置问题时会发出警告，但无法确保用户作出反映。现代技术使得门户构建相对容易，但宁静性和维护仍然庞大，导致实施和维护之间不匹配，超出相关公司能力范围的初始或新泛起的错误配置�？⑼哦雍湍餐哦又涞牧尕旯叵狄布泳缌苏庖晃侍�。AppOmni发现的问题已向受影响公司陈诉并得到修复，但连续存在的错误配置问题仍需解决。现代低代码技术使得缺乏专业知识的用户能够开发庞大的解决方案，因此问题可能会连续存在。AppOmni建议使用能够检测错误配置的系统进行连续监控。

https://www.securityweek.com/low-code-high-risk-millions-of-records-exposed-via-misconfigured-microsoft-power-pages/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究