外媒 1 月 17 日消息,FireEye 于近期发现了一种新的攻击手法——利用三个 2017 年披露的 Microsoft Office 漏洞进行恶意软件 Zyklon 的传播活动 。据悉,该活动主要针对电信、保险和金融服务等公司,试图收集其密码和加密货币钱包数据,并为未来可能发生的 DDoS (分布式拒绝服务) 攻击收集目标列表。
功能强大的 Zyklon 恶意软件
Zyklon 是一款 HTTP 僵尸 *** 恶意软件 ,自 2016 年就开始出现,通过 Tor 匿名 *** 与其 C&C (命令和控制)服务器进行通信,从而允许攻击者远程窃取密钥和敏感数据,比如存储在 web 浏览器和电子邮件客户端的密码。此外,根据 FireEye 最近发布的报告,Zyklon 还是一个公开的全功能后门,能够进行键盘记录、密码采集、下载和执行额外的插件,包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。
而在此次攻击活动中,背后的攻击者利用 Microsoft Office 的三个漏洞通过鱼叉式 *** 钓鱼电子邮件传播 Zyklon 恶意软件,这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本,并从 C&C 服务器下载最终 playload。这样一来, 用户的计算机设备就会成功受到感染。
以下为恶意软件利用的三个 Microsoft Office 漏洞:
之一个漏洞:CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序,处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象,该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。
第二个漏洞:CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误,微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似,打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。
第三个漏洞:在于动态数据交换( DDE ),但微软不承认该漏洞的存在,而是坚称 DDE 只是一个产品功能,是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而,在过去的一年中,攻击者利用 DDE 在恶意活动取得了巨大的成功,比如在无需启用宏或内存损坏情况下在目标设备上执行代码。
FireEye 表示,目前越来越多的攻击者利用恶意软件来执行不同的任务,并且很可能会超出当前攻击目标的范围,因此对于所有行业来说保持高度警惕性变得尤为重要。
消息来源:threatpost,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
研究人员近日发现了针对乌克兰计算机的新型擦除恶意软件(以破坏关键文件和数据为目的),这是俄乌冲突以来发现的第 3 款擦除恶意软件。 这种被称为 CaddyWiper 的恶意软件是由总部位于斯洛伐克的网络安全公司 ESET 的研究人员发现的,他们在周一发布的推文中分享了细节。 据研究人员称,该...
一家欧洲隐私监督机构已经制裁了有争议的面部识别公司Clearview AI,该公司从互联网上搜刮自拍,积累了约100亿张脸的数据库,为其出售给执法部门的身份匹配服务。意大利的数据保护机构今天宣布对Clearview AI违反欧盟法律的行为处以2000万欧元罚款。 同时命令这家有争议的公司删除其...
Surfshark的一项研究显示,自3月开始入侵乌克兰以来,俄罗斯账户被攻破的次数比2月多136%。反过来,乌克兰在黑客攻击中充当受害者的场景比战争前的那个季度少67%。这些数字很可能是由于黑客组织Anonymous在冲突开始时宣布它将特意针对俄罗斯的事实。 sandr Valentij说。”泄...
对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用”Tarrask”恶意软件来瞄准并不断削弱Windows操作系统的防御能力。 微软检测和响应小组(DART)在一篇博文中解释说,Hafni...
早在 5 月,微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds 网络攻击事件负责,并同企业、政府和执法机构达成了合作,以遏制此类网络攻击的负面影响。早些时候,微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送方法。可知其用于造成破坏,并获...
微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一个恶意活动群体,跟踪为DEV-0343,它的目标是美国和以色列国防技术公司的Office 365租户。 攻击者针对目标组织发起了大规模的密码喷洒攻击,这一恶意活动于2021年7月首次被发现。 “DEV-0343是微软威胁情...