日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
北約峰會(huì)遭遇RomCom黑客組織攻擊

昨天(7月11日),微軟正式披露了一個(gè)未修補(bǔ)的零日安全漏洞,該漏洞存在于多個(gè)Windows和Office產(chǎn)品中,可以通過(guò)惡意Office文檔遠(yuǎn)程執(zhí)行代碼。

未經(jīng)身份驗(yàn)證的攻擊者可在無(wú)用戶交互的情況下利用該漏洞(跟蹤為CVE-2023-36884)進(jìn)行高復(fù)雜性攻擊。

一旦攻擊成功,即可導(dǎo)致對(duì)方系統(tǒng)的機(jī)密性、可用性和完整性的完全喪失,從而允許攻擊者訪問敏感信息、關(guān)閉系統(tǒng)保護(hù)并拒絕對(duì)受損系統(tǒng)的訪問。

目前,微軟正在調(diào)查并制作一系列影響Windows和Office產(chǎn)品的遠(yuǎn)程代碼執(zhí)行漏洞的報(bào)告。微軟已經(jīng)意識(shí)到了這是一系列有針對(duì)性的攻擊,這些攻擊試圖利用特制的微軟Office文檔來(lái)利用這些漏洞。

攻擊者可以創(chuàng)建一個(gè)特制的Microsoft Office文檔,使他們能夠在受害者的系統(tǒng)中執(zhí)行遠(yuǎn)程代碼執(zhí)行。但前提是攻擊者必須說(shuō)服受害者打開惡意文件。

雖然該漏洞尚未得到解決,但微軟表示后續(xù)將通過(guò)每月發(fā)布的程序或帶外安全更新向客戶提供補(bǔ)丁。

北約峰會(huì)與會(huì)者遭遇黑客攻擊

微軟方面表示,有黑客組織近期利用CVE-2023-36884漏洞攻擊了北約峰會(huì)的與會(huì)者。

根據(jù)烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組和黑莓情報(bào)團(tuán)隊(duì)的研究人員發(fā)布的報(bào)告,攻擊者通過(guò)惡意文件冒充自己是烏克蘭世界大會(huì)組織,以讓他人誤安裝此惡意軟件,其中包括MagicSpell加載程序和RomCom后門。

1689131914_64ae1b8a47ab1f0a2525c.png!small

黑莓安全研究人員表示:攻擊者可利用該漏洞制作惡意的docx或rtf文件,從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)攻擊。

這種攻擊是通過(guò)利用特制的文檔來(lái)執(zhí)行易受攻擊的MSDT版本來(lái)實(shí)現(xiàn)的,同時(shí)也允許攻擊者向?qū)嵱贸绦騻鬟f命令執(zhí)行。

微軟周二(7月11日)時(shí)也表示:該攻擊者在2023年6月發(fā)現(xiàn)的最新攻擊涉及濫用CVE-2023-36884,提供與RomCom相似的后門。

可通過(guò)啟用“阻止所有Office應(yīng)用程序創(chuàng)建子進(jìn)程”免于攻擊

微軟方面表示,在CVE-2023-36884補(bǔ)丁可用之前,使用Defender for Office的客戶和啟用了“阻止所有Office應(yīng)用程序創(chuàng)建子進(jìn)程”攻擊面減少規(guī)則的客戶可以免受網(wǎng)絡(luò)釣魚攻擊。

不使用這些保護(hù)的用戶可以將以下應(yīng)用程序名稱添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注冊(cè)表項(xiàng)中,作為REG_DWORD類型的值,數(shù)據(jù)為1:

  • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

但是,需要注意的是,設(shè)置此注冊(cè)表項(xiàng)以阻止利用嘗試也可能影響到與上面列出的應(yīng)用程序鏈接的某些Microsoft Office功能。

1689130882_64ae17825dd7e4dca41de.png!small?1689130882437

設(shè)置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注冊(cè)表項(xiàng)(圖源:Microsoft)

該漏洞與RomCom組織有所淵源

RomCom是一個(gè)總部位于俄羅斯的網(wǎng)絡(luò)犯罪組織(也被追蹤為Storm-0978),該組織以從事勒索軟件和勒索攻擊以及專注于竊取憑證的活動(dòng)而聞名。該組織與此前的工業(yè)間諜勒索軟件行動(dòng)有關(guān),現(xiàn)在該行動(dòng)已轉(zhuǎn)向名為“地下”(VirusTotal)的勒索軟件。

1689131783_64ae1b07e72c7044a6c8a.png!small?1689131783911

地下勒索信(圖源:BleepingComputer)

2022年5月,在調(diào)查工業(yè)間諜勒索通知中的TOX ID和電子郵件地址時(shí),MalwareHunterTeam發(fā)現(xiàn)了與古巴勒索軟件操作的特殊關(guān)聯(lián)。

他觀察到,工業(yè)間諜勒索軟件樣本生成了一封勒索信,其TOX ID和電子郵件地址與古巴使用的相同,以及古巴數(shù)據(jù)泄露網(wǎng)站的鏈接。

然而,提供的鏈接并沒有將用戶引導(dǎo)到工業(yè)間諜數(shù)據(jù)泄露網(wǎng)站,而是指向古巴勒索軟件的Tor網(wǎng)站。此外,勒索信使用了相同的文件名,!!READ ME !!.txt,就像之前發(fā)現(xiàn)的古巴勒索郵件一樣。

在2023年5月,在Trend Micro發(fā)布的一份關(guān)于RomCom的最新活動(dòng)報(bào)告顯示,威脅參與者現(xiàn)在正在冒充Gimp和ChatGPT等合法軟件,或者創(chuàng)建虛假的軟件開發(fā)人員網(wǎng)站,通過(guò)谷歌廣告和黑色搜索引擎優(yōu)化技術(shù)向受害者推送后門。


本文標(biāo)題:北約峰會(huì)遭遇RomCom黑客組織攻擊
轉(zhuǎn)載來(lái)于:http://www.5511xx.com/article/dhdjjse.html