攻击者利用Word 文档漏洞对组织发起攻击
2023-12-1 12:3:41 Author: 嘶吼专业版(查看原文) 阅读量:11 收藏

最近发现了一个漏洞,黑客能够在微软所有版本的专有 MSHTML 浏览器引擎中执行远程代码,而无需安装任何应用程序。微软 Word 中存在一个零日漏洞,攻击者正在利用该漏洞制作特制的文档。

微软的 Skype、Visual Studio 和 Microsoft Outlook 等产品以及其他一些产品也会使用 MSHTML,由于微软的很多产品中也在使用 MSHTML,因此这个漏洞非常普遍。黑客通过制作恶意的Word 文档,利用 Windows 工具中的零日漏洞,从而能够入侵微软为管理员提供的受保护的网络。

谷歌旗下的反病毒服务VirusTotal于5月25日在其网站上检测到了一个来自白俄罗斯IP地址的恶意Word文档,该文档是在周末上传的。安全研究员分析后发现,尽管该word文档宏已经被禁用,但该恶意文档(或称 "malloc")仍能通过合法的微软支持诊断工具(msdt.exe)来生成代码。

MSDT可通过Windows中的 ms-msdt URL 协议从恶意的Word 文档访问,从而执行恶意软件。现在有一个 "故障排除程序包" 可从 MSDT 网站下载。朝鲜攻击者利用恶意的微软Word文档,试图利用安全软件的漏洞从俄罗斯目标窃取敏感信息。

一位名叫 Cara Lin 的研究人员就一个名为 Konni 的组织(虽然它与 Kimsuky aka APT43 有很多相似之处,但也有可能是这个组织)如何试图以附件形式发送恶意的俄语微软文档发表了以下看法。该恶意软件使用了微软的宏代码功能,是典型的以文件形式下载的恶意软件。

根据攻击者分发的文件,其中有一篇俄文文章,描述了西方对特别军事行动进展的评估。文章指出,《黑客新闻》评论说,Konni 是一款非常值得注意的应用程序,因为它设计的目的是对俄罗斯进行攻击的。

大多数情况下,该组织会使用鱼叉式网络钓鱼电子邮件和恶意文档,试图通过鱼叉式网络钓鱼获取目标端点的访问权限。据报道,网络安全研究人员 Knowsec 和 ThreatMon 发现了早些时候攻击者利用 WinRAR(CVE-2023-38831)漏洞进行的攻击。

据 ThreatMon 报道,Konni的主要目标是在全球范围内窃取数据和开展间谍活动。在此过程中,该组织使用了各种恶意软件和工具来实现其目标,并经常调整策略以避免被当局发现。朝鲜黑客对俄罗斯公司的破坏并不是我们第一次看到类似的攻击。

参考及来源:https://www.cysecurity.news/2023/11/word-document-scam-alert-windows-users.html


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247571657&idx=1&sn=5a3a3ad629bdb4c300298dbdcabbf70c&chksm=e91408f3de6381e5d753bbfaebb8470c90d3e106a7e0804f78a7a27e828a54c68ca9f0735790&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh