攻击者利用Word 文档漏洞对组织发起攻击
2023-12-1 11:33:0 Author: www.4hou.com(查看原文) 阅读量:21 收藏

~阳光~ 新闻 刚刚发布

1045

收藏

导语:俄罗斯实体成为了攻击者利用Microsoft Word零日漏洞进行攻击的目标。

最近发现了一个漏洞,黑客能够在微软所有版本的专有 MSHTML 浏览器引擎中执行远程代码,而无需安装任何应用程序。微软 Word 中存在一个零日漏洞,攻击者正在利用该漏洞制作特制的文档。

微软的 Skype、Visual Studio 和 Microsoft Outlook 等产品以及其他一些产品也会使用 MSHTML,由于微软的很多产品中也在使用 MSHTML,因此这个漏洞非常普遍。黑客通过制作恶意的Word 文档,利用 Windows 工具中的零日漏洞,从而能够入侵微软为管理员提供的受保护的网络。

谷歌旗下的反病毒服务VirusTotal于5月25日在其网站上检测到了一个来自白俄罗斯IP地址的恶意Word文档,该文档是在周末上传的。 安全研究员分析后发现,尽管该word文档宏已经被禁用,但该恶意文档(或称 "malloc")仍能通过合法的微软支持诊断工具(msdt.exe)来生成代码。

MSDT可通过Windows中的 ms-msdt URL 协议从恶意的Word 文档访问,从而执行恶意软件。现在有一个 "故障排除程序包" 可从 MSDT 网站下载。 朝鲜攻击者利用恶意的微软Word文档,试图利用安全软件的漏洞从俄罗斯目标窃取敏感信息。

一位名叫 Cara Lin 的研究人员就一个名为 Konni 的组织(虽然它与 Kimsuky aka APT43 有很多相似之处,但也有可能是这个组织)如何试图以附件形式发送恶意的俄语微软文档发表了以下看法。该恶意软件使用了微软的宏代码功能,是典型的以文件形式下载的恶意软件。

根据攻击者分发的文件,其中有一篇俄文文章,描述了西方对特别军事行动进展的评估。文章指出,《黑客新闻》评论说,Konni 是一款非常值得注意的应用程序,因为它设计的目的是对俄罗斯进行攻击的。

大多数情况下,该组织会使用鱼叉式网络钓鱼电子邮件和恶意文档,试图通过鱼叉式网络钓鱼获取目标端点的访问权限。据报道,网络安全研究人员 Knowsec 和 ThreatMon 发现了早些时候攻击者利用 WinRAR(CVE-2023-38831)漏洞进行的攻击。

据 ThreatMon 报道,Konni的主要目标是在全球范围内窃取数据和开展间谍活动。在此过程中,该组织使用了各种恶意软件和工具来实现其目标,并经常调整策略以避免被当局发现。朝鲜黑客对俄罗斯公司的破坏并不是我们第一次看到类似的攻击。

本文翻译自:https://www.cysecurity.news/2023/11/word-document-scam-alert-windows-users.html如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/GXqQ
如有侵权请联系:admin#unsafe.sh