研究人员发现黑客正在利用Follina漏洞部署Rozena后门

VSole2022-07-10 13:50:09

一个新观察到的网络钓鱼活动正在利最近披露的 Follina 安全漏洞在 Windows 系统上分发以前从未记录的后门。

“Rozena 是一种恶意的后门软件,攻击者能够将shell远程注入到受害者的设备,”Fortinet FortiGuard 实验室研究员 Cara Lin在本周的一份报告中说道。

现已修复的漏洞编号为CVE-2022-30190的Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞,自2022年5月下旬曝光以来,在最近几周受到了广泛的利用。

Fortinet 观察到的最新攻击链,起源于一个武器化的Office 文档,当你打开该文档时,它会连接到Discord CDN URL以检索 HTML 文件(“ index.htm ”),然后使用PowerShell 命令从同一CDN 附件空间下载下一个攻击阶段的有效负载。

这包括Rozena植入程序(“Word.exe”)和一个批处理文件(“cd.bat”),旨在终止MSDT进程,然后通过修改 Windows 注册表建立持久化的后门,并下载一个无害的 Word 文档作为掩饰。

恶意软件的核心功能是向攻击者的主机(“microsofto.duckdns[.]org”)注入启动后的反向shell的shellcode,最终允许攻击者对受感染系统进行控制、监视和捕获所需信息,同时还维持一个受感染系统的后门。

利用Follina漏洞,然后定制恶意Word 文档,依赖Microsoft Excel、Windows 快捷方式 (LNK) 和 ISO 图像文件作为释放器将Emotet、QBot、IcedID和Bumblebee等恶意软件通过社会工程攻击部署到受害者的设备。

据称,dropper 是通过电子邮件分发,这些电子邮件直接包含 dropper 或受密码保护的 ZIP 作为附件、打开时提取 dropper 的 HTML 文件或电子邮件正文中下载 dropper 的链接。

在4月初发现的攻击,主要是带有XLM 宏的 Excel 文件,但是微软在大约同一时间对进行更新并默认阻止宏,迫使攻击者采用HTML 走私以及 .LNK 和 .ISO 文件等替代方法。

上个月,Cyble 披露了一种名为Quantum的恶意软件工具的详细信息,该工具在暗网上出售,以便为网络犯罪分子提供构建恶意 .LNK 和 .ISO 文件的能力。

值得注意的是,无论是通过电子邮件网络钓鱼还是其他方式,对于希望在Windows 系统上投放勒索软件和其他恶意软件的攻击者来说,宏一直是一种久经考验的攻击载荷。

此后,微软暂时暂停了在从互联网下载的文件中禁用 Office 宏的计划,该公司告诉黑客新闻,它正在花时间进行“额外的更改以增强可用性”。

软件黑客
本作品采用《CC 协议》,转载必须注明作者和本文链接
到目前为止,已经确定了六个不同的恶意软件变种。使用 AuKill 的威胁分子在攻击期间充分利用了现有的特权,他们通过其他手段获得了这些特权。2022 年 11 月,Sophos 也详细披露了 LockBit 加盟组织使用一种名为 Backstab 的开源工具,该工具滥用这个驱动程序的过时版本来终止受保护的反恶意软件进程。
暴露在互联网上的未修补的 Citrix NetScaler 系统正被未知威胁行为者作为目标,这被怀疑是勒索软件攻击。
近日,VMware (VMW.N) ESXi 服务器的全球勒索软件黑客攻击已将数千台计算机服务器作为目标。
近三个月前,WannaCry勒索软件关闭了世界各地的医院、电信提供商和许多企业,感染了150多个国家的数十万台计算机,对文件进行加密,然后向受害者收取300至600美元的密钥费用。根据追踪WannaCry赎金支付的Twitter机器人,只有338名受害者支付了300美元的比特币,总计14万美元。虽然大多数受影响的组织现已恢复正常,但世界各地的执法机构仍在追捕中。
澳大利亚内政部长 Clare O’Neil 表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击,攻击者窃取了近千万用户赎金,并按照每位用户数据一美元的价格勒索千万美元。
邮政警察正在调查有关意大利税务机构 l'Agenzia delle Entrate 成为网络攻击的受害者的报道,其中大约78千兆数据被盗。勒索软件黑客盯上意大利税务机关 意大利安莎社报道,据报道,这次攻击是由国际勒索软件黑客组织 LockBit 发起的。IT 安全公司 Swascan 表示,LockBit 在暗网上宣布,它已给内陆税收机构五天的时间支付赎金或查看被盗文件的公布。
2021年7月28日,国际网络安全媒体ThreatPost发布报告称,新出现的勒索软件黑客组织“Haron”和“BlackMatter”疑似与黑客组织“Avaddon”、“DarkSide”和“REvil”存在联系。
莫斯科最近开通了第一个缆车服务,在运行的几天后,缆车系统被黑客入侵,系统的主计算机感染了勒索软件黑客发送消息要求用比特币支付赎金,以解密缆车运营所需的所有电子文件,赎金的数额取决于对支付的反应速度。目前该缆车服务已关闭。
医疗行业网络安全建设长期面临挑战
VSole
网络安全专家