Een enkele acteur is het scannen van Windows systemen kwetsbaar zijn voor de BlueKeep fout
Een bedreiging acteur verborgen achter Tor-nodes is het scannen voor Windows-systemen kwetsbaar voor BlueKeep fout.
Lees meer: https://zd.net/2JWjK73
Microsoft is aandacht te vestigen op een cybercrime-campagne die is gebaseerd op Office-functies te compromis Windows systemen.
Office toepassingen blijft een favoriete tool van cybercriminelen te exploiteren aanvaller, een Windows-Pc ‘ s en masse.
Eerder deze maand heeft Microsoft gewaarschuwd dat aanvallers hadden het afvuren van spam waarbij misbruik wordt gemaakt van een Office-fout voor het installeren van een trojan. De bug betekende dat de aanvallers niet vereist voor gebruikers van Windows inschakelen van macro ‘ s.
Echter, een nieuwe malware-campagne die geen gebruik maken van een specifieke kwetsbaarheid in Microsoft software neemt de tegenovergestelde benadering, het gebruik van schadelijke macro functies in een Excel-bijlage aanvaller, een volledig gepatchte Windows-Pc ‘ s.
Volgens Microsoft Security Intelligence team, de campagne “maakt gebruik van een complex infectie keten downloaden en uitvoeren van de beruchte FlawedAmmyy [remote access trojan] RAT direct in het geheugen.”
FlawedAmmyy is bekend om zijn gebruikt voor het doel bedrijven in finance en retail, volgens beveiligingsbedrijf Proofpoint, die roept de groep achter het TA505. De groep maakt vaak gebruik van Microsoft bijlagen en social engineering om compromissen te sluiten slachtoffers’ – systemen.
De aanval begint met een e-mail .xls-of Excel-bijlage, die Microsoft waarschuwt ontvangers niet te openen.
“Wanneer het wordt geopend, de .xls-bestand automatisch een macro functie die wordt uitgevoerd msiexec.exe, die op zijn beurt downloadt u een MSI-archief. De MSI archief bevat een digitaal ondertekend bestand is uitgepakt en uitvoeren, en dat decodeert en loopt nog een uitvoerbaar bestand in het geheugen,” Microsoft notities in een draad over de bedreiging.
De techniek van het draaien in het geheugen helpt malware detectie vermijden van antivirus scant alleen bestanden op de schijf.
De kwaadaardige uitvoerbare vervolgens downloaden en decoderen van een bestand met de naam wsus.exe dat is ontworpen om te worden goedgekeurd als officiële Service van Microsoft Windows Update Service (WSUS). Het uitvoerbare bestand is digitaal ondertekend op 19 juni en ontcijfert de lading in RAM, het leveren van de FlawedAmmyy lading.
Deze specifieke aanval lijkt gericht op het koreaans sprekende Windows-gebruikers als gevolg van de beslaglegging, waaronder de koreaanse taal van tekens.
Microsoft is investeren in de Windows Defender-infrastructuur te verbeteren zijn eigen ingebouwde antivirus vergeleken met het ecosysteem van leveranciers opgebouwd rond de bescherming van Windows-systemen van malware.
De Windows-maker stelt dat “Microsoft Threat Protection verdedigt de klanten van deze aanval.”
Bovendien Defender ATP-machine-learning systemen “geblokkeerd van alle onderdelen van deze aanval op het eerste gezicht, met inbegrip van de FlawedAmmyy RAT payload”, terwijl enterprise gebruikers van Office 365 ATP kunt erop vertrouwen dat Office 365 van Microsoft security tools doen het detecteren van de spam.
Zoals opgemerkt door BleepingComputer, TrendMicro vorige week gedetailleerde TA505 activiteiten gericht op Windows-gebruikers in Chili, Mexico, China, Zuid-Korea, en Taiwan. De aanvallen voornamelijk plaats met behulp van schadelijke macro ‘ s voor Microsoft Office-toepassingen en heeft geresulteerd in het uitvoeren van de slachtoffers FlawedAmmyy malware.
Anomaly detectie ons geholpen ontdek een nieuwe campagne maakt gebruik van een complex infectie keten downloaden en uitvoeren van de beruchte FlawedAmmyy RAT direct in het geheugen. De aanval begint met een e-mail .xls bijlage met inhoud in de koreaanse taal. pic.twitter.com/PQ2g7rvDQm
— Microsoft Security Intelligence (@MsftSecIntel) 21 Juni 2019
Meer over Microsoft en Windows security
Microsoft waarschuwt voor ongewenste e-mail campagne misbruik maken van Office kwetsbaarheidDell waarschuwing: Patch onze Windows-10 Stuks nu te stoppen aanvallers het nemen van controleHomeland Security: We hebben getest Windows BlueKeep aanval, en het werkt zo patch nuEen enkele actor is het scannen van Windows systemen kwetsbaar zijn voor de BlueKeep foutIntense activiteit van het scannen zijn gedetecteerd voor BlueKeep RDP foutvan Microsoft kwesties tweede waarschuwing over het patchen van BlueKeep als PoC-code gaat het openbaar, Zelfs de NSA dringt Windows-gebruikers om de patch BlueKeep (CVE-2019-0708)Bijna één miljoen Windows-systemen kwetsbaar voor BlueKeep (CVE-2019-0708)Hoe WannaCry is nog steeds de lancering van 3.500 geslaagde aanvallen per uur TechRepublic
Verwante Onderwerpen:
CXO
Beveiliging TV
Data Management
Datacenters