Un singolo attore è la scansione di Windows sistemi vulnerabili alla BlueKeep difetto
Una minaccia attore nascosto dietro nodi Tor di scansione per i sistemi Windows vulnerabile a BlueKeep difetto.
Leggi di più: https://zd.net/2JWjK73
Microsoft è attirare l’attenzione di un crimine informatico campagna che si basa sulle caratteristiche di Office per compromettere i sistemi Windows.
Le applicazioni di Office rimangono uno strumento preferito per i criminali informatici di sfruttare al compromesso Pc Windows in massa.
All’inizio di questo mese Microsoft ha avvertito che gli aggressori erano cottura spam che sfruttava un Ufficio difetto di installare un trojan. Il bug significava che gli aggressori non richiedono agli utenti di Windows di attivare le macro.
Tuttavia, una nuova campagna di malware che non sfruttano una vulnerabilità specifica di software Microsoft prende l’approccio opposto, utilizzando dannoso funzioni macro in Excel allegato al compromesso con tutte le patch di Windows Pc.
Secondo Microsoft Security Intelligence team, la campagna “si avvale di un complesso di infezione catena per scaricare ed eseguire il famigerato FlawedAmmyy [remote access trojan] RATTO direttamente in memoria.”
FlawedAmmyy è noto per essere stato usato per indirizzare le imprese in finanza e al dettaglio, secondo la società di sicurezza Proofpoint, che chiama il gruppo dietro di esso TA505. Il gruppo usa di frequente Microsoft allegati e di ingegneria sociale per compromettere vittime’ dei sistemi.
L’attacco inizia con una e-mail .xls o allegato di Excel, Microsoft avviso i destinatari a non aprire.
“Quando è aperto, il .file xls esegue automaticamente una funzione macro che viene eseguita msiexec.exe che a sua volta scarica un driver MSI archivio. Il MSI archivio contiene una firma digitale eseguibile che viene estratto e di esecuzione, e che decodifica ed esegue un altro eseguibile in memoria” di Microsoft note in un thread su questa minaccia.
La tecnica di esecuzione in memoria di malware evitare il rilevamento da antivirus che scansiona solo i file sul disco.
L’eseguibile dannoso quindi scarica e decodifica di un file chiamato wsus.exe progettato per essere passato come l’ufficiale di Servizio di Microsoft Windows Update Service (WSUS). Il file eseguibile è stato firmato il 19 giugno e decifra il carico in RAM, offrendo la FlawedAmmyy payload.
Questo particolare tipo di attacco appare finalizzata alla coreana parlando di Windows agli utenti per il fissaggio compresa la lingua coreana caratteri.
Microsoft ha investito nella sua Windows Defender infrastrutture per migliorare la sua built-in di antivirus confrontato con l’ecosistema di fornitori costruito attorno a proteggere i sistemi Windows da malware.
Windows-maker sostiene che, “Microsoft Minaccia difende i clienti da questo attacco”.
Inoltre, il Difensore ATP di macchina-sistemi di apprendimento “bloccato tutti i componenti di questo attacco a prima vista, tra cui la FlawedAmmyy RATTO payload”, mentre gli utenti enterprise di Office 365 ATP può stare certi che Microsoft Office 365 strumenti di sicurezza per rilevare lo spam.
Come notato da BleepingComputer, TrendMicro la scorsa settimana dettagliate TA505 attività di targeting per gli utenti Windows in Cile, Messico, Cina, Corea del Sud e Taiwan. Gli attacchi principalmente svolta utilizzando macro dannose per le applicazioni di Microsoft Office e ha provocato vittime in esecuzione il FlawedAmmyy malware.
Il rilevamento di anomalie ci ha aiutato a scoprire una nuova campagna, che si avvale di un complesso di infezione catena per scaricare ed eseguire il famigerato FlawedAmmyy RATTO direttamente in memoria. L’attacco inizia con una e-mail .xls allegato con contenuti in lingua coreana. pic.twitter.com/PQ2g7rvDQm
— Microsoft Security Intelligence (@MsftSecIntel) 21 Giugno 2019
Più di Microsoft e di sicurezza di Windows
Microsoft mette in guardia sull’e-mail di spam campagna di abuso di Ufficio vulnerabilitàDell attenzione: la Patch di Windows 10 Pz per fermare gli aggressori di prendere il controllo diSicurezza nazionale: Abbiamo testato Windows BlueKeep attacco e funziona così patch oraUn singolo attore è la scansione di Windows sistemi vulnerabili alla BlueKeep difettoIntensa attività di scansione rilevato per BlueKeep RDP difettodi Microsoft problemi secondo avvertimento sulle patch BlueKeep come PoC codice vaAnche la NSA sta chiedendo agli utenti di Windows di patch BlueKeep (CVE-2019-0708)Quasi un milione di sistemi Windows vulnerabile a BlueKeep (CVE-2019-0708)Come WannaCry è ancora il lancio di 3.500 attacchi di successo per ora TechRepublic
Argomenti Correlati:
CXO
Di sicurezza, TV
La Gestione Dei Dati
Centri Dati