En enkelt aktør er scanning af Windows-systemer sårbare over for fejl BlueKeep
En trussel skuespiller skjult bag Tor-noder er scanning til Windows-systemer sårbare over for BlueKeep fejl.
Læs mere: https://zd.net/2JWjK73
Microsoft er opmærksom på en cyberkriminalitet kampagne, der bygger på Office-funktioner til at gå på kompromis Windows-systemer.
Office-programmer forbliver en favorit værktøj for cyberkriminelle at udnytte til at kompromittere Windows-Pc ‘ er i massevis.
Tidligere i denne måned Microsoft advaret om, at angriberne blev skudt spam, der udnyttede et Kontor fejl til at installere en trojansk hest. Fejlen betød, at angriberne ikke kræver, at Windows-brugere til at aktivere makroer.
Men en ny malware-kampagne, der ikke kan udnytte en bestemt svaghed i Microsoft-software finder den modsatte tilgang, ved hjælp af skadelig makro funktioner i en Excel-fil til kompromis fuldt patchet Windows-Pc ‘ er.
Ifølge Microsoft Security Intelligence team, kampagnen “anvender en kompleks infektion kæde for at downloade og køre den berygtede FlawedAmmyy [remote-access trojan] ROTTE direkte i hukommelse.”
FlawedAmmyy er kendt for at have været brugt til at målrette virksomheder i finans-og detailhandel, ifølge vagtselskab Proofpoint, som opfordrer gruppen bag det TA505. Gruppen ofte anvender Microsoft vedhæftede filer og social engineering til at gå på kompromis ofrenes systemer.
De angreb starter med en e-mail .xls-eller Excel vedhæftet fil, som Microsoft advarer modtagere ikke til at åbne.
“Når den åbnes,.xls-fil automatisk kører en makro-funktion, der løber msiexec.exe, som igen henter en MSI arkiv. MSI arkiv indeholder en digitalt signeret eksekverbar fil, der er hentet og kører, og at dekrypterer og kører en anden eksekverbar i hukommelsen,” Microsoft bemærker i en tråd om truslen.
Den teknik, der kører i hukommelsen ikke bidrage til at undgå malware afsløring af antivirus, der scanner kun filer på disken.
Skadelig eksekverbar så downloads og dekrypterer en fil kaldet wsus.exe det er designet til at være gået ud som den officielle Microsoft Windows Service Update Service (WSUS). Den eksekverbare fil er digitalt underskrevet den 19 juni og dekrypterer nyttelast i RAM-hukommelsen, der skal levere den FlawedAmmyy nyttelast.
Denne særlige angreb vises med henblik på koreansk-talende Windows-brugere på grund af den vedhæftede fil herunder Korean-sproglige tegn.
Microsoft har været at investere i Windows Defender-infrastruktur for at forbedre sin egen indbyggede antivirus sammenlignet med det økosystem af leverandører bygget op omkring beskyttelse af Windows-systemer fra malware.
Windows-maker argumenterer, at “Microsoft Trussel Beskyttelse beskytter kunder fra dette angreb.”
Derudover, Defender, at ATP ‘ s machine-learning systemer “blokeret alle komponenter i dette angreb ved første øjekast, herunder FlawedAmmyy ROTTE nyttelast”, mens virksomheden brugere af Office 365 ATP kan være forvisset om, at Microsoft ‘ s Office 365 sikkerhed værktøjer gør opdage spam.
Som bemærket af BleepingComputer, TrendMicro i sidste uge detaljeret TA505 aktiviteter rettet mod Windows-brugere i Chile, Mexico, Kina, Sydkorea og Taiwan. De angreb, der primært fandt sted ved hjælp af ondsindede makroer til Microsoft Office-programmer, og det resulterede i, at ofrene, der kører FlawedAmmyy malware.
Anomalisøgning hjalp os med at afdække en ny kampagne, der anvender en kompleks infektion kæde for at downloade og køre den berygtede FlawedAmmyy ROTTE direkte i hukommelse. De angreb starter med en e-mail .xls vedhæftet fil med indholdet i den koreanske sprog. pic.twitter.com/PQ2g7rvDQm
— Microsoft Security Intelligence (@MsftSecIntel) 21 Juni 2019
Mere om Microsoft og Windows sikkerhed
Microsoft advarer om e-mail-spam kampagne misbruger Kontor sårbarhedDell advarsel: Patch vores Windows-10 Pc ‘ er nu at stoppe angribere at overtage kontrollenHomeland Security: Vi har testet Windows BlueKeep angreb, og det virker så patch nuEn enkelt aktør er scanning af Windows-systemer sårbare over for BlueKeep fejlIntens scanning aktivitet, der registreres for BlueKeep RDP fejlMicrosoft emner anden advarsel om lappe BlueKeep som PoC-kode gælder den offentligeSelv NSA, er at opfordre til Windows-brugere til at lappe BlueKeep (CVE-2019-0708)Næsten en million Windows-systemer sårbare over for BlueKeep (CVE-2019-0708)Hvordan WannaCry er stadig at lancere 3,500 vellykket angreb per time TechRepublic
Relaterede Emner:
CXO
Sikkerhed-TV
Data Management
Datacentre