俄罗斯疑似利用NTLM新缝隙对乌克兰发起网络攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

俄罗斯疑似利用NTLM新缝隙对乌克兰发起网络攻击

颁布功夫 2024-11-15

1. 俄罗斯疑似利用NTLM新缝隙对乌克兰发起网络攻击

11月14日，近日一个名为CVE-2024-43451的新安全缝隙影响了Windows NT LAN治理器（NTLM），该缝隙被疑似与俄罗斯有关的行为者利用为零日缝隙，对乌克兰发起网络攻击。此缝隙被定名为NTLM哈希泄露糊弄缝隙，CVSS评分为6.5，可被用来窃取用户的NTLMv2哈希。微软已实时建补了该缝隙，并指出用户与恶意文件进行最幼交互都可能触发缝隙。以色列网络安全公司ClearSky发现，该缝隙已被用于传布开源Spark RAT恶意软件的攻击链中，恶意文件托管在乌克兰当局官方网站上。攻击链涉及发送网络垂钓电子邮件，提醒收件人点击陷阱URL下载蕴含恶意.URL文件的ZIP存档。当受害者与URL文件交互时，就会触发缝隙，导致下载其他有效负载，蕴含Spark RAT。乌克兰推算机应急反映幼组(CERT-UA)将此活动与可能的俄罗斯威胁行为者UAC-0194联系起来，并忠告称，企业与远程银行系统合作的管帐处于高风险区，资金可能在短功夫内被盗。

https://thehackernews.com/2024/11/russian-hackers-exploit-new-ntlm-flaw.html

2. 哈马斯关联网络组织WIRTE针对以色列执行粉碎性攻击

11月13日，据The Hack News报路，与哈马斯有关联的网络攻击者近期专门针对以色列实体进行粉碎性攻击。Check Point的分析指出，这些攻击与一个名为WIRTE的组织有关，该组织自2018年8月以来一向活跃于中东地域，针对宽泛实体发起攻击。WIRTE利用中东的地缘政治严重大势和战乱，造作恶意RAR文档部署Havoc后期开发框架，或利用类似的RAR文档部署IronWind下载器。这些习染序列通过传布带有糊弄性的PDF文档，使用合法的可执行文件侧载带有恶意软件的DLL。在2024年10月针对以色列医院和市政当局等多个组织的网络垂钓活动中，甚至出现了假意网络安全公司ESET在以色列合作商发出的垂钓电子邮件，其中蕴含了新版本的SameCoin Wiper，该版本除了覆盖文件表，还会批改受害者系统布景显示哈马斯军事分支Al-Qassam Brigades的图像。据称，该攻击组织的Windows加载法状貌本功夫戳被更改为哈马斯对以色列发起忽然攻势的日期，而初始接见媒介则是假意以色列国度网络局的电子邮件。

https://thehackernews.com/2024/11/hamas-affiliated-wirte-employs-samecoin.html

3. Glove Stealer恶意软件：可绕过Chrome App-Bound加密窃取Cookie

11月14日，Glove Stealer 是一款新的恶意软件，可能绕过 Google Chrome 的 App-Bound 加密，窃取浏览器 cookie。该恶意软件由 Gen Digital 安全钻研人员在调查网络垂钓活动时初次发现，他们以为它相对单一，可能处于早期开发阶段。Glove Stealer 使用社会工程战术诱骗潜在受害者装置，能够从 Firefox 和基于 Chromium 的浏览器（如 Chrome、Edge 等）中提取 cookie，以及窃取浏览器扩大法式中的加密钱币钱包、2FA 会话令牌、密码数据等敏感信息。此表，它还能从 280 个浏览器扩大和 80 多个本地利用法式中窃取数据。为了绕过 Chrome 的 App-Bound 加密，Glove Stealer 使用了一个支持�？�，利用 Chrome 的 IElevator Windows 服务来解密和检索加密密钥，但必要先获得本地治理员权限。只管这种步骤在技术上相对基础，但多个信息窃取恶意软件操作已经可能绕过新的安全职能，以窃取和解密 Google Chrome cookie。自谷歌 7 月份执行 App-Bound 加密以来，攻击次数并未削减，反而有所增长，通过各类方式对准潜在受害者。

https://www.bleepingcomputer.com/news/security/new-glove-infostealer-malware-bypasses-google-chromes-cookie-encryption/

4. 瑞士网络机构警示：假形象邮件传布恶意软件盗取敏感信息

11月15日，瑞士联国网络安全局（OFCS）13日发出忠告，称该国形象机构的“假函件”被用来传布恶意软件。这些邮件宣称提供一款新气象利用法式MeteoSwiss，但蕴含一个二维码，会沉定向到诓骗者开发的恶意利用法式。扫描二维码后，手机用户会下载名为“Coper”和“Octo2”的恶意软件，该法式试图窃取蕴含电子银行利用法式在内的383多个移动利用法式的登录具体信息。固然使用现实世界的钓饵来习染恶意软件的情况并不常见，但并非闻所未闻，微软此前也曾遭逢类似事务。OFCS没有泄漏受影响的人数，但暗示假冒利用法式仿照了真正的“Alertswiss”利用法式，仅影响安卓手机。建议装置了假冒利用法式的用户将设备复原出厂设置，并汇报给OFCS。该机构已经起头执行�；ご胧�。

https://therecord.media/malware-delivered-by-mail-swiss-cyber-agency

5. 匈牙利国防采购机构遭国际黑客组织攻击

11月15日，匈牙利国防采购机构（VBü）近日遭到名为INC Ransomware或INC Ransom的国际网络犯罪组织的攻击。该组织宣称能够接见VBü的数据，并在暗网门户网站上颁布了示例截图。匈牙利国防部回绝泄漏可能的信息泄露情况，但确认调查在进行中，并强调VBü不存储敏感的军事数据。然而，总理维克陀驻欧尔班的幕僚长将这次袭击归罪于敌对的表国非国度黑客组织，指出可能被接见的最敏感数据蕴含有关军事采购的打算和数据。据报路，黑客入侵了该机构的服务器，下载并加密了所有文件，并颁布了蕴含匈牙利军队空中和陆地能力数据的文件截图，以及标佑装非公开”的文件，并索要500万美元赎金。匈牙利官员未就是否与黑客交涉颁发评论。

https://therecord.media/hungary-defense-procurement-agency-hacked

6. Microsoft Power Pages配置谬误致700万笔纪录露出

11月14日，钻研人员发现，Microsoft Power Pages这一低代码工具存在多个配置谬误实现的问题，可能导致机密数据被无意接见。Power Pages被宽泛利用于当局、教育和个人组织等领域，但在一些装置中，配置谬误导致约700万笔纪录露出。问题源于用户对配置的理解不及，而非微软产品自身的问题。微软在潜在配置问题时会发出忠告，但无法确保用户作出反映。现代技术使得门户构建相对容易，但安全性和守护依然复杂，导致执行和守护之间不匹配，超出有关公司能力领域的初始或新出现的谬误配置�？⑼哦雍桶踩哦又涞墓铝⒐叵狄布泳缌苏庖晃侍�。AppOmni发现的问题已向受影响公司汇报并得到建复，但持续存在的谬误配置问题仍需解决。现代低代码技术使得不足专业知识的用户可能开发复杂的解决规划，因而问题可能会持续存在。AppOmni建议使用可能检测谬误配置的系统进行持续监控。

https://www.securityweek.com/low-code-high-risk-millions-of-records-exposed-via-misconfigured-microsoft-power-pages/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研