安全動態(tài)

惡意軟件 Zyklon 利用微軟 Office 三漏洞收集密碼及加密錢包數(shù)據(jù)

來源:聚銘網(wǎng)絡    發(fā)布時間:2018-01-19    瀏覽次數(shù):
 

信息來源:hackernews


外媒 1 月 17 日消息,F(xiàn)ireEye 于近期發(fā)現(xiàn)了一種新的攻擊手法——利用三個 2017 年披露的 Microsoft Office  漏洞進行惡意軟件 Zyklon 的傳播活動 。據(jù)悉,該活動主要針對電信、保險和金融服務等公司,試圖收集其密碼和加密貨幣錢包數(shù)據(jù),并為未來可能發(fā)生的 DDoS (分布式拒絕服務) 攻擊收集目標列表。

功能強大的 Zyklon 惡意軟件

Zyklon 是一款 HTTP 僵尸網(wǎng)絡惡意軟件 ,自 2016  年就開始出現(xiàn),通過 Tor  匿名網(wǎng)絡與其 C&C (命令和控制)服務器進行通信,從而允許攻擊者遠程竊取密鑰和敏感數(shù)據(jù),比如存儲在 web 瀏覽器和電子郵件客戶端的密碼。此外,根據(jù) FireEye 最近發(fā)布的報告,Zyklon 還是一個公開的全功能后門,能夠進行鍵盤記錄、密碼采集、下載和執(zhí)行額外的插件,包括秘密使用受感染的系統(tǒng)進行 DDoS 攻擊和加密貨幣挖掘。

而在此次攻擊活動中,背后的攻擊者利用  Microsoft Office 的三個漏洞通過魚叉式網(wǎng)絡釣魚電子郵件傳播 Zyklon 惡意軟件,這些郵件通常會附帶一個包含惡意 Office 文檔的 ZIP 文件。一旦用戶打開這些惡意文件就會立即運行一個 PowerShell 腳本,并從 C&C 服務器下載最終 playload。這樣一來, 用戶的計算機設備就會成功受到感染。

fireeye_malware_attack_vector

以下為惡意軟件利用的三個 Microsoft Office 漏洞:

第一個漏洞:CVE-2017-8759 是 Microsoft 去年十月修補 的 .NET 框架漏洞。打開受感染文檔的目標將允許攻擊者安裝惡意程序,處理數(shù)據(jù)并創(chuàng)建新的特權帳戶。 受感染的 DOC 文件包含嵌入的 OLE 對象,該對象在執(zhí)行時觸發(fā)從存儲的 URL 下載的另外的 DOC 文件。

第二個漏洞:CVE-2017-11882 是在 Microsoft 公式編輯器的 Office 可執(zhí)行文件中發(fā)現(xiàn)的遠程代碼執(zhí)行錯誤,微軟已于 2017 年 11 月為其發(fā)布了補丁。 該漏洞與以前的漏洞類似,打開特制 DOC 的用戶將自動下載包含最終 playload 的 PowerShell 命令的 DOC 文件。

第三個漏洞:在于動態(tài)數(shù)據(jù)交換( DDE ),但微軟不承認該漏洞的存在,而是堅稱 DDE 只是一個產(chǎn)品功能,是建立應用程序如何通過共享內(nèi)存發(fā)送消息和共享數(shù)據(jù)得協(xié)議。然而,在過去的一年中,攻擊者利用 DDE 在惡意活動取得了巨大的成功,比如在無需啟用宏或內(nèi)存損壞情況下在目標設備上執(zhí)行代碼。

FireEye 表示,目前越來越多的攻擊者利用惡意軟件來執(zhí)行不同的任務,并且很可能會超出當前攻擊目標的范圍,因此對于所有行業(yè)來說保持高度警惕性變得尤為重要。


 
 

上一篇:企業(yè)如何確保網(wǎng)站數(shù)據(jù)符合GDPR法規(guī)

下一篇:2018年01月19日 聚銘安全速遞