俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标

admin 2024年11月15日10:54:28评论27 views字数 3616阅读12分3秒阅读模式

导 

网络安全公司 ClearSky 警告称,Windows 中一个新修补的0day漏洞可通过用户最少的交互(例如删除文件或右键单击文件)被利用。

俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标

0day漏洞编号为 CVE-2024-43451,是一个中等严重程度的漏洞,会影响 MSHTM 引擎,该引擎继续由 Internet Explorer 模式下的 Edge 和其他应用程序通过 WebBrowser 控件使用,从而使它们暴露于困扰该组件的任何安全缺陷。

成功利用 CVE-2024-43451 允许威胁组织窃取受害者的 NTLMv2 哈希,然后通过执行传递哈希攻击使用它来作为目标用户进行身份验证。

微软在 11 月 12 日的安全公告(https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43451)中指出:“用户与恶意文件进行最小程度的交互,例如选择(单击)、检查(右键单击)或执行除打开或执行之外的操作,都可能触发此漏洞。”

ClearSky 发现了该漏洞并于 2024 年 6 月向微软报告,据该公司称,一些看似无害的操作可能会触发隐藏在 URL 文件中的漏洞,包括删除文件和将文件拖放到另一个文件夹。

ClearSky 观察到 CVE-2024-43451 被疑似俄罗斯黑客在针对乌克兰实体的攻击中利用。

受害者会收到来自受感染的乌克兰政府服务器的钓鱼电子邮件,提示他们更新学历证书。这些电子邮件将受害者引导至从政府官方网站下载的恶意 ZIP 文件。

俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标

该档案包含两个文件——一个 PDF 文档和一个 URL 文件——针对两个已知漏洞,即 CVE-2023-320462 和 CVE-2023-360251。该 URL 指向外部服务器以获取两个可执行文件,也旨在利用新披露的0day漏洞。

俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标

ClearSky 在一份技术报告中解释道:“当用户通过右键单击、删除或移动 URL 文件与它交互时,漏洞就会被触发。此操作会与攻击者的服务器建立连接并下载更多恶意文件,包括 SparkRAT 恶意软件。”

俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标

攻击链

该网络安全公司表示,在 Windows 10 和 Windows 11 上,URL 文件在执行任何这些操作时都会立即与外部服务器建立通信。在 Windows 7、8 和 8.1 上,该漏洞仅在多次尝试后才会触发。

ClearSky 表示,这表明“新发现的漏洞在 Windows 10/11 操作系统上更容易被利用”。

乌克兰计算机应急响应小组 (CERT-UA) 称,CVE-2024-43451 已被追踪为 UAC-0194 的威胁组织利用为0day漏洞,该威胁组织疑似来自俄罗斯。据 ClearSky 称,攻击者使用了与其他团体常见的工具包和技术。

技术报告:https://www.clearskysec.com/wp-content/uploads/2024/11/Zero-day-cve-2024-4351-report.pdf

新闻链接:

https://www.securityweek.com/windows-zero-day-exploited-by-russia-triggered-with-file-drag-and-drop-delete-actions/

俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标

今日安全资讯速递

APT事件

Advanced Persistent Threat

新型 RustyAttr 恶意软件通过滥用扩展属性攻击 macOS

https://thehackernews.com/2024/11/new-rustyattr-malware-targets-macos.html

WhatsApp 的诉讼文件中详细记录了 1,400 起 Pegasus 间谍软件感染事件

https://therecord.media/pegasus-spyware-infections-detailed-whatsapp-lawsuit

假冒朝鲜 IT 工作者涉嫌 BeaverTail 视频会议应用钓鱼攻击

https://unit42.paloaltonetworks.com/fake-north-korean-it-worker-activity-cluster/

匈牙利确认国防采购机构遭黑客攻击

https://therecord.media/hungary-defense-procurement-agency-hacked

伊朗黑客以“梦想职业”行动瞄准航空航天业

https://www.securityweek.com/iranian-hackers-target-aerospace-industry-in-dream-job-campaign/

俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞

https://www.securityweek.com/windows-zero-day-exploited-by-russia-triggered-with-file-drag-and-drop-delete-actions/

一般威胁事件

General Threat Incidents

安全专家发现大规模“活靶子”攻击计划中存在 70,000 个被劫持域名

https://thehackernews.com/2024/11/experts-uncover-70000-hijacked-domains.html

Dr.Web发现Google Play 8 款应用含有 Android/FakeApp 木马病毒

https://hackread.com/google-play-store-apps-android-fakeapp-trojan/

谷歌警告称,伪装诈骗、人工智能欺诈和加密骗局日益猖獗

https://thehackernews.com/2024/11/google-warns-of-rising-cloaking-scams.html

新型 Glove 信息窃取恶意软件可绕过 Chrome 的 Cookie 加密

https://www.bleepingcomputer.com/news/security/new-glove-infostealer-malware-bypasses-google-chromes-cookie-encryption/

网络犯罪分子利用 Strela Stealer 恶意软件瞄准西班牙、德国和乌克兰的受害者

https://therecord.media/cybercriminals-taget-spain-germany-ukraine-strela-stealer-malware

云勒索软件利用新脚本攻击 Web 应用程序

https://www.darkreading.com/cloud-security/cloud-ransomware-scripts-web-applications

新的勒索软件变种瞄准关键 Veeam CVE

https://www.cybersecuritydive.com/news/veeam-cve-exploit-frag-ransomware/732670/

诈骗网络利用 4,700 个虚假购物网站窃取信用卡信息

https://www.bleepingcomputer.com/news/security/fraud-network-uses-4-700-fake-shopping-sites-to-steal-credit-cards/

漏洞事件

Vulnerability Incidents

低代码,高风险:通过错误配置的 Microsoft Power Pages 暴露数百万条记录

https://www.securityweek.com/low-code-high-risk-millions-of-records-exposed-via-misconfigured-microsoft-power-pages/

旧版 D-Link NAS 设备中未修补的漏洞在披露几天后被利用

https://www.securityweek.com/unpatched-flaw-in-legacy-d-link-nas-devices-exploited-days-after-disclosure/

Zoom 解决了其平台上的两个高严重性漏洞

https://securityaffairs.com/170861/security/zoom-fixed-two-high-severity-flaws.html

CISA 警告称,更多 Palo Alto Networks 漏洞将被利用于攻击

https://www.bleepingcomputer.com/news/security/cisa-warns-of-more-palo-alto-networks-bugs-exploited-in-attacks/

俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月15日10:54:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day漏洞攻击乌克兰目标https://cn-sec.com/archives/3396954.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息