Microsoft 365管理门户或遭滥用,可帮助勒索诈骗邮件逃避安全检测

admin 2024年11月21日10:49:07评论4 views字数 4487阅读14分57秒阅读模式
Microsoft 365管理门户或遭滥用,可帮助勒索诈骗邮件逃避安全检测

1121日,星期四 ,您好!中科汇能与您分享信息安全快讯:

Microsoft 365管理门户或遭滥用,可帮助勒索诈骗邮件逃避安全检测

01

微软11月例行Exchange更新被曝导致客户邮件传输大面积受阻

据外媒报道,微软公司因邮件传输问题暂停推送在11月例行补丁日发布的月度Exchange安全更新。这一决定源于多个系统管理员报告称,更新后邮件完全停止传输。

受影响的用户主要是使用传输规则(邮件流规则)和数据丢失防护(DLP)规则的Microsoft Exchange客户。邮件流规则用于过滤和重定向传输中的邮件,而数据丢失防护规则则确保敏感信息不会通过邮件泄露给外部组织。

据微软公司反馈,一些客户在安装更新后发现邮件流规则出现周期性停止工作的情况。目前,微软建议遇到此问题的管理员完全卸载11月的安全更新,直到重新发布修复版本。

微软在更新说明中表示:"我们正在继续调查并努力开发永久性修复方案来解决这个问题,修复版本将在准备就绪后发布。我们已暂停通过Windows/Microsoft Update推送11月的安全更新。对于不使用传输规则或DLP规则且未遇到规则相关问题的客户,可以继续使用11月的安全更新。"

02

APT组织或利用FortiClient VPN零日漏洞窃取用户凭证

威胁情报公司Volexity日前研究表示,有APT组织正在利用FortiClient VPN软件中的一个关键漏洞,作为广泛网络攻击行动的一部分,同时部署名为DEEPDATA的模块化恶意软件框架。

据介绍,这个零日漏洞于2024年7月被发现,攻击者可以从FortiClient进程的内存中提取VPN凭证。FortiClient漏洞利用主要通过名为"msenvico.dll"的插件实现,该插件可从VPN客户端的内存中的JSON对象中提取用户名、密码、远程网关和端口信息。

Volexity的分析显示,攻击者维护着一个复杂的命令与控制(C2)基础设施,使用多个服务器托管恶意软件负载和管理应用程序,证据表明他们正在持续开发其工具。Volexity于今年7月向Fortinet报告了这个FortiClient漏洞,Fortinet公司也官方确认了该问题。但截至11月Volexity的研究报告发布时,该问题仍未有效解决。

03

Phobos 勒索软件管理员作为国际黑客行动的一部分被引渡

42 岁的俄罗斯国民 Evgenii Ptitsyn 已被从韩国引渡到美国,面临与他涉嫌管理 Phobos 勒索软件操作有关的指控。

司法部对 Ptisynn 提出了 13 项罪名的起诉书,指控他监督 Phobos 勒索软件菌株的销售、分发和运作。据称,Phobos 勒索软件通过其附属公司使全球 1,000 多个公共和私人实体受害,勒索了超过 1600 万美元的赎金。

目标包括广泛的组织,例如政府机构、医疗保健机构、教育机构和关键基础设施。司法部指出,Ptitsyn 于 2020 年 11 月开始向“附属公司”提供对 Phobos 的访问权限,允许他们加密受害者的数据并要求支付赎金以换取解密密钥。

勒索软件操作充当“勒索软件即服务”(RaaS) 平台,据称 Ptitsyn 充当管理员,为勒索软件的销售、分发和对附属公司的支持提供便利。对 Ptitsyn 的指控包括电汇欺诈、共谋实施计算机欺诈、故意损坏受保护的计算机以及与黑客相关的勒索。如果被定罪,他可能面临每项电汇欺诈罪最高 20 年的监禁,每项计算机黑客罪可能面临 10 年的监禁。

普蒂岑在从韩国被引渡后,于 11 月 4 日在美国马里兰州联邦地区法院首次出庭。FBI 的巴尔的摩外地办事处在欧洲刑警组织和国防部网络犯罪中心的支持下领导了调查。

此案代表了正在进行的打击网络犯罪的重大成就,展示了国际合作在将被指控的勒索软件操作者绳之以法方面的有效性。

随着威胁行为者继续针对各个行业,世界各地的执法机构正在加紧努力破坏这些行动并追究威胁行为者的责任。

04

ClickFix攻击手法全球蔓延,虚假错误提示暗藏玄机

近期,网络安全公司Proofpoint发布分析报告指出,黑客组织正在加大对"ClickFix"社会工程学攻击的利用。这种战术在恶意软件部署方面显示出极高的效率。自2024年3月以来,多个威胁组织已发起了数次利用该战术的攻击活动。

ClickFix是一种独特的社会工程学技术,攻击者通过对话框显示虚假错误信息,诱导用户在自己的计算机上复制、粘贴并运行恶意代码。这种方式由用户自己执行感染操作,能够有效绕过安全保护机制。攻击者利用了用户倾向于自行解决问题而不是通知IT团队的心理,通过伪装成Microsoft Word和Google Chrome等常用企业软件发起攻击。

 技术分析显示,对话框可能来自被入侵的网站、文档、HTML附件或恶意URL。用户按照所谓的"修复"指令操作时,实际上会触发两种情况:要么自动将恶意脚本复制到PowerShell终端或Windows对话框中执行,要么手动打开PowerShell并粘贴提供的命令。通过这种方式,AsyncRAT、Danabot、DarkGate、Lumma Stealer和NetSupport等多种恶意软件都能成功部署。

 值得注意的是,攻击者近期频繁使用伪造的CAPTCHA验证码主题技术,通过"验证您是人类"的检查进行欺骗。这种活动大多基于一个名为"reCAPTCHA Phish"的开源工具包,该工具包自2024年9月起在GitHub上以"教育目的"提供。在一次影响全球至少300个组织的攻击中,威胁者利用GitHub通知发送恶意软件,通过伪装成GitHub安全警告的方式诱导用户执行PowerShell命令。

05

ChatGPT沙箱环境存在多个严重安全隐患,仅有20%漏洞被修复

Mozilla 0Din安全研究团队近日披露了OpenAI ChatGPT沙箱环境中的多个安全漏洞,这些漏洞允许攻击者上传并执行Python脚本,甚至能够获取语言模型的内部配置信息。目前OpenAI仅修复了上述五个漏洞中的一个。

这一发现源于Mozilla 0Din的GenAI漏洞赏金项目经理Marco Figueroa在使用ChatGPT进行Python项目开发时遇到的一个异常错误。随后的深入调查显示,ChatGPT的沙箱环境基于Debian系统搭建,其访问权限远超预期。技术细节显示,攻击者可以通过提示注入(prompt injection)在ChatGPT环境中执行Python脚本,实现文件的列举、修改和迁移。更为严重的是,研究人员还发现可以提取模型的核心指令和知识库,这种访问级别极具危险性,不仅可能导致模型配置信息泄露,还可能被用于传播恶意脚本或未经授权的数据访问。

对于这些发现,OpenAI的回应令人意外。该公司声称沙箱环境的设计本意就是提供一个受控环境,允许用户执行代码而不影响整体系统,并将大多数交互视为预期功能而非安全问题。然而,研究人员认为,当前沙箱环境所提供的访问权限已经超出了合理范围。

06

WordPress核心安全插件曝认证漏洞,或威胁超400万网站安全性

WordPress热门安全插件Really Simple Security(原Really Simple SSL)被发现存在严重的身份认证绕过漏洞,该漏洞可能使攻击者获得网站的完整管理权限。这一漏洞影响了全球超过400万个WordPress网站。

Wordfence安全研究员István Márton警告说:"这个漏洞可以被编写成脚本,意味着攻击者可以对WordPress网站发起大规模自动化攻击。"技术分析显示,此漏洞存在于9.0.0至9.1.1.1版本中,源于名为"check_login_and_get_user"函数中的用户检查错误处理不当。当启用双因素认证时,未经身份验证的攻击者可以通过简单的请求,以任意用户身份(包括管理员)登录系统。

漏洞于本月6日被负责任地披露给开发团队,并在一周后的9.1.2版本中得到修复。考虑到潜在的滥用风险,插件维护者与WordPress合作,在公开披露之前强制更新了所有运行该插件的网站。

07

Microsoft 365管理门户或遭滥用,可帮助勒索诈骗邮件逃避安全检测

网络安全专家Lawrence Abrams日前披露,近期发现不法分子正在滥用Microsoft 365管理门户的消息中心功能发送勒索欺诈邮件。这些邮件由微软官方邮箱"[email protected]"发出,因此能够绕过垃圾邮件过滤器,直接进入收件箱。

专家表示,这类勒索欺诈邮件是一种诈骗手段,诈骗者声称已经入侵受害者的电脑或移动设备,窃取了其私密照片或视频,并威胁索要500至5000美元的赎金,否则将与受害者的亲友分享这些所谓的隐私照片。虽然这种诈骗手法看似拙劣,但自2018年首次出现以来,每周仍能为诈骗者带来超过5万美元的非法收入。

技术分析显示,攻击者通过Microsoft 365管理门户的"消息中心"功能实施诈骗。该功能原本用于分享微软服务通知和新功能介绍等信息。攻击者利用其中的"分享"功能,在"个人消息"栏中插入勒索内容。虽然该字段正常限制为1000字符,但攻击者通过修改浏览器开发者工具中的textarea标签最大长度限制,成功突破了字符限制。由于Microsoft未在服务器端进行字符长度检查,完整的勒索信息得以随通知一起发送。

微软公司发言人表示:"我们十分重视安全和隐私问题。目前正在调查这些报告,并将采取行动保护用户。"但截至目前,Microsoft尚未在服务器端增加字符限制检查。

08

美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露

美国国会图书馆日前披露其信息技术系统遭到疑似外国黑客组织入侵,攻击者获取了国会办公室与图书馆工作人员之间的电子邮件通信内容。据NBC News报道,美国国会图书馆已就这起"网络安全事件"通知了国会相关办公室。受影响的电子邮件通信内容涉及2024年1月至9月期间国会办公室与图书馆工作人员(包括国会研究服务处)之间的往来信息。 

作为美国实际上的国家图书馆,国会图书馆不仅为美国国会两院提供图书馆和研究服务,还通过美国版权局负责管理版权法的实施。在发现安全漏洞后,图书馆方面已第一时间通知执法部门,目前相关调查仍在进行中。

国会图书馆在通报中表示:"图书馆已经修复了被攻击者利用的安全漏洞,并采取了相应措施防止类似事件再次发生。"同时确认美国众议院和参议院的电子邮件网络系统以及美国版权局的系统均未受到此次事件影响。而对于攻击者的身份以及攻击发生的具体时间点,调查人员仍在进一步核实中。

Microsoft 365管理门户或遭滥用,可帮助勒索诈骗邮件逃避安全检测

信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外

Microsoft 365管理门户或遭滥用,可帮助勒索诈骗邮件逃避安全检测

本文版权归原作者所有,如有侵权请联系我们及时删除

原文始发于微信公众号(汇能云安全):Microsoft 365管理门户或遭滥用,可帮助勒索诈骗邮件逃避安全检测

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月21日10:49:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Microsoft 365管理门户或遭滥用,可帮助勒索诈骗邮件逃避安全检测https://cn-sec.com/archives/3418950.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息