北约峰会遭遇RomCom黑客组织攻击

news2024/12/30 4:32:04

昨天(7月11日),微软正式披露了一个未修补的零日安全漏洞,该漏洞存在于多个Windows和Office产品中,可以通过恶意Office文档远程执行代码。

未经身份验证的攻击者可在无用户交互的情况下利用该漏洞(跟踪为CVE-2023-36884)进行高复杂性攻击。

一旦攻击成功,即可导致对方系统的机密性、可用性和完整性的完全丧失,从而允许攻击者访问敏感信息、关闭系统保护并拒绝对受损系统的访问。

目前,微软正在调查并制作一系列影响Windows和Office产品的远程代码执行漏洞的报告。微软已经意识到了这是一系列有针对性的攻击,这些攻击试图利用特制的微软Office文档来利用这些漏洞。

攻击者可以创建一个特制的Microsoft Office文档,使他们能够在受害者的系统中执行远程代码执行。但前提是攻击者必须说服受害者打开恶意文件。

虽然该漏洞尚未得到解决,但微软表示后续将通过每月发布的程序或带外安全更新向客户提供补丁。

北约峰会与会者遭遇黑客攻击

微软方面表示,有黑客组织近期利用CVE-2023-36884漏洞攻击了北约峰会的与会者。

根据乌克兰计算机应急响应小组和黑莓情报团队的研究人员发布的报告,攻击者通过恶意文件冒充自己是乌克兰世界大会组织,以让他人误安装此恶意软件,其中包括MagicSpell加载程序和RomCom后门。

黑莓安全研究人员表示:攻击者可利用该漏洞制作恶意的docx或rtf文件,从而实现远程代码执行(RCE)攻击。

这种攻击是通过利用特制的文档来执行易受攻击的MSDT版本来实现的,同时也允许攻击者向实用程序传递命令执行。

微软周二(7月11日)时也表示:该攻击者在2023年6月发现的最新攻击涉及滥用CVE-2023-36884,提供与RomCom相似的后门。

可通过启用“阻止所有Office应用程序创建子进程”免于攻击

微软方面表示,在CVE-2023-36884补丁可用之前,使用Defender for Office的客户和启用了“阻止所有Office应用程序创建子进程”攻击面减少规则的客户可以免受网络钓鱼攻击。

不使用这些保护的用户可以将以下应用程序名称添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项中,作为REG_DWORD类型的值,数据为1:

Excel.exe
Graph.exe
MSAccess.exe
MSPub.exe
PowerPoint.exe
Visio.exe
WinProj.exe
WinWord.exe
Wordpad.exe
但是,需要注意的是,设置此注册表项以阻止利用尝试也可能影响到与上面列出的应用程序链接的某些Microsoft Office功能。

设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项(图源:Microsoft)

该漏洞与RomCom组织有所渊源

RomCom是一个总部位于俄罗斯的网络犯罪组织(也被追踪为Storm-0978),该组织以从事勒索软件和勒索攻击以及专注于窃取凭证的活动而闻名。该组织与此前的工业间谍勒索软件行动有关,现在该行动已转向名为“地下”(VirusTotal)的勒索软件。

地下勒索信(图源:BleepingComputer)

2022年5月,在调查工业间谍勒索通知中的TOX ID和电子邮件地址时,MalwareHunterTeam发现了与古巴勒索软件操作的特殊关联。

他观察到,工业间谍勒索软件样本生成了一封勒索信,其TOX ID和电子邮件地址与古巴使用的相同,以及古巴数据泄露网站的链接。

然而,提供的链接并没有将用户引导到工业间谍数据泄露网站,而是指向古巴勒索软件的Tor网站。此外,勒索信使用了相同的文件名,!!READ ME !!.txt,就像之前发现的古巴勒索邮件一样。

在2023年5月,在Trend Micro发布的一份关于RomCom的最新活动报告显示,威胁参与者现在正在冒充Gimp和ChatGPT等合法软件,或者创建虚假的软件开发人员网站,通过谷歌广告和黑色搜索引擎优化技术向受害者推送后门。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/745582.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

IMU背包对动物行为影响测试

动物行为是一种可观察和可测量的指标,轻量化和低成本的传感器技术的先进发展为研究人员提供了以最小干预来跨越空间和时间跟踪动物的机会。特别是对于家禽业来说,已经从传统的笼养系统转变为无笼养系统。许多技术可用于检测大群鸡的行为、活动和位置。为…

哈希的应用->布隆过滤器

为什么用布隆过滤器 这个是基于位图的一个超级牛皮的一个数据结构。举个例子,假设我们创建Steam账号,我们的账户名字是不允许重复的,所以我们需要找到一个没有人使用过的名字,但是我们得知道现在这个名字是否有人用过&#xff0c…

VMware ESXi 7.0 U3n macOS Unlocker OEM BIOS 集成网卡驱动和 NVMe 驱动 (集成驱动版)

VMware ESXi 7.0 U3n macOS Unlocker & OEM BIOS 集成网卡驱动和 NVMe 驱动 (集成驱动版) ESXi 7 U3 标准版集成 Intel 网卡、USB 网卡 和 NVMe 驱动 请访问原文链接:https://sysin.org/blog/vmware-esxi-7-u3-sysin/,查看最新版。原创作品&#x…

利用Docker部署程序

目录 一、安装Docker程序 二、安装MySQL 三、安装MongoDB 四、安装Redis 五、安装RabbitMQ 六、部署人脸识别程序 一、部署工作流项目 二、打包Java项目 三、部署Java项目 一、安装Docker程序 这节课我们要利用Docker环境部署很多东西,有数据库、人脸识别程…

冯诺依曼结构和操作系统的理解

在正式讲解进程之前,需要先铺垫一些基本知识. 目录 冯诺依曼结构 操作系统 冯诺依曼结构 这个名词相信大家非常熟悉,我们常见的计算机,如笔记本。我们不常见的计算机,如服务器,大部分都遵守冯诺依曼体系。 这张图…

Tomcat工作原理

一、Tomcat架构 ### 说明: Server:表示整个 Tomcat Catalina servlet 容器,Server 中可以有多个 Service。(可以通过telenet 8005后连接后输入“SHUTDOWN” 注意这里是大写,来关闭服务)Service&#xff1…

宠物用品小程序怎么做

宠物用品小程序功能介绍: 1. 商品管理: 宠物用品小程序提供了商品管理功能,商家可以方便地添加、编辑和删除商品信息。用户可以浏览并选择合适的宠物用品,如食品、玩具、服饰等。 2. 订单管理: 用户可以在宠物用品…

区块链服务网络BSN季度版本迭代说明【2023年Q2】

根据区块链服务网络发展联盟计划安排,BSN将每周进行一个小的版本迭代,每季度进行一个大的版本迭代,目前区块链服务网络(BSN)已完成最新季度版本迭代。 我们将按照BSN官方专网(国内版和国际版)、…

手把手教你从零开始集成声网音视频功能(iOS版)

说明 1.环信音视频和声网音视频 是两个不同的系统,所以如果要切换的话,需要集成声网的sdk,环信音视频的sdk可以直接废弃 2.文章会介绍如何用声网的音视频跑通demo,可以了解整个音视频通话的流程, 3.文章会介绍已经集…

小心 MybatisPlus 的一个坑

小心 MybatisPlus 的一个坑 昨天测试说有个 xx 功能用不了,扔给我一个截图,说有报错: 报错信息就是:Transaction rolled back because it has been marked as rollback-only,很好理解:事务被回滚了&#x…

【Qt QML入门】Text

Text组件在场景中添加格式化文本, 提供的是只读文本。文本项可以显示纯文本和富文本。Text {id: txttext: "Hello World!"font.family: "Helvetica"font.pointSize: 24color: "red" } 也可以支持部分Html格式标签 Text {id: txt1font.pointSize…

python_day6_异常与包机制

异常 try:可能出现异常的代码 except:若出现异常执行的代码 try:f open("D:/linux.txt", "r", encoding"utf-8")f.readlines() except:print("出现异常了,文件不存在,更换模式w")# f open("D:/linux.txt…

欧姆龙以太网口怎么和电脑连接

捷米特JM-ETH-CP以太网通讯处理器用于欧姆龙 CP1L/ CP1E/ CP1H 系列 PLC 的以太网数据采集,捷米特JM-ETH-CP以太网模块不占用 PLC 通讯口,即编程软件/上位机软件通过以太网对 PLC 数据监控的同时,触摸屏可以通过复用接口与 PLC 进行通讯。支持…

【国密】SM3密码杂凑算法(附源码分析)

一、前言 SM3 算法是中国国家密码管理局于 2010 年发布的一种密码杂凑算法,广泛地应用于数据的完整性校验、数字签名、消息认证码、密钥交换和数据加密等。密码杂凑算法需要满足三种基本属性:抗原像攻击、抗第二原像攻击、抗碰撞攻击,这三种…

【动手学习深度学习--逐行代码解析合集】14多输入多输出通道

【动手学习深度学习】逐行代码解析合集 14多输入多输出通道 视频链接:动手学习深度学习–多输入多输出通道 课程主页:https://courses.d2l.ai/zh-v2/ 教材:https://zh-v2.d2l.ai/ 1、多输入通道 import torch from d2l import torch as d2l …

[C语言][小游戏][猜拳游戏]

C语言的奇妙旅行 一、模块化编程二、游戏基本设计2.1 确定计算机要出的手势2.2 显示“石头剪刀布”,然后玩家输入自己要出的手势2.3进行输赢判断,显示结果2.4询问是否继续2.5 基本程序 三、游戏实现的过程3.1将玩家的手势和电脑的手势显示出来 三、总代码…

复习java基础

复习一天有点忘了的知识: 结构化编程 结构化程式设计(英语:Structured programming)是1960年代开始发展起来的一种编程典范。它采用子程序、程式码区块、for循环以及while循环等结构来取代传统的goto。 指导思想 自顶向下、逐步求精、模块化 编程过程 流程图是…

CVPR 2023 | OVSeg: Open-Vocabulary Semantic Segmentation with Mask-adapted CLIP

CVPR 2023 | OVSeg: Open-Vocabulary Semantic Segmentation with Mask-adapted CLIP 论文:https://arxiv.org/abs/2210.04150代码:https://github.com/facebookresearch/ov-seg 架构设计 类别无关的 mask proposal generator:MaskFormer手动…

linux端口被占用 关闭端口

1.查看端口是否被占用 netstat -anp |grep [端口号]2.查看占用的进程 lsof -i:[端口号]3.关闭进程 kill -9 [进程PID]LISTEN 表示被占用,3061/java 分别是:进程PID/进程 通过进程PID关闭进程

桥接模式:解耦抽象与实现

桥接模式是一种结构型设计模式,它将抽象部分与实现部分分离,使它们可以独立地变化。本文将深入探讨桥接模式的原理、结构和使用方法,并通过详细的 Java 示例代码来说明。 1. 桥接模式的定义 桥接模式是一种将抽象部分与实现部分分离的设计模…