一个支持越南人权的非营利组织已成为黑客组织多年活动的目标，该活动旨在向受感染的主机传播各种恶意软件。 网络安全公司 Huntress 将该活动归咎于一个名为 APT32 的威胁集群，这是一个与越南结盟的黑客团队，也被称为 APT-C-00、Canvas Cyclone（以前称为 Bismuth）、Cobalt Kitty 和 OceanLotus（海莲花）。据信入侵活动已持续至少四年。 安全研究人员 Jai Minton 和 Craig Sweeney表示：“此次入侵与黑客组织 APT32/OceanLotus （海莲花）所使用的已知技术有许多重叠，且已知目标人群与 APT32/OceanLotus 目标一致。” OceanLotus自 2012 年开始活跃，其目标主要是东亚国家（特别是越南、菲律宾、老挝和柬埔寨）的公司和政府网络，最终目的是进行网络间谍活动和窃取知识产权。 攻击链通常使用鱼叉式网络钓鱼诱饵作为初始渗透媒介，以提供能够运行任意 shellcode 和收集敏感信息的后门。也就是说，早在 2018 年，该组织就被发现策划了水坑攻击活动，以侦察载荷感染网站访问者或获取他们的凭据。 Huntress 发现的最新一组攻击涉及四台主机，每台主机均受到攻击，添加了各种计划任务和 Windows 注册表项，这些任务和项负责启动 Cobalt Strike Beacons、一个可窃取系统上所有用户配置文件的 Google Chrome cookie 的后门，以及负责启动嵌入式 DLL 有效负载的加载器。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/M6XKyTQoKqoqJDpSGaENDQ 封面来源于网络，如有侵权请联系删除

Google TAG 发布证据显示，俄罗斯 APT29使用的漏洞与以色列 NSO 集团和 Intellexa 使用的漏洞相同或惊人相似，这表明国家支持的黑客组织和有争议的监控软件供应商之间可能获取了工具。 这支俄罗斯黑客团队，又名午夜暴雪或 NOBELIUM，被指控对多起备受瞩目的公司进行黑客攻击，其中包括对微软的入侵，攻击中窃取了源代码和高管电子邮件数据。 据谷歌研究人员称，APT29 已利用多个在野漏洞攻击活动，这些活动通过对蒙古政府网站进行水坑攻击进行传播。这些活动首先传播了影响 16.6.1 以上 iOS 版本的 iOS WebKit 漏洞，随后利用 Chrome 漏洞链攻击运行 m121 至 m123 版本的 Android 用户。 Google TAG 表示：“这些活动使用了nday漏洞，这些漏洞已有补丁，但对未打补丁的设备仍然有效。”并指出，在水坑活动的每次迭代中，攻击者使用的漏洞与 NSO Group 和 Intellexa 之前使用的漏洞相同或极为相似。 谷歌发布了 2023 年 11 月至 2024 年 2 月期间 Apple Safari 活动的技术文档，该活动通过 CVE-2023-41993（由 Apple 修补并归功于公民实验室）提供了 iOS 漏洞。 2023 年 11 月至 2024 年 2 月针对 iOS 的攻击活动中使用的攻击链 谷歌表示：“当使用 iPhone 或 iPad 设备访问时，水坑攻击网站会使用 iframe 来提供侦察负载，该负载会执行验证检查，最终下载并部署另一个带有 WebKit 漏洞的负载，以从设备中窃取浏览器 cookie。” 研究人员指出，WebKit 漏洞不会影响当时运行当前 iOS 版本（iOS 16.7）或启用了锁定模式的 iPhone 的用户。 据谷歌称，该水坑漏洞“使用了完全相同的触发器”，与 Intellexa 使用的公开发现的漏洞“使用相同的触发器”，强烈暗示作者和/或提供商是相同的。 谷歌表示： “我们不知道最近的水坑攻击活动中的攻击者是如何获得这一漏洞的。” 谷歌指出，这两个漏洞利用都共享相同的利用框架，并加载了相同的 cookie 窃取框架，该框架之前曾被俄罗斯政府支持的攻击者利用CVE-2021-1879获取来自 LinkedIn、Gmail 和 Facebook 等知名网站的身份验证 cookie。 研究人员还记录了第二条攻击链，该攻击链利用了 Google Chrome 浏览器中的两个漏洞。其中一个漏洞 ( CVE-2024-5274 ) 被发现为 NSO Group 使用的野外0day漏洞。 2024 年 7 月针对 Google Chrome 的攻击活动中使用的攻击链 在本案中，谷歌发现证据表明俄罗斯 APT 改编了 NSO 集团的漏洞。 “尽管这两个漏洞的触发机制非常相似，但它们的概念却大不相同，相似之处不如 iOS 漏洞那么明显。例如，NSO 漏洞支持 Chrome 107 至 124 版本，而水坑漏洞仅针对版本 121、122 和 123。”谷歌表示。 漏洞重用时间表 俄罗斯攻击链中的第二个漏洞（CVE-2024-4671）也被报告为被利用的0day漏洞，并且包含一个漏洞样本，类似于之前与 Intellexa 相关的 Chrome 沙盒逃逸。 Google TAG 表示：“很明显，APT 参与者正在使用最初由商业间谍软件供应商用作0day漏洞的 n-day 漏洞。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/jBRdFW-Pd6SdvA8tpO7VHg 封面来源于网络，如有侵权请联系删除

网络安全公司 ESET 称，与韩国有关的网络间谍组织 APT-C-60 利用 Windows 版 WPS Office 中的0day漏洞在东亚目标上安装 SpyGlace 后门。 WPS Office 是中国金山软件开发的一款办公套件，在亚洲非常受欢迎。据报道，它在全球拥有超过 5 亿活跃用户。 该黑客组织被追踪为 APT-C-60，0day漏洞编号为 CVE⁠⁠2024⁠-⁠7262。ESET 将 APT-C-60 描述为“与韩国结盟的网络间谍组织”。 该漏洞允许远程代码执行，已被用来向东亚目标投放名为 SpyGlace 的自定义后门。该0day漏洞 (CVE-2024-7262) 至少自 2024 年 2 月下旬以来就已在野外攻击中被利用，影响的版本从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。 CVE-2024-7262 存在于软件处理自定义协议处理程序的方式中，特别是“ksoqing://”，它允许通过文档内特制的 URL 执行外部应用程序。 由于对这些 URL 的验证和清理不当，该漏洞允许攻击者制作导致任意代码执行的恶意超链接。 APT-C-60 创建了电子表格文档（MHTML 文件），其中嵌入了隐藏在诱饵图像下的恶意超链接，以诱骗受害者点击它们，从而触发漏洞。 处理后的 URL 参数包括一个 base64 编码的命令，用于执行特定插件 (promecefpluginhost.exe)，该插件试图加载包含攻击者代码的恶意 DLL (ksojscore.dll)。 该DLL是APT-C-60的下载器组件，用于从攻击者的服务器获取最终的有效负载（TaskControler.dll），这是一个名为“SpyGlace”的自定义后门。 攻击链 中国网络安全公司安恒信息（DBAPPSecurity）最近发布了对 WPS Office 漏洞的分析，此前该公司确定该漏洞已被利用来向中国用户传播恶意软件。 SecurityWeek已经看到中国公司和政府机构发布的多份有关 APT-C-60 的报告，该组织在中国被追踪为“伪猎人”。其中一些报告将该 APT 与韩国联系起来。 根据2022 年底 ThreatBook（微步在线） 的一份报告，APT-C-60 还针对了韩国的实体。 ESET 周三报告称，2 月底，一份利用 CVE-2024-7262 漏洞的恶意文档被上传到 VirusTotal。攻击者创建了看似无害的电子表格，当目标用户点击单元格时触发漏洞。 诱饵文档嵌入了一张隐藏恶意超链接的图片 关于此漏洞的另一个有趣的事实是，它也可以通过在 Windows 资源管理器的预览窗格中单击来触发，这使得它更加危险。 据 ESET 称，WPS Office 开发商金山在 2024 年 3 月发布版本 12.1.0.16412 时修补了该0day漏洞。自 2023 年 8 月以来发布的软件版本均受到影响，但仅限于 Windows。 在对 CVE-2024-7262 进行分析时，ESET 发现开发商只修复了部分错误代码，该漏洞仍然可被利用。随后，该供应商发布了针对第二个漏洞的补丁，补丁编号为 CVE-2024-7263。 WPS Office 是一款流行的办公套件，根据官方网站的数据，其全球活跃用户超过 5 亿。这使其成为漏洞利用开发人员的一个有价值的目标。 安全专家建议所有WPS 用户应尽快将软件更新到最新版本。 ESET 提供了APT-C-60 攻击的技术细节以及攻击检测指标 ( IoC )，参考链接：https://github.com/eset/malware-ioc/tree/master/apt_c_60   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/BdUFk6X5CAmBuH7__6UXqg 封面来源于网络，如有侵权请联系删除

伊朗黑客组织APT33利用新型Tickler恶意软件对美国和阿联酋的政府、国防、卫星、石油和天然气部门组织的网络进行后门攻击。 根据微软安全研究人员撰写的报告，代表伊朗利益的威胁组织（也被追踪为 Peach Sandstorm 和 Refined Kitten）在 2024 年 4 月至 7 月期间使用了这种新恶意软件作为情报收集活动的一部分。 在这些攻击过程中，攻击者利用 Microsoft Azure 基础设施进行命令和控制 (C2)，使用欺诈性的、攻击者控制。 APT33 在 2024 年 4 月至 5 月期间成功发动密码喷洒攻击，入侵了国防、航天、教育和政府部门的目标组织。在这些攻击中，他们试图使用少量常用密码访问许多帐户，以避免触发帐户锁定。 “尽管密码喷洒活动在各个行业中都持续出现，但微软观察到 Peach Sandstorm 专门利用教育行业中被盗用的用户账户来获取运营基础设施。在这些情况下，攻击者访问了现有的 Azure 订阅或使用被盗用账户创建订阅来托管其基础设施。”微软表示。 黑客控制的 Azure 基础设施被用于后续针对政府、国防和航天领域的行动。 APT33 Tickler 攻击流程 微软补充道：“在过去的一年里，Peach Sandstorm 使用定制工具成功入侵了多家组织，主要是上述领域的组织。” 伊朗黑客组织还在 2023 年 11 月使用了这种策略，攻击了全球国防承包商的网络并部署了 FalseFont 后门。 今年 9 月，微软警告称，APT33 活动已再次出现，自 2023 年 2 月以来，该活动针对全球数千个组织发起了大规模密码喷洒攻击，针对国防、卫星和制药领域。 微软宣布，从 10 月 15 日开始，所有 Azure 登录尝试都必须进行多重身份验证 (MFA)，以保护 Azure 帐户免遭网络钓鱼和劫持。 该公司此前发现，MFA 可使 99.99% 启用 MFA 的账户抵御黑客攻击，并将入侵风险降低 98.56%，即使攻击者试图使用之前被入侵的凭据入侵账户。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/uczzZDeRMymYI9BBmqqYog 封面来源于网络，如有侵权请联系删除

研究人员警告称，Ecovacs 生产的吸尘和割草机器人可能会被黑客入侵并监视其主人，该公司将修复这一问题。 在最近的 Def Con 黑客大会上，安全研究人员 Dennis Giese 和 Braelynn解释说，攻击者可以利用Ecovacs 生产的扫地机器人和割草机器人的缺陷来监视其主人。 研究人员分析了以下设备：Ecovacs Deebot 900 系列、Ecovacs Deebot N8/T8、Ecovacs Deebot N9/T9、Ecovacs Deebot N10/T10、Ecovacs Deebot X1、Ecovacs Deebot T20、Ecovacs Deebot X2、Ecovacs Goat G1、Ecovacs Spybot Airbot Z1、Ecovacs Airbot AVA 和 Ecovacs Airbot ANDY。 专家们发现了一系列漏洞，这些漏洞可能允许攻击者通过蓝牙控制设备的摄像头和麦克风。专家指出，这些机器人没有灯光来指示它们的摄像头和麦克风是否打开。 “他们的安全措施真的非常非常非常糟糕。”吉斯告诉TechCrunch。 研究人员在 Ecovacs 机器人中发现的一个问题就是，450 英尺范围内的任何人都可以通过蓝牙控制该设备。一旦攻击者控制了该设备，他们就可以通过 Wi-Fi 连接远程访问机器人。然后，他们可以检索敏感数据，如 Wi-Fi 凭证、保存的房间地图，甚至可以访问摄像头和麦克风。 Giese 解释说，Ecovacs 割草机器人的蓝牙功能始终处于活动状态，而扫地机器人仅在开机后 20 分钟内启用蓝牙，并且每天在自动重启时启用一次，这使得它们更难被黑客入侵。虽然有些型号理论上在摄像头开启时每五分钟会播放一次音频警报，但黑客可以轻松删除此文件，从而使它们在不被发现的情况下运行。 两位研究人员还发现了 Ecovacs 设备的其他几个问题。他们发现，即使用户删除了账户，数据和身份验证令牌仍会保留在 Ecovacs 的云服务器上，这可能导致未经授权的人访问机器人吸尘器，并监视购买二手设备的个人。此外，割草机器人具有以明文形式存储在设备内的防盗 PIN，攻击者可以轻松获取和滥用它。此外，一旦 Ecovacs 机器人受到攻击，它就有可能被用来攻击附近的其他 Ecovacs 机器人。 最初，Ecovacs 发言人告诉 TechCrunch，公司不会解决研究人员发现的漏洞。 数周后，供应商宣布将解决该问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/QgzjNmP4D82ldFxiRyM3Vg 封面来源于网络，如有侵权请联系删除

Meta Platforms 周五成为继微软、谷歌和 OpenAI之后最新一家曝光伊朗APT组织活动的公司，据称该组织利用一组 WhatsApp 账户试图针对以色列、巴勒斯坦、伊朗、英国和美国的个人。 Meta 在公开的新闻稿件中说，该攻击群源自伊朗，“似乎主要针对政治和外交官员以及其他公众人物，其中包括一些与拜登总统和前总统特朗普政府有关的人士” 。 该社交媒体巨头将其归咎于一个被追踪为 APT42 的黑客组织，该组织也被称为 Charming Kitten、Damselfly、Mint Sandstorm（以前称为 Phosphorus）、TA453 和 Yellow Garuda。据评估，该组织与伊朗伊斯兰革命卫队 (IRGC) 有关联。 该组织以使用复杂的社会工程诱饵而闻名，他们利用恶意软件对目标进行鱼叉式网络钓鱼并窃取其凭据。本周早些时候，Proofpoint透露，该组织瞄准了一位著名的犹太人物，并用名为 AnvilEcho 的恶意软件感染他们的机器。 Meta 称，这一“小群” WhatsApp 账户伪装成 AOL、谷歌、雅虎和微软的技术支持，但据信这些努力并未成功，这些账户现已被封禁。 “我们没有看到他们的账户被盗的证据。”Facebook、Instagram 和 WhatsApp 的母公司表示。“我们鼓励向我们举报的人采取措施，确保他们的在线账户在互联网上是安全的。” 目前，美国政府正式指责伊朗试图通过扩大宣传和收集政治情报来破坏美国大选、煽动美国公众的分裂观点并削弱人们对选举过程的信心。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/acoqh4IZs3InRqM9BLvhyg 封面来源于网络，如有侵权请联系删除

APT组织执行了“AppDomainManager 注入”，这类似于 DLL 侧加载，但可以说更容易、更隐蔽。 正在进行的攻击活动使用了两种鲜为人知的隐形技术来感染敏感地区的军事、政治目标。 第一个“GrimResource”是一种新技术，允许攻击者在 Microsoft 管理控制台 (MMC) 中执行任意代码。 第二种技巧是“AppDomainManager 注入”，它使用恶意动态链接库 (DLL)，但比传统的侧载更简单。这种技巧已经存在七年了，被开源社区、渗透测试人员使用。但在野外恶意活动中很少见到这种技巧。 NTT 研究人员在一篇新博客文章中表示，自 7 月以来，一个高级威胁组织一直在结合使用这些技术，将 Cobalt Strike 投放到东南亚敏感地区的政府、军事、能源组织等目标的 IT 系统中。 GrimResource 的工作原理 攻击始于包含在网络钓鱼电子邮件或恶意网站中的 ZIP 文件。 ZIP 包含一个带有 Windows 证书或 PDF 图标的文件。实际上，它是一个管理保存控制台 (MSC) 文件，这是一种用于保存 MMC 内配置和设置的文件类型。 MSC 近来在攻击者中越来越受欢迎。这始于微软发布了一系列默认控件的更改，这些更改可用于从电子邮件中执行有效负载。 这是一种非常有趣且功能强大的文件格式，与许多经常被滥用的常见文件格式相比，它受到的关注较少。 利用此类漏洞的一种技术是GrimResource，它于 7 月首次由 Elastic 发现。GrimResource 利用 Windows 身份验证协议域支持 (APDS) 库中存在六年的跨站点脚本 (XSS) 问题，在 MMC 中实现任意代码执行。 在此活动中，攻击者使用它来消除感染过程中的一个步骤：无需让受害者单击 MSC 文件中的恶意链接，只需打开 MSC 文件即可触发嵌入的 Javascript。 然后，恶意的 Javascript 会下载并运行合法的、经过签名的 Microsoft 可执行文件“dfsvc.exe”，并将其重命名为“oncesvc.exe”。但如果该文件是完全真实的，那么它如何被用来下载恶意软件呢？ 激活 AppDomainManager注入 所有使用 Microsoft .NET 框架构建的应用程序都会运行一个或多个应用程序域，这些域由“AppDomainManager”类创建和管理。在 AppDomainManager 注入中，攻击者会使用恶意代码创建一个 AppDomainManager 类，然后诱骗目标应用程序加载该类而不是合法应用程序。 这可以通过配置三个特定环境变量（APPDOMAIN_MANAGER_ASM、APPDOMAIN_MANAGER_TYPE 和 COMPLUS_VERSION）来实现，或者像本次攻击活动中的情况一样，上传一个自定义配置文件，该文件只会指示应用程序运行其恶意的 AppDomainManager。 Rapid7 渗透测试首席安全顾问 Nicholas Spagnola 解释说：“你实际上是在告诉通用语言运行时 (CLR)——Windows 操作系统的一部分，它告诉操作系统如何加载和处理 .NET 应用程序——在你运行 .NET 进程时包含一个恶意 DLL。”“它实际上允许你将几乎任何 .NET 应用程序变成一个活生生的二进制文件”。 NTT 研究人员写道：“目前，DLL 侧载是执行恶意软件的最常见方法，但 AppDomainManager 注入比 DLL 侧载容易得多，并且人们担心未来利用可能会增加。” 由于发现此类恶意注入非常困难，King 建议采取一种防御方法，在此类攻击发生之前进行阻止。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tRdadOHmncKH4-HLZ5jUWg 封面来源于网络，如有侵权请联系删除

Halliburton于周三确认其系统正遭受网络攻击。报告显示，该攻击已迫使公司实施了全面的网络隔离措施，要求员工断开所有与内部网络的连接。 该公司发言人表示：“我们已意识到部分公司系统受到影响，目前正在进行原因分析和潜在影响评估。”发言人补充道：“公司已启动既定应对措施，IT团队正在与外部安全专家协作，积极处理和缓解此次安全事件。” X 用户@MzBlckSheep发文称，“从休斯顿的一位朋友那里得知，Halliburton 目前正遭受大规模的基于云的网络安全攻击”，这是社交媒体上关于这一事件的较早评论之一。 用户 @MzBlckSheep 还写道：“他们让每个人都断开与内部网络的连接，这正是将所有数据托付给云计算所带来的问题。” 此外，一位知情人士向路透社证实，Halliburton已要求部分员工暂时断开与内部网络的连接。此次攻击似乎已影响到公司位于休斯顿北带园区的业务运营以及一些全球网络连接。 截至周三，尚无任何网络犯罪组织声明对Halliburton遭受的袭击负责。 根据公司网站的信息，Halliburton是全球第二大油田服务公司，总部设在美国德克萨斯州休斯顿和迪拜，业务覆盖70个国家，拥有超过40000名国际员工。 针对能源部门的袭击 安全专家指出，针对能源部门的网络攻击构成了对关键基础设施构成了严重威胁，过去类似攻击曾造成重大后果。 2021 年，美国燃料供应商 Colonial Pipeline 遭遇了 DarkSide 勒索软件团伙的攻击，导致其网络系统关闭了近一周。Colonial Pipeline 的首席执行官承认，公司向该组织支付了440万美元的赎金。 这一臭名昭著的攻击发生在新冠疫情结束之际，对燃料供应链造成了严重冲击，导致价格飙升、燃料短缺，并引发了美国东南部各地加油站的恐慌性囤积。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

思科 Talos 团队发现一种名为MoonPeak的新型远程访问木马，思科 Talos 将此次恶意网络活动归咎于其追踪的编号为 UAT-5394 的黑客组织，并称该组织与代号为Kimsuky 的朝鲜黑客组织存在一定程度的战术重叠。 MoonPeak 是由攻击者开发的，它是开源Xeno RAT恶意软件的一个变种，之前曾作为网络钓鱼攻击的一部分进行部署，旨在从攻击者控制的云服务（如 Dropbox、Google Drive 和 Microsoft OneDrive）中检索有效负载。 Xeno RAT 的一些主要功能包括加载附加插件、启动和终止进程以及与命令和控制 (C2) 服务器通信的能力。 Talos 表示，两组入侵行为之间的共同点表明 UAT-5394 实际上是 Kimsuky（或其分支）发起的，或者是朝鲜网络机构内的另一个黑客团队，他们从 Kimsuky 那里借用了工具箱。 实现该活动的关键是使用新的基础设施，包括 C2 服务器、有效载荷托管站点和测试虚拟机，这些都是为生成 MoonPeak 的新迭代而创建。 Talos 研究人员 Asheer Malhotra、Guilherme Venere 和 Vitor Ventura在周三发表的分析报告中表示：“C2 服务器托管可供下载的恶意文件，然后用于访问和设置新的基础设施来支持这一活动。” “在多个实例中，我们还观察到攻击者访问现有服务器以更新其有效载荷并检索从 MoonPeak 感染收集的日志和信息。” 这一转变被视为从使用合法云存储提供商转向建立自己的服务器的更广泛举措的一部分。不过，目前尚不清楚此次活动的目标。 这里要注意的一个重要方面是“MoonPeak 的不断发展与威胁行为者建立的新基础设施密切相关”，并且每个新版本的恶意软件都会引入更多的混淆技术来阻止分析和改变整体通信机制以防止未经授权的连接。 “简而言之，攻击者确保 MoonPeak 的特定变体仅与 C2 服务器的特定变体一起工作。”研究人员指出，“新恶意软件的持续采用及其演变（例如 MoonPeak 的情况）的时间表突显出 UAT-5394 继续在其武器库中添加和增强更多工具。UAT-5394 建立新支持基础设施的速度之快表明，该组织旨在迅速扩大这一活动并建立更多的投放点和 C2 服务器。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/UefWT-cRw_fcjmg1qvb3dg 封面来源于网络，如有侵权请联系删除

Gen Threat Labs 的安全研究人员认为，微软上周修补的一个被利用的0day漏洞与朝鲜的 Lazarus APT 组织有关。 该漏洞被编号为CVE-2024-38193，并被微软标记为“积极利用”，允许在最新的 Windows 操作系统上获得 SYSTEM 权限。 Gen 是 Norton、Avast、LifeLock 和 Avira 等消费品牌的集合，该公司发布了一条简短的说明，称此次攻击与 Lazarus 通过使用 FudModule rootkit 相关联。但是，该公司并未发布任何指标或技术文档来支持这种关联。 “6 月初，Luigino Camastra 和 Milanek 发现 Lazarus 组织正在利用 Windows 中一个关键部分 AFD.sys 驱动程序中隐藏的安全漏洞。该漏洞使他们能够未经授权访问敏感系统区域。我们还发现他们使用一种名为 Fudmodule 的特殊恶意软件来隐藏他们的活动，不让安全软件发现。”该公司表示，但没有提供更多细节。 Avast 之前曾将 FudModule 记录为 Lazarus APT 工具包的一部分，该工具包包含可追溯至二月份的管理员到内核的 Windows 0day漏洞。 这是微软在 8 月补丁日安全更新中发现的六个0day漏洞之一。安全专家还认为，朝鲜 APT 组织正在利用第二个漏洞 ( CVE-2024-38178 ) 来攻击韩国受害者。 该漏洞是 Windows 脚本引擎中的一个内存损坏漏洞，如果经过身份验证的客户端被诱骗点击链接，则会导致远程代码执行攻击。要成功利用此漏洞，攻击者首先需要准备目标，使其在 Internet Explorer 模式下使用 Edge。 Ahn 实验室和韩国国家网络安全中心报告了此脚本引擎0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OgFKCyYGQd221n52-E4Vww 封面来源于网络，如有侵权请联系删除