网络安全公司Securonix近日发现了一个名为“Dev Popper”的新型网络攻击活动，该活动针对软件开发人员，利用虚假的面试流程诱使受害者安装恶意软件，进而窃取受害者供职企业的机密信息。 攻击者会伪装成企业招聘人员，通过邮件或社交媒体联系目标开发者，提供虚假的软件开发职位。在面试过程中，攻击者会要求受害者下载并运行声称来自GitHub的“标准编码任务”，以此让整个过程看起来合法合规。 然而，该代码实际上是一个恶意压缩文件，其中包含一个恶意NPM软件包。这个软件包内嵌了一个名为“imageDetails.js”的混淆JavaScript文件，该文件会通过Node.js进程执行“curl”命令，从外部服务器下载另一个恶意存档“p.zi”。 “p.zi”存档中包含下一个阶段的攻击载荷，也就是一个混淆的Python脚本，充当远程访问木马(RAT)。 一旦RAT在受害者的系统上激活，它就会收集并发送基本系统信息到攻击者的控制服务器，这些信息包括操作系统类型、主机名和网络数据。 Securonix报告称，此RAT具备以下功能： 长期驻留，供攻击者持续控制受害者系统。 执行文件系统命令，以搜索并窃取特定文件或数据。 远程执行命令，用于实施额外的漏洞利用或部署恶意软件。 直接从“文档”和“下载”等重要文件夹窃取数据，通过FTP传输到攻击者服务器。 记录剪贴板内容和按键记录，以监控用户活动并可能窃取凭证。 虽然目前尚无法确定“DevPopper”攻击的幕后黑手，但利用虚假工作机会作为诱饵传播恶意软件的做法仍然屡见不鲜。软件开发人员在求职过程中应该保持警惕，不要轻易下载或运行来历不明的代码，以免遭受网络攻击。 值得注意的是，攻击者正是利用了软件开发人员（包括网络安全专业人士）的职业操守及其对招聘流程的信任。求职者担心拒绝面试官的要求会影响求职机会，因此更容易落入陷阱。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EqwMS6e489XDpCEY_FEd6A 封面来源于网络，如有侵权请联系删除

近日，Okta 警告称，针对其身份和访问管理解决方案的凭证填充攻击出现了“前所未有”的激增，一些客户账户在这些攻击中遭到入侵。 威胁行为者利用凭证填充攻击，通过自动化方式尝试使用从网络犯罪分子那里购买的用户名和密码列表来入侵用户账户。 Okta 在一份公告中指出，这些攻击似乎与之前思科 Talos 团队报告的暴力破解和密码喷射攻击使用的是相同的基础设施。 在 Okta 观察到的所有攻击中，请求都是通过 TOR 匿名网络以及各种住宅代理（例如NSOCKS、Luminati和DataImpulse）发出的。 影响和建议 Okta 表示，观察到的攻击对那些运行 Okta 经典引擎并配置了仅审计模式而非日志和执行模式的 ThreatInsight 的组织尤为成功。同样，那些没有拒绝来自匿名代理访问的组织也面临更高的攻击成功率。Okta称，这些攻击成功地影响了一小部分客户。 为了在网络边缘阻止这些攻击，公司提供了一系列措施： 在日志和执行模式下启用ThreatInsight，在这些IP地址尝试认证之前主动阻止已知涉及凭证填充的IP地址。 拒绝来自匿名代理的访问，主动阻止通过不可信的匿名服务发出的请求。 切换到 Okta Identity Engine，提供更强大的安全功能，如对风险登录进行验证码挑战和 Okta FastPass 等无密码认证选项。 实施动态区域（Dynamic Zones），使组织能够专门阻止或允许某些 IP，并根据地理位置和其他标准管理访问。 另外，Okta还在其咨询意见中提供了一系列更通用的建议，有助于降低账户被接管的风险。包括免密码身份验证、执行多因素身份验证、使用强密码、拒绝公司所在地以外的请求、阻止声誉不佳的 IP 地址、监控并应对异常登录。   转自Freebuf，原文链接：https://www.freebuf.com/news/399586.html 封面来源于网络，如有侵权请联系删除

近日，网络安全公司 Sekoia 发现蠕虫病毒 PlugX 的新变种已经在全球范围感染了超过 250 万台主机。 老牌恶意软件藏身U盘 PlugX 是有着十多年历史的老牌恶意软件（蠕虫病毒），最早可追溯到 2008 年，最初只被亚洲的黑客组织使用，主要针对政府、国防、技术和政治组织。2015 年发生代码泄露后，PlugX 被改造成大众化的流行黑客工具，被全球网络犯罪分子广泛使用，其中一些黑客组织将其与数字签名软件结合，用于实施侧加载加密的攻击载荷。 PlugX 的最新变种增加了蠕虫组件，可通过 U 盘感染物理隔离系统。2023 年派拓网络公司（PaloAltoNetwork）的 Unit42 团队在响应 BlackBasta 勒索软件攻击时，在 VirusTotal 扫描平台上发现了PlugX 的一个新变种可通过 U 盘传播，并能将目标敏感文件隐藏在 U 盘中。 2023 年 3 月，Sophos 也报告了这种可通过 USB 自我传播的 PlugX 新变种，并称其已经“传播了半个地球”。 全球 250万台主机中招，中美都是重灾区 六个月前，Seqoia 的研究人员发现了一个被黑客废弃的 PlugX 恶意软件变种（Sinkhole）的命令和控制(C2)服务器。 在 Seqoia 联系托管公司并请求控制 IP 后，研究人员花费 7 美元获取了该服务器的 IP 地址 45.142.166.xxx ，并使用该 IP 获得了对服务器的 shell 访问权限。 分析人员设置了一个简单的 Web 服务器来模仿原始 C2 服务器的行为，捕获来自受感染主机的 HTTP 请求并观察流量的变化。 C2 服务器的操作记录显示，每天有 9-10 万个主机发送请求，六个月内全球有近 250 万个独立 IP 连接到该服务器（下图）： 研究人员发现，PlugX 已传播到全球 170 个国家，但集中度较高，15 个国家占感染总数的 80% 以上，其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。 研究人员强调，由于被废弃的 PlugXC2 服务器没有唯一标识符，这导致受感染主机的统计数字可能并不十分准确，因为： 许多受感染的工作站可以通过相同的 IP 地址连接 由于采用动态 IP 寻址，一个受感染系统可以连接多个 IP 地址 许多连接是通过 VPN 服务进行的，这可能使来源国家/地区的数据失真 两种杀毒方法 Sekoia 建议各国网络安全团队和执法机构采取两种杀毒方法。 第一种方法是发送 PlugX 支持的自删除命令，该命令应将其从计算机中删除，而无需执行其他操作。但需要注意的是，因为 PlugX 新变种可通过 USB 设备传播，第一种方法无法清除这些“离线”病毒。即使从主机中删除了恶意软件，仍然存在重新感染的风险。 第二种方法较为复杂，需要在受感染的计算机上开发和部署自定义有效负载，从系统以及与其连接的受感染 USB 驱动器中删除 PlugX。 Sekoia 还向各国国家计算机紧急响应小组(CERT)提供了执行“主权消毒”所需的信息。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16239.html 封面来源于网络，如有侵权请联系删除

据 Dark Reading 消息，在全球广泛传播的“教父”（Godfather）系列银行木马已经衍生出超 1000 个变种样本，针对上百个移动端银行应用程序。 “教父”银行木马首次发现于 2022 年，具备记录屏幕和键盘输入、拦截双因素身份验证（2FA）电话和短信、发起银行转账等功能，已迅速成为网络犯罪（尤其是移动网络犯罪）中最普遍的恶意软件即服务产品之一。 根据 Zimperium 的 《2023 年移动银行劫案报告》，截至 2023 年年底，”教父 “的目标是遍布 57 个国家的 237 个银行应用程序，其分支机构将窃取的金融信息转移到包括美国、欧洲在内的至少 9 个国家和地区。 也正是由于巨大的影响力，该银行木马的开发人员以近乎工业化的规模为客户自动生成新的样本。令人担忧的是，这一模式并非“教父”木马所独有，Zimperium 首席科学家尼科·恰拉维格里奥（Nico Chiaraviglio）还追踪到一个更为庞大、目前仍处于保密状态的恶意软件系列，在野外有超过 10万个独特的样本。” “这太疯狂了。”尼科表示，“我们以前从未在一个恶意软件中看到过这么多的样本，这绝对是一种趋势。” 他同时指出，目前移动端的安全防护远落后于 PC 端，相比于 PC 端有 25% 的设备完全没有受到安全保护，在移动端这一比例高达 85% 。与此同时，移动威胁也在迅速升级——演变出众多不同的迭代版本，以至于反病毒程序很难将一种感染与下一种感染联系起来。 在 2022 年首次发现 “教父 “时，野外只有不到 10 个样本，到 2023 年年底，这个数字已经翻了100倍。 尼科建议自适应解决方案可以利用这一点来关联具有不同签名的相关恶意软件，另外可以使用人工智能（AI）来关注恶意软件的行为，而不是代码本身。”有了能够做到这一点的模型，不管你如何改变代码或应用程序的外观，我们仍然能够检测到它，”尼科说道。 但他也承认，这也是一场竞赛。他们做一些调整，攻击者也会做一些相应的策略，例如可以要求 AI 尽可能地变异代码，这将是多态恶意软件的领域，虽然这种情况在移动设备上并不常见，但可以预见诸如此类的恶意软件会越来越多。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399446.html 封面来源于网络，如有侵权请联系删除

科技巨头思科周三警告称，国家支持的专业黑客团队正在利用其 ASA 防火墙平台中的至少两个 0day 漏洞，在电信和能源部门网络上植入恶意软件。 根据思科 Talos 的一份报告，攻击者瞄准运行思科自适应安全设备 (ASA) 或思科 Firepower 威胁防御 (FTD) 产品的某些设备中的软件缺陷，植入恶意软件、执行命令，并可能从受感染的设备中窃取数据。 该活动标记为 ArcaneDoor，利用思科产品中两个已记录的软件漏洞（CVE-2024-20353 和 CVE-2024-20359），但思科公司的恶意软件猎人仍然不确定攻击者是如何入侵的。 “我们尚未确定此次活动中使用的初始访问向量。迄今为止，我们尚未发现预身份验证利用的证据。”思科 Talos 表示。 “ArcaneDoor 是一项由国家背景的黑客组织针对多个供应商的外围网络设备发起攻击的最新例子。对于这些攻击者来说，外围网络设备是针对间谍活动的完美入侵点。”思科解释说，并指出，在这些设备上获得立足点可以让攻击者直接进入组织、重新路由或修改流量并监控网络通信。 思科表示，一位未透露姓名的客户于 2024 年初向其 PSIRT 团队通报了 ASA 防火墙产品的“安全问题”，启动了一项调查，最终发现了黑客活动（Talos 追踪为 UAT4356，微软威胁情报中心追踪为 STORM-1849） 。 该公司表示，该攻击者使用了定制工具，表现出对间谍活动的明确关注以及对其目标设备的深入了解，这是成熟的国家资助攻击者的标志。 思科表示，它观察到黑客团队部署了两个后门，这些后门共同用于针对目标进行恶意操作，其中包括配置修改、侦察、网络流量捕获/渗透以及潜在的横向移动。 该公司警告称：“思科与受害者和情报合作伙伴合作，发现了一个复杂的攻击链，该攻击链用于植入定制恶意软件并在一小部分客户中执行命令。” 思科研究人员表示，网络遥测和情报合作伙伴提供的信息表明，黑客有兴趣刺探微软和其他供应商的网络设备。 思科表示：“无论您的网络设备提供商是谁，现在都是确保设备正确修补、登录到中央安全位置并配置为具有强大的多因素身份验证 (MFA) 的时候了。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pU4AlNI8VyIAlfuOBs2llQ 封面来源于网络，如有侵权请联系删除

日前，代码托管网站 GitHub 被曝高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。 用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 例如上传到 GitHub 的文件 URL 地址可以表明来自微软，但事实上该项目代码中从未提及相关内容，IT 之家附上两个案例如下： https//github[]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip https//github[]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip 而且该漏洞并不需要任何复杂的专业技术，只需要上传恶意文件到指定 comment 即可。攻击者可以在任何受信任的存储库中上传恶意软件，然后通过 GitHub 链接进行分发。 而且这些链接属于 GitHub 官方 URL 域名，且后缀是“Microsoft”等官方储存库，因此用户很大几率认为该 URL 下载链接的内容是正规安全的。 GitHub 目前已经删除了部分恶意软件链接，对尚未完全修复该漏洞。对于开发者而言，现阶段没有足够有效的方法阻止这种滥用，唯一的方案就是完全禁用 comment。     转自FreeBuf，原文链接：https://www.freebuf.com/news/399336.html 封面来源于网络，如有侵权请联系删除

与俄罗斯有联系的 APT28 黑客组织将 Microsoft Windows Print Spooler 组件中的安全漏洞武器化，以传播一种名为 GooseEgg 的先前未知的自定义恶意软件。 据称，该工具最早能追溯到 2019 年 4 月，至少从 2020 年 6 月开始使用，它利用了一个现已修补的缺陷，漏洞允许权限升级（CVE-2022-38028，CVSS 评分：7.8）。 Microsoft  在 2022 年 10 月发布的更新中解决了这个问题，美国国家安全局 (NSA) 当时报告了该缺陷。 根据微软威胁情报团队的最新发现，APT28组织将该漏洞武器化，用于针对乌克兰、西欧和北美政府、非政府、教育和交通的攻击部门组织。 至少从 2020 年 6 月开始，可能最早在 2019 年 4 月，Forest Blizzard 就使用该工具（微软称之为 GooseEgg）通过修改 JavaScript 约束文件并使用系统级权限执行该文件来利用 Windows Print Spooler 服务中的 CVE-2022-38028  漏洞。 Microsoft 观察到 Forest Blizzard 使用 GooseEgg 作为针对乌克兰、西欧和北美政府、非政府组织、教育和交通部门组织等目标的攻击活动的一部分。 虽然是一个简单的启动器应用程序，但 GooseEgg 能够生成在命令行中指定的具有提升权限的其他应用程序，允许攻击者支持任何后续目标，例如远程代码执行、安装后门以及通过受感染的网络横向移动。 近几个月来，APT28 黑客还滥用了 Microsoft Outlook 中的权限提升漏洞（CVE-2023-23397，CVSS 得分：9.8）和 WinRAR 中的代码执行漏洞（CVE-2023-38831，CVSS 得分：7.8），这表明他们能够迅速将流行安全漏洞应用到他们的间谍技术中。 微软表示：“Forest Blizzard（森林暴雪）部署 GooseEgg 的目的是获得对目标系统的更高访问权限并窃取凭据和信息。” “GooseEgg 通常使用批处理脚本进行部署。” GooseEgg 二进制文件支持触发漏洞利用的命令并启动动态链接库 (DLL) 或具有提升权限的可执行文件。它还验证是否已使用 whoami 命令成功激活漏洞。 微软敦促客户尽快应用 2022 年发布的 Print Spooler 漏洞的安全更新以及 2021 年发布的 PrintNightmare 漏洞补丁。 “为了组织的安全，我们敦促尚未实施这些修复的客户尽快实施这些修复。此外，由于域控制器操作不需要打印后台处理程序服务，因此微软建议在域控制器上禁用该服务。”该公司指出。 根据 Malpedia 知识库，APT28 有一系列别名，包括：APT-C-20、ATK5、Blue Athena、Fancy Bear、FrozenLake、Fighting Ursa、Forest Blizzard、G0007、Grey-Cloud、Grizzly Steppe、Group 74、Group-4127、Iron Twilight、 Pawn Storm、SIG40、SnakeMackerel、Strontium、Sednit、Sofacy、Swallowtail、T-APT-12、TA422、TG-4127、Tsar Team、TsarTeam 和 UAC-0028。 APT28是一个网络间谍组织，据信与俄罗斯政府有联系。该组织可能自 2007 年开始运作，以政府、军队和安全组织为目标，它被描述为一种高级持续威胁。 据评估，Forest Blizzard（森林暴雪）隶属于俄罗斯联邦军事情报机构、俄罗斯联邦武装部队总参谋部主要情报局（GRU）第 26165 号部队。 该黑客组织活跃了近 15 年，其活动主要是收集情报以支持俄罗斯政府的外交政策。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/VTM6_VjyzNkRGk7gBXqXPg 封面来源于网络，如有侵权请联系删除

EDR/XDR 是当前流行的网络安全解决方案，在高级威胁检测中发挥着重要作用，监控着数以百万计的端点和服务器。然而，权力越大，责任越大，这些安全工具中的严重漏洞可被黑客武器化成“超级恶意软件“，用来部署勒索软件、窃取机密信息，而且难以被发觉和删除。 近日，安全研究员 Shmuel Cohen 在 Black Hat Asia 大会上展示了如何用逆向工程破解 Palo Alto Networks 的 Cortex XDR 安全软件，并将其转换为隐蔽持久的“超级恶意工具“，用于部署后门程序和勒索软件。这一发现凸显了 EDR/XDR 等强大安全工具的潜在风险，也为网络安全防御敲响了警钟。 XDR（Extended Detection and Response）是一种集成了威胁检测、调查和响应功能的安全解决方案，能够为企业提供全面的安全防护。然而，强大的功能也伴随着潜在的风险。Shmuel Cohen 的研究表明，EDR/XDR 本身也可能成为攻击者的目标，被用来实施恶意攻击。 Cohen 通过逆向工程和分析 Cortex XDR 软件，发现了一些可以被利用的漏洞。他利用这些漏洞，成功地绕过了 Cortex XDR 的安全机制（包括机器学习检测模块、行为模块规避、实时预防规则以及防止文件篡改的过滤驱动程序保护）。 具体来说，Cohen 做到以下几件事： 修改了 XDR 的安全规则，使其无法检测到他的恶意活动。 部署了后门程序，使他能远程控制受感染的计算机。 植入了勒索软件，向受害者索取赎金。 敏感用户账号泄露 在系统中长期驻留（无法从管理界面远程删除） 整机加密（FUD） 完整的 LSASS 内存转储 隐藏恶意活动通知 绕过 XDR 管理员密码 全面利用XDR 实施攻击 Cohen 指出，虽然 Palo Alto Networks 与其合作修复了漏洞并发布补丁程序，但其他 XDR 平台也很可能存在类似的漏洞，容易受到攻击。 Cohen 的攻击证明，即使是像 Palo Alto Cortex XDR 这样的知名安全软件也并非绝对安全。 安全专家指出，用户部署使用功能强大的安全工具时，不可避免地存在“魔鬼交易“：为了让这些安全工具完成工作，必须授予它们高级权限来访问系统中的每个角落。 例如，为了跨 IT 系统执行实时监控和威胁检测，XDR 需要尽可能高的权限，访问非常敏感的信息，而且启动时不能被轻易删除。 这意味着一旦攻击者能够利用安全软件的漏洞，就可将其变成杀伤力极大的攻击武器。因此，企业在部署 EDR/XDR 等安全解决方案时，需要提高警惕，加强安全管理，并定期进行安全评估和漏洞修复。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16198.html 封面来源于网络，如有侵权请联系删除

近日，有研究人员发现，在针对美国、英国、德国和日本系统的攻击活动中，有黑客使用了网络缓存来传播恶意软件。 研究人员认为，该活动的幕后黑手是 CoralRaider。该组织曾发起过多次窃取凭证、财务数据和社交媒体账户的攻击活动。此外该黑客还提供 LummaC2、Rhadamanthys 和 Cryptbot 信息窃取程序，这些信息窃取程序可在恶意软件即服务平台的地下论坛上获得，但需要支付订阅费。 思科 Talos 根据战术、技术和程序 (TTP) 与该黑客以往攻击的相似性，以中等可信度评估该活动是 CoralRaider 的行动。特别是通过初始攻击载体、使用中间 PowerShell 脚本进行解密和有效载荷传输，以及绕过受害者计算机上的用户访问控制 (UAC) 的特定方法等等进行了进一步评判。 CoralRaider 感染链 Cisco Talos报告称，最新的CoralRaider攻击始于受害者打开一个包含恶意Windows快捷方式文件（.LNK）的压缩包。目前还不清楚这个存档是如何发送的，但它可能是恶意电子邮件的附件，也可能是从不受信任的位置下载的，还可能是通过恶意广告推广的。 LNK 包含 PowerShell 命令，可从 Bynny 内容分发网络 (CDN) 平台上攻击者控制的子域下载并执行严重混淆的 HTML 应用程序 (HTA) 文件。 通过使用 CDN 缓存作为恶意软件交付服务器，黑客避免了请求延迟，同时也欺骗了网络防御系统。 HTA 文件包含 JavaScript，可解码并运行 PowerShell 解密器脚本，该脚本可解压第二个脚本，在临时文件夹中写入批脚本。其目的是通过修改 Windows Defender 排除项来保持不被发现。 本机二进制文件 FoDHelper.exe LoLBin 用于编辑注册表键值和绕过用户访问控制（UAC）安全功能。 完成这一步后，PowerShell 脚本会下载并执行三种信息窃取程序（Cryptbot、LummaC2 或 Rhadamanthys）中的一种，这些程序已被添加到 Defender 扫描排除的位置。   信息窃取有效载荷 Cisco Talos 称，CoralRaider 使用的是新的 LummaC2 和 Rhadamanthys 版本，它们在 2023 年底增加了捕获 RDP 登录和恢复过期谷歌账户 cookie 等强大功能。虽然 Cryptbot 的流行程度没那么高，但它仍然是一个巨大的威胁，其曾在一年内感染了 67 万台电脑。 思科 Talos 称，CoralRaider 近期发起的攻击中出现的变种是今年 1 月发布的，具有更好的混淆和反分析机制，并扩大了目标应用程序列表。 思科 Talos 称，CoralRaider 近期发起的攻击中出现的变种是今年 1 月发布的，具有更好的混淆和反分析机制，并扩大了目标应用程序列表。Cisco Talos 指出，Cryptbot 还瞄准了密码管理器的数据库以及验证器应用程序的数据，以窃取受双因素验证保护的加密货币钱包。 CoralRaider 黑客组织自 2023 年开始一直活动频繁。据悉，它的总部位于越南。在之前的一次活动中，该威胁行为者依靠 Telegram 机器人进行命令和控制（C2）窃取了受害者数据。 他们此前的攻击目标通常是亚洲和东南亚国家。不过，其最新的行动已将目标扩展到了美国、尼日利亚、巴基斯坦、厄瓜多尔、德国、埃及、英国、波兰、菲律宾、挪威、日本、叙利亚和土耳其等地。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399090.html 封面来源于网络，如有侵权请联系删除

自 2015 年以来，部分乌克兰政府网络一直受到名为 OfflRouter 的恶意软件的感染。 思科 Talos 发布的一份报告显示：其调查结果基于对 100 多个机密文档的分析，这些文档感染了 VBA 宏病毒并上传到 VirusTotal 恶意软件扫描平台。 安全研究员 Vanja Svajcer表示：“这些文件包含 VBA 代码，用于删除并运行名为‘ctrlpanel.exe’的可执行文件。” “该病毒在乌克兰仍然活跃，并导致潜在的机密文件被上传到可公开访问的文件存储库。” OfflRouter 的一个引人注目的方面是它无法通过电子邮件传播，因此需要通过其他方式传播，例如共享文档和可移动媒体，包括包含受感染文档的 USB 记忆棒。 据说这些设计选择，无论是有意还是无意，都将 OfflRouter 的传播限制在乌克兰境内和少数组织内，从而在近 10 年内逃脱了检测。 目前尚不清楚谁是该恶意软件背后的始作俑者，也没有迹象表明它是由乌克兰人开发的。 无论是谁，由于不寻常的传播机制和源代码中存在多个错误，他们都被描述为富有创造力但缺乏经验。 OfflRouter 早在 2018 年 5 月就被 MalwareHunterTeam 重点关注，斯洛伐克计算机安全事件响应小组 ( CSIRT.SK ) 于 2021 年 8 月再次重点关注 OfflRouter，介绍了上传到乌克兰国家警察网站的受感染文件（详情）。 作案手法几乎保持不变：VBA 宏嵌入的 Microsoft Word 文档会删除名为“ctrlpanel.exe”的 .NET 可执行文件，然后该文件会感染系统和其他设备上发现的具有 .DOC（而非 .DOCX）扩展名的所有文件，具有相同宏的可移动媒体。 “感染会迭代要感染的文档候选列表，并使用创新方法检查文档感染标记，以避免多次感染过程 – 该功能检查文档创建元数据，添加创建时间，并检查总和的值。” Svajcer说。 “如果总和为零，则认为该文档已经被感染。” 也就是说，只有启用 VBA 宏时，攻击才会成功。截至 2022 年 7 月，微软一直在默认情况下阻止从互联网下载的 Office 文档中的宏，促使攻击者寻求其他初始访问途径。 该恶意软件的另一个关键功能是修改 Windows 注册表，以确保每次启动系统时可执行文件都会运行。 “该病毒仅针对文件扩展名为 .DOC（OLE2 文档的默认扩展名）的文档，并且不会尝试感染其他文件扩展名，” Svajcer 解释道。“较新的 Word 版本的默认 Word 文档文件扩展名是 .DOCX，因此很少有文档会因此受到感染。” 那不是全部，Ctrlpanel.exe 还能够搜索可移动驱动器上存在的潜在插件（扩展名为 .ORP）并在计算机上执行它们，这意味着恶意软件期望通过 USB 驱动器或 CD-ROM 传递插件。 相反，如果插件已经存在于主机上，OfflRouter 会负责对它们进行编码，将文件复制到附加的可移动媒体的根文件夹（文件扩展名为 .ORP），并对其进行操作以使其隐藏，以便它们将它们插入其他设备时，通过文件资源管理器不可见。 也就是说，一个主要的未知数是初始向量是文档还是可执行模块 ctrlpanel.exe。 “双模块病毒的优点是它可以作为独立的可执行文件或受感染的文档进行传播。”Svajcer 说。 “最初作为可执行文件传播可能是有利的，因为该模块可以独立运行并设置注册表项以允许执行 VBA 代码并将默认保存的文件格式更改为 .DOC，然后再感染文档。这样，感染可能有点隐蔽。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/yqnfg5lJ-ScI0HzPmGWlMw 封面来源于网络，如有侵权请联系删除