外媒 2 月 1 日消息，韩国互联网安全局（KISA）于近期发布警报称朝鲜黑客已利用 Adobe Flash Player 中的 “ 零日” 漏洞在野外开展攻击活动。据相关研究人员介绍，黑客组织通过诱骗用户打开一个分发恶意 Flash 文件的 Microsoft Office 文档、网页或者垃圾电子邮件来对该漏洞加以利用，从而达到操控用户系统的目的。 韩国计算机应急响应小组（KR-CERT）透露，特制的 Flash 文件中存有恶意代码。 目前看来，该恶意代码很可能嵌入在 Word 文档的 Flash SWF 文件中。 韩国安全公司 Hauri Inc.的研究员 Simon Choi 表示，朝鲜黑客自 2017 年 11 月中旬开始利用 “ 零日”，其主要目的可能是为了攻击韩国用户 。针对上述情况，Simon Choi 建议用户在 Adobe 发布补丁之前禁用或卸载 Adobe Flash Player。 Adobe 方面目前已经得到了报告，并计划在 2 月初发布新版本来解决该漏洞。Adobe 表示从 Flash Player  版本 27 开始，管理员可以设置成用户播放 SWF 内容之前收到提示信息。当然，管理员也可以开启 Office 保护视图，以只读模式打开可能不安全的文件。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，FireEye 于近期发现了一种新的攻击手法——利用三个 2017 年披露的 Microsoft Office  漏洞进行恶意软件 Zyklon 的传播活动 。据悉，该活动主要针对电信、保险和金融服务等公司，试图收集其密码和加密货币钱包数据，并为未来可能发生的 DDoS （分布式拒绝服务） 攻击收集目标列表。 功能强大的 Zyklon 恶意软件 Zyklon 是一款 HTTP 僵尸网络恶意软件 ，自 2016  年就开始出现，通过 Tor  匿名网络与其 C＆C （命令和控制）服务器进行通信，从而允许攻击者远程窃取密钥和敏感数据，比如存储在 web 浏览器和电子邮件客户端的密码。此外，根据 FireEye 最近发布的报告，Zyklon 还是一个公开的全功能后门，能够进行键盘记录、密码采集、下载和执行额外的插件，包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。 而在此次攻击活动中，背后的攻击者利用  Microsoft Office 的三个漏洞通过鱼叉式网络钓鱼电子邮件传播 Zyklon 恶意软件，这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本，并从 C＆C 服务器下载最终 playload。这样一来， 用户的计算机设备就会成功受到感染。 以下为恶意软件利用的三个 Microsoft Office 漏洞： 第一个漏洞：CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序，处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象，该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。 第二个漏洞：CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误，微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似，打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。 第三个漏洞：在于动态数据交换（ DDE ），但微软不承认该漏洞的存在，而是坚称 DDE 只是一个产品功能，是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而，在过去的一年中，攻击者利用 DDE 在恶意活动取得了巨大的成功，比如在无需启用宏或内存损坏情况下在目标设备上执行代码。 FireEye 表示，目前越来越多的攻击者利用恶意软件来执行不同的任务，并且很可能会超出当前攻击目标的范围，因此对于所有行业来说保持高度警惕性变得尤为重要。 消息来源：threatpost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 11 月 26 日消息，网络安全公司 Reversing Lab 研究人员最新发现黑客组织 Cobalt 正通过微软近期披露的 Office 漏洞（CVE-2017-11882）针对全球银行等金融机构展开网络钓鱼攻击。 该漏洞由 Embedi 研究人员率先在 Microsoft Office 组件的 EQNEDT32.EXE 模块（负责文件插入与公式编辑）中发现，是一处内存损害问题，允许攻击者利用当前登录的用户身份执行任意代码。该漏洞影响了过去 17 年来发布的所有 Microsoft Office 版本，其中包括新版 Microsoft Office 365。此外，它还可能触发所有版本的 Windows 操作系统。值得庆幸的是，CVE-2017-11882 的补丁已在本月例行安全更新中发布。 研究显示，黑客组织 Cobalt 主要在通过垃圾邮件肆意分发 RTF 恶意文档时感染目标用户系统。这一感染流程分为多个阶段： ○ 首先，用户打开 RTF 文档后系统将会自动利用 MS 方程触发 CVE-2017-11882 漏洞； ○ 随后，黑客将通过调用 Mshta.exe 文件获取并执行恶意脚本代码； ○ 最终，该脚本在运行时将会嵌入本地 playload，从而根据设备体系结构（32 位或 64 位）下载 DLL 恶意文件，以便感染目标系统。 需要留意的是，这并非 Cobalt 第一次利用微软漏洞展开攻击。知情人士透露，该黑客组织此前就曾利用微软 RCE 漏洞（ CVE-2017-8759 ）针对欧洲、美洲、俄罗斯等银行 ATM 设备以及金融机构开展攻击活动。虽然该漏洞目前已被修复，但并不能完全避免漏洞攻击的风险，因此研究人员提醒各企业管理人员在更新系统的同时，禁用 Eqnedt 模块是最保险的方法。 更多内容： ○  微软 Office 漏洞（CVE-2017-11882）概念验证（PoC）：https://github.com/embedi/CVE-2017-11882 ○  微软 Office 漏洞（CVE-2017-11882）补丁地址：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 ○  为保护系统，管理员应该需要应用最新补丁包括： KB2553204，KB3162047，KB4011276 和 KB4011262。 消息来源：securityaffairs.co，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。