强大的Zyklon Malware利用MS办公室漏洞
正敦促企业确保Microsoft Office修补程序是最新的,因为已知的漏洞用于扩展强大的Zyklon恶意软件。
自2016年以来一直在使用的恶意软件,旨在推出分布式拒绝服务(DDOS)攻击,日志击键,窃取密码和日常加密电机。
Zyklon也能够执行附加插件,具有更新和删除自身的功能,并且可以通过洋葱路由器(Tor)网络通过其命令和控制(C2)服务器进行通信,如果CONPD执行此操作。
恶意软件“自动检测和解密的许可证/串行键超过200个流行的软件,包括Office,SQL Server,Adobe和Nero”,并使攻击者劫持比特币地址剪贴板,以用控制的地址替换用户的地址由网络罪犯。
根据Fireeye的研究人员,通过垃圾邮件发送了最新的Zyklon广告系列正在通过垃圾邮件发送,该垃圾邮件通常会使用包含恶意文件的附加文件。
这项活动的主要行业是电信,保险和金融服务,但研究人员警告说,所有部门的组织都应该得到警觉。“威胁演员很可能最终将超出他们目前的目标范围,”他们在Ablog Post中说。
恶意.Docfile在Microsoft Office中至少熟知三个已知的漏洞,并且在易受攻击的环境中执行,基于PowerShell的有效载荷接管。研究人员表示,PowerShell脚本负责从C2服务器下载最终有效载荷以执行它。
由of.doc文件arecve-2017-8759开发的三个漏洞,CVE-2017-11882以及脑动力学数据交换机制中的漏洞。
“这些类型的威胁表明为什么确保所有软件完全更新非常重要,”Fireeye研究人员表示。
根据安全事件响应终端的首席执行官Michael Patterson的说法,这种恶意软件感染支持保持通过自动更新修补的系统的紧迫性。
“虽然系统可能会受到Zyklon的保护,但是恶意软件的变体在零日时尚不断发布,这可能导致昂贵的清理,”他说。
作为一个积极的措施,Patterson表示,使用Microsoft产品部署的公司应收集来自所有路由器和虚拟服务器的网络流量,以便在违规事件中执行网络流量分析。
“快速检测和定位违规事件的来源是至关重要的。例如,通过查看交通流量,可以轻松找到并停止在网络上具有不寻常的Tor流量。他说,使用流量分析和添加上下文可以导致更快的补救措施,并走长途措施,并走长途措施,以帮助保持公司安全,“他说。
未能保持软件补丁更新,使组织不必要地威胁,但最近由安全公司Alienvault的研究显示,一些漏洞已经没有被删除了几年。
例如,CVE-2010-2568WAS排名为2017年Alienvault'open威胁Exchange(OTX)平台中的最引用的漏毒率来自供应商,但在2012年Microsoft修补了Windows公共控件中的远程代码执行漏洞。
Corero Network Security的总监Sean Newman表示,攻击者在Microsoft Office产品中使用漏洞安装恶意软件,可以远程控制,以提供这些攻击,这对许多人来说并不是一个惊喜。
“然而,从这种受损的设备的这种军队可能的灵活性和攻击量表应该是一个重要的问题,”他说,特别是鉴于加密货币滥用的可能性或产生大规模DDOS攻击的能力。
纽曼说:“这些成绩有关网络罪犯的巨大收入产生潜力,为网络犯罪分子的牺牲品为代价牺牲了那些试图受益的人。”
“确保您的软件被修补可以帮助您保持对数据或加密货币的攻击,但是确保您可以从此恶意软件生成的外部DDOS攻击安全的唯一方法是确保您拥有最新的实时保护,“ 他说。