早在 5 月,微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds *** 攻击事件负责,并同企业、 *** 和执法机构达成了合作,以遏制此类 *** 攻击的负面影响。早些时候,微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送 *** 。可知其用于造成破坏,并获得“HTML Smuggling”系统的访问权。
HTML Smuggling 技术概览(图自:Microsoft Security)
微软表示,HTML Smuggling 是一种利用合法 HTML5 和 JavaScript 功能、以高度规避安全系统检测的恶意软件传送技术。
钓鱼邮件示例
近年来,这项技术已被越来越多地用于部署网银恶意软件、远程访问木马(RAT)、以及其它有针对性的钓鱼邮件活动。
Mekotio 活动中曝光的威胁行为
其实早在今年 5 月,这项技术就已经在 NOBELIUM 发起的钓鱼邮件活动中被观察到,最近的案例包括网银木马 Mekotio、AsyncRAT / NJRAT 和 Trickbot(控制肉鸡并传播勒索软件负载和其它威胁)。
HTML Smuggling 网页代码示例
顾名思义,HTML Smuggling 允许攻击者在特制的 HTML 附件或网页中“夹带私货”。当目标用户在浏览器中打开时,这些恶意编码脚本就会在不知不觉中被解码,进而在受害者的设备上组装出有效负载。
被 JavaScript 加花的 ZIP 文件
换言之,攻击者没有直接通过 *** 来传递可执行文件,而是绕过了防火墙、再在暗地里重新构建恶意软件。举个例子,攻击者会在电子邮件消息中附上 HTML Smuggling(或重定向)页面链接,然后提示自动下载序列。
钓鱼页面
为帮助用户辨别愈演愈烈的 HTML Smuggling 攻击,微软在文中给出了一些演示实例,告诫银行与个人采取必要的防御措施,同时不忘推销一下自家的 Microsoft 365 安全解决方案。
在浏览器中构造的、带有密码保护下载器的 JavaScript 实例
据悉,Microsoft 使用多层 *** 来抵御 *** 威胁,通过与一系列其它终端防御措施协同合作,以阻止在攻击链的更高层执行并减轻来自更复杂攻击的后果。
Trickbot 钓鱼活动的 HTML Smuggling 攻击示例
最后,微软强烈建议广大客户养成良好的习惯,抽空了解各类恶意软件感染案例,同时将非必要的本地 / 管理员权限调到更低。
(消息及封面来源:cnBeta)
Hackernews 编译,转载请注明出处: 一个名为“RED-LILI”的攻击者发布了近800个恶意模块,与正在进行的针对 NPM 软件包库的大规模供应链攻击活动联系紧密。 以色列安全公司 Checkmarx 说: “通常,攻击者使用一个匿名的一次性 NPM 帐户发动攻击。”“这一次,攻击...
文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。 它被命名为 CVE-2022-290...
据Techspot报道,根据卡巴斯基的一项调查,30%的人认为使用跟踪软件来监视他们的伴侣是正常的。跟踪软件是一类允许一个人监视另一个人的软件,通常是在目标的移动设备上安装该软件,而他们并不知情。这类应用程序通常伪装成家长控制应用程序或防盗解决方案,可以监控互联网活动,跟踪用户的行踪,录制音频和视频...
白俄罗斯政府被指控至少对欧洲的Ghostwriters攻击事件负有部分责任。虽然网络安全公司在涉及威胁集团的归属时通常会谨慎行事,但Mandiant表示,它有高度的信心认为Ghostwriter–同时跟UNC115活动也有关联–是一个可能代表该国政府的网络犯罪组织。 今年早些时候,在一架商业飞机被...
一场在全球范围性欺诈行为被发现,它利用151个恶意Android应用程序,下载量达1050万次,在未经用户同意和知情的情况下将用户拉入付费订阅服务。 名为“Ultimams”的付费短信诈骗活动据信于2021年5月开始,涉及的应用程序涵盖范围广泛,包括输入法、二维码扫描仪、视频和照片编辑器、垃圾邮件拦...
美国参议院议员开始注意到关于黑客伪造”紧急数据请求”以获取苹果等科技公司数据的报道,其中一位开始调查隐私问题。3月29日,一份报告显示,黑客正在利用其所俘获的政府和警察电子邮件账户,使他们能够假装成执法官员。通过使用电子邮件账户和连接服务,黑客能够在某些情况下向科技公司索取数据。 具体来说,黑客们...