内存安全周报第141期 | 警惕AitM网络钓鱼和BEC攻击
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、警惕AitM网络钓鱼和BEC攻击 (6.13)
最近,微软发现了一项Adversary-in-the-Middle (AitM)网络钓鱼和BEC攻击活动,攻击对象多为银行和金融机构。该攻击始于一家受到攻击者入侵的可靠供应商,随后发展成一系列的AitM和BEC攻击。该攻击活动旨在利用供应商和其他合作伙伴之间的信息进行金融欺诈。
详细情况
攻击者使用了Storm-1167威胁组织开发的AiTM网络钓鱼工具包来发起AitM和BEC攻击。
攻击方式
1、攻击始于一封来自可信供应商的钓鱼邮件,邮件中包含一个七位数代码。
2、邮件正文附有一个链接,用于查看或下载传真文件,该链接指向一个在Canva上托管的恶意URL。(托管指该URL在Canva平台上进行储存并提供服务)
3、受害者只要点击该链接,页面会跳转到一个伪造的微软登录页面,该页面托管在腾讯云平台上。
4、受害者输入密码后,攻击者会使用其认证信息发起会话。
值得关注的是,该钓鱼工具包使攻击者能够在第二阶段的钓鱼攻击活动中向目标联系人发送16,000多封电子邮件。攻击者还添加了短信的双因素验证方法(2FA),以便窃取认证信息并在登录目标账户时不引起任何注意。
另外,微软此前发出警告,BEC攻击激增,网络犯罪分子采用的欺骗策略层出不穷。在其中一起网络攻击中,骗子被发现购买来自住宅IP服务的IP地址,这为攻击者提供了访问受害者账户和获取其他认证信息的机会。在另一起攻击中,骗子使用了类似BulletProftLink的钓鱼服务平台来托管钓鱼攻击和BEC网站。
应对建议
1、微软建议受影响用户重置密码。
2、企业应采取严格的身份验证程序,并配置邮件系统以标记来源不明的邮件。
3、企业员工还应接受培训,以识别网络欺诈和恶意邮件,从而防止BEC攻击。
参考链接
二、Microsoft修补了94个漏洞 (6.14)
近日,微软修补了94个漏洞,其中有4个漏洞在公共漏洞评分系统中评估分数大于9,目前所有漏洞均未显示被利用。
详细情况
Windows Pragmatic General Multicast (PGM)存在三个关键漏洞:CVE-2023-32015、CVE-2023-32014和CVE-2023-29363,且漏洞评分均为9.8。
微软发出警告称,以上三个漏洞都可以通过远程代码执行,即Windows消息队列服务在PGM服务器环境中运行时,攻击者可以通过网络发送特制文件来实现远程代码执行并尝试触发恶意代码。
另一个评分较高的漏洞是CVE-2023-29357,这是一个SharePoint漏洞,可以使攻击者成功获得管理员权限。
微软指出,攻击者可以通过伪造JWT身份验证令牌来进行网络攻击,从而绕过身份验证,获取用户权限。
此外,有研究人员指出,尽管两个微软Exchange的补丁在公共漏洞系统的评分低于高风险级别,但仍值得关注。其中CVE-2023-28310允许同一内部网络中的认证攻击者通过PowerShell远程会话,实现远程代码执行,而CVE-2023-32031则允许经过身份验证的用户,通过网络调用试图在服务器账户的权限范围内触发恶意代码。
参考链接
