onsdag 22 maj 2024

Leverans av skadlig programvara via molntjÀnster utnyttjar Unicode trick för att lura anvÀndare

 

Leverans av skadlig programva

En ny attackkampanj kallad CLOUD#REVERSER har observerats som utnyttjar legitima molnlagringstjÀnster som Google Drive och Dropbox för att iscensÀtta skadliga nyttolaster.

"VBScript och PowerShell skripten i CLOUD#REVERSER involverar i sig kommando och kontrollliknande aktiviteter genom att anvÀnda Google Drive och Dropbox som iscensÀttning för plattformar för att hantera filuppladdningar och nedladdningar," sÀger Securonix forskarna Den Iuzvyk, Tim Peck och Oleg Kolesnikov i en rapport som delas med The Hacker News.

"Skripten Àr designade för att hÀmta filer som matchar specifika mönster, vilket tyder pÄ att de vÀntar pÄ kommandon eller skript placerade i Google Drive eller Dropbox."

UtgÄngspunkten för attackkedjan Àr ett nÀtfiske mail som har en ZIP arkivfil, som innehÄller en körbar fil som maskerar sig som en Microsoft Excel fil.

I en intressant vÀndning anvÀnder filnamnet det dolda höger-till-vÀnster överstyrningen (RLO) Unicode tecknet (U+202E) för att vÀnda ordningen pÄ tecknen som kommer efter det tecknet i strÀngen.

Som ett resultat av detta visas filnamnet "RFQ-101432620247fl*U+202E*xslx.exe" för offret som "RFQ-101432620247flexe.xlsx", vilket lurar dem att tro att de öppnar ett Excel dokument.


Den körbara filen Àr utformad för att slÀppa totalt Ätta nyttolaster, inklusive en excelfil ("20240416.xlsx") och ett kraftigt obfuskerat Visual Basic (VB) skript ("3156.vbs") som Àr ansvarigt för att visa XLSX filen till anvÀndaren att underhÄlla knep och starta tvÄ andra skript som heter "i4703.vbs" och "i6050.vbs."

Leverans av skadlig programvara via molntjÀnster

BÄda skripten anvÀnds för att stÀlla in bestÀndighet pÄ Windows-vÀrden med hjÀlp av en schemalagd uppgift genom att maskera dem som en uppdateringsuppgift för webblÀsaren Google Chrome för att undvika att höja röda flaggor. Som sagt, de schemalagda uppgifterna Àr ordnade för att köra tvÄ unika VB skript som kallas "97468.tmp" och "68904.tmp" varje minut.

Vart och ett av dessa skript anvÀnds i sin tur för att köra tvÄ olika PowerShell skript "Tmp912.tmp" och "Tmp703.tmp", som anvÀnds för att ansluta till ett aktörskontrollerat Dropbox- och Google Drive konto och ladda ner ytterligare tvÄ PowerShell skript som refereras till. till som "tmpdbx.ps1" och "zz.ps1"

VB skripten konfigureras sedan för att köra de nyligen nedladdade PowerShell skripten och hÀmta fler filer frÄn molntjÀnsterna, inklusive binÀrfiler som kan köras beroende pÄ systempolicyerna.

"Det sena PowerShell skriptet zz.ps1 har funktionalitet för att ladda ner filer frÄn Google Drive baserat pÄ specifika kriterier och spara dem till en specificerad sökvÀg pÄ det lokala systemet inuti ProgramData katalogen", sÀger forskarna.

Det faktum att bÄda PowerShell skripten laddas ner i farten innebÀr att de kan modifieras av hotaktörerna efter behag för att specificera vilka filer som kan laddas ner och köras pÄ den komprometterade vÀrden.

OcksÄ nedladdat via 68904.tmp finns ett annat PowerShell skript som kan hÀmta en komprimerad binÀr och köra den direkt frÄn minnet för att upprÀtthÄlla en nÀtverksanslutning till angriparens kommando-och-kontroll-server (C2).

Det Texas-baserade cybersÀkerhetsföretaget sa till The Hacker News att det inte kan ge information om mÄlen och omfattningen av kampanjen pÄ grund av att utredningen fortfarande pÄgÄr.

Utvecklingen Àr Äterigen ett tecken pÄ att hotaktörer alltmer missbrukar legitima tjÀnster till sin fördel och flyger under radarn.

"Det hÀr tillvÀgagÄngssÀttet följer en röd trÄd dÀr hotaktörer lyckas infektera och kvarstÄ pÄ komprometterade system samtidigt som de bibehÄller att smÀlta in i vanligt bakgrundsnÀtverksbrus," sÀger forskarna.

"Genom att bÀdda in skadliga skript i till synes ofarliga molnplattformar sÀkerstÀller skadlig programvara inte bara varaktig Ätkomst till riktade miljöer utan anvÀnder ocksÄ dessa plattformar som kanaler för dataexfiltrering och kommandoexekvering."
Av: Den Inga kommentarer:
Etikett:

onsdag 15 maj 2024

Microsoft slÀpper sÀkerhetsuppdateringar för Windows för maj 2024


 Microsoft har slĂ€ppt sĂ€kerhetsuppdateringar för alla versioner som har stöd för Microsoft Windows operativsystem och andra företagsprodukter.

Denna översikt över sÀkerhetsuppdateringar ger systemadministratörer och hemanvÀndare information om de slÀppta korrigeringarna och Àndringarna. Den belyser information om var och en av de Windows versioner som stöds, listar kÀnda problem och ger vÀgledning om att ladda ner och installera uppdateringarna.

Microsoft Windows sÀkerhetsuppdateringar: maj 2024

Du kan ladda ner följande Excel kalkylblad för att fÄ en lista över slÀppta uppdateringar. Klicka pÄ följande lÀnk för att ladda ner arkivet till den lokala enheten: Microsoft Windows sÀkerhetsuppdateringar maj 2024

Sammanfattning

  • Microsoft slĂ€ppte sĂ€kerhetskorrigeringar för 60 unika sĂ„rbarheter.
  • Ingen kritiskt vĂ€rderade sĂ€kerhetsproblem.
  • Windows klienter med problem Ă€r: Windows 10 version 21H2 och 22H2, Windows 11 version 22H2 och 23H2.
  • Windows Server klienter med problem: Windows Server 2008 och Windows Server 2022

Produktöversikt

Varje version av Windows som stöds och deras kritiska sÄrbarheter listas nedan.

  • Windows 10 version 22H2: 42 sĂ„rbarheter, 0 kritiska, 41 viktiga och 1 mĂ„ttlig
  • Windows 11 version 22H2: 40 sĂ„rbarheter, 0 kritiska, 39 viktiga och 1 mĂ„ttlig
  • Windows 11 version 23H2: 40 sĂ„rbarheter, 0 kritiska, 39 viktiga och 1 mĂ„ttlig

Windows Server produkter

  • Windows Server 2008 R2 (endast utökat stöd): 22 sĂ„rbarheter: 0 kritiska, 21 viktiga och 1 mĂ„ttlig
  • Windows Server 2012 R2 (endast utökat stöd): sĂ„rbarheter: kritiska och viktiga
  • okĂ€nd
  • Windows Server 2016: 29 sĂ„rbarheter: 0 kritiska, 28 viktiga och 1 mĂ„ttlig
  • Windows Server 2019: 44 sĂ„rbarheter: 0 kritiska, 43 viktiga och 1 mĂ„ttlig
  • Windows Server 2022: 45 sĂ„rbarheter: 0 kritiska, 44 viktiga och 1 mĂ„ttlig

Windows sÀkerhetsuppdateringar

Windows 10 version 22H2

Uppdateringar och förbÀttringar:

  • LĂ€gger till Microsoft kontorelaterade meddelanden i InstĂ€llningar > Hem.
  • FörbĂ€ttrar tillförlitligheten och kvaliteten pĂ„ widgets pĂ„ lĂ„sskĂ€rmen.
  • FörbĂ€ttrar tillförlitligheten för Windows Search.
  • Uppdateringsstorleken minskas med cirka 20 % tack vare ny teknik.
  • ÅtgĂ€rdar ett problem som kan pĂ„verka scenarier i Virtual Secure Mode (VSM).
  • Fixat ett problem som kan pĂ„verka domĂ€nkontrollanter.
  • Fixade ett stabilitetsproblem som pĂ„verkade vissa trĂ„dlösa hörlurar.
  • SĂ€kerhetsuppdateringar.
  • Plus alla Ă€ndringar av uppdateringen för förhandsvisningen den 24 april.

Windows 11 version 22H2 och 23H2

Supportsida: KB5037771

Uppdateringar och förbÀttringar:

  • Lade till programkampanjer i avsnittet Rekommenderade pĂ„ startmenyn.
  • ÅtgĂ€rdar ett lĂ„ngsamt filöverföringsproblem som pĂ„verkar Server Message Block (SMB) klienter.
  • FörbĂ€ttrar kvaliteten pĂ„ widgetikonen i aktivitetsfĂ€ltet.
  • FörbĂ€ttrar tillförlitligheten för widgets pĂ„ lĂ„sskĂ€rmen.
  • ÅtgĂ€rdar ett problem som kan pĂ„verka scenarier i Virtual Secure Mode (VSM).
  • Fixat ett problem som kan pĂ„verka domĂ€nkontrollanter.
  • SĂ€kerhetsuppdateringar.
  • Plus alla Ă€ndringar av förhandsgranskningsuppdateringen frĂ„n april 2024.

Windows sÀkerhetsuppdateringar

2024-05 Kumulativ uppdatering för Windows 10 version 1507 (KB5037788)

2024-05 Kumulativ uppdatering för Microsofts serveroperativsystem version 21H2 för x64-baserade system (KB5037782)

2024-05 Kumulativ uppdatering för Windows 10 version 21H2 och Windows 10 version 22H2 (KB5037768)

2024-05 dynamisk kumulativ uppdatering för Windows 11 (KB5037770)

Server

2024-05 Security Monthly Quality Collup för Windows Server 2008 (KB5037800)

2024-05 Kvalitetsuppdatering endast för sÀkerhet för Windows Server 2008 (KB5037836)

2024-05 Security Monthly Quality Collup för Windows Embedded Standard 7 och Windows Server 2008 R2 (KB5037780)

2024-05 Kvalitetsuppdatering endast för sÀkerhet för Windows Embedded Standard 7 och Windows Server 2008 R2 (KB5037803)

2024-05 Security Monthly Quality Samlad för Windows Server 2012 (KB5037778)

2024-05 Security Monthly Quality Samlad för Windows Server 2012 R2 (KB5037823)

2024-05 Kumulativ uppdatering för Windows Server 2016 och Windows 10 version 1607 (KB5037763)

2024-05 Kumulativ uppdatering för Windows Server 2019 och Windows 10 version 1809 (KB5037765)

2024-05 Kumulativ sÀkerhet Hotpatch för Azure Stack HCI, version 21H2 och Windows Server 2022 Datacenter: Azure Edition för x64-baserade system (KB5037848)

Icke sÀkerhetsuppdateringar

2024-05 Uppdatering för Windows 10 version 22H2, Windows 10 version 21H2, Windows 10 version 21H1 och Windows 10 version 20H2 (KB5001716)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.8.1 för Windows 10 version 22H2 och Windows 10 version 21H2 (KB5037587)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.8.1 för Windows 11 (KB5037591)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.8 för Windows 10 version 22H2 och Windows 10 version 21H2 (KB5037592)

2024-05 Kumulativ uppdatering för .NET Framework 4.8 för Windows Server 2016 och Windows 10 version 1607 (KB5037926)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.8.1 för Microsofts serveroperativsystem, version 22H2 för x64 (KB5037929)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.8 för Microsofts serveroperativsystem, version 22H2 för x64 (KB5037930)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.8.1 för Windows 11 (KB5037931)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.7.2 för Windows Server 2019 och Windows 10 version 1809 (KB5037932)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.8 för Windows Server 2019 och Windows 10 version 1809 (KB5037933)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.8 för Windows 11 (KB5037934)

2024-05 Dynamisk uppdatering för Microsofts serveroperativsystem för x64-baserade system (KB5037958)

2024-05 Kumulativ uppdatering för .NET Framework 3.5 och 4.8.1 för Microsofts serveroperativsystem, version 23H2 för x64 (KB5038075)

2024-05 Kumulativ uppdatering för .NET Framework 3.5, 4.8 och 4.8.1 för Microsofts serveroperativsystem version 21H2 för x64 (KB5038282)

2024-05 Kumulativ uppdatering för .NET Framework 3.5, 4.7.2 och 4.8 för Windows Server 2019 och Windows 10 version 1809 (KB5038283)

2024-05 Kumulativ uppdatering för .NET Framework 3.5, 4.8 och 4.8.1 för Windows 10 version 21H2 (KB5038284)

2024-05 Kumulativ uppdatering för .NET Framework 3.5, 4.8 och 4.8.1 för Windows 10 version 22H2 (KB5038285)

2024-05 Kumulativ uppdatering för .NET Framework 3.5, 4.8 och 4.8.1 för Windows 11 (KB5038286)

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 4.8 för Windows Embedded Standard 7 och Windows Server 2008 R2 (KB5037916)

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 4.6.2 för Windows Embedded Standard 7, Windows Server 2008 R2 och Windows Server 2008 (KB5037917)

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 4.8 för Windows Server 2012 för x64 (KB5037922)

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 4.8 för Windows Server 2012 R2 för x64 (KB5037923)

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 4.6.2, 4.7, 4.7.1, 4.7.2 för Windows Server 2012 för x64 (KB5037924)

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 4.6.2, 4.7, 4.7.1, 4.7.2 för Windows Server 2012 R2 för x64 (KB5037925)

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 3.5.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 för Windows Embedded Standard 7 och Windows Server 2008 R2 (KB5038288)

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 3.5, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 för Windows Server 2012 (KB5038289)

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 3.5, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 för Windows Server 2012 R2 (KB5038290)m

2024-05 Samlad sÀkerhet och kvalitet för .NET Framework 2.0, 3.0, 3.5 SP1, 4.6.2 för Windows Server 2008 (KB5038291)

kÀnda problem

Windows 10 version 22H2

Beskrivning: Efter installationen av uppdateringen kan anvÀndare kanske inte Àndra sin profilbild pÄ sitt konto.

Lösning: ingen tillgÀnglig för tillfÀllet.

Beskrivning: Enheter som anvÀnder Microsoft Connected Cache (MCC) kan ladda ner uppdateringar eller appar frÄn det offentliga Internet istÀllet, om de anvÀnder DHCP Option 235 och har en nyligen installerad uppdatering.

Lösning: Konfigurera Microsoft Connected Cache-slutpunkt i DOCacheHost-policyn som anges i Cache-vÀrdnamn. Dessutom mÄste DOCacheHostSource stÀllas in pÄ 1 eller tas bort enligt vad som anges i Cache-vÀrdnamnskÀllan. Som standard har policyerna DOCacheHost och DOCacheHostSource inget vÀrde.

(GAMMAL) Beskrivning: Skrivbordsikoner kan flyttas ovÀntat mellan bildskÀrmar nÀr Copilot anvÀnds pÄ mer Àn en bildskÀrm. AnvÀndare kan ocksÄ uppleva "andra anpassningsproblem" enligt Microsoft.

Lösning: ingen. Microsoft kan inaktivera Copilot pÄ enheter med flera bildskÀrmar.

(GAMMAL) Beskrivning: Copilot i Windows stöds inte om aktivitetsfÀltet Àr placerat vertikalt pÄ höger eller vÀnster sida av skÀrmen.

Lösning: justera aktivitetsfÀltet horisontellt, antingen högst upp eller lÀngst ned pÄ skÀrmen.

Windows 11 version 22H2 och 23H2

Beskrivning: Efter installationen av uppdateringen kan anvÀndare kanske inte Àndra sin profilbild pÄ sitt konto.

Lösning: ingen tillgÀnglig för tillfÀllet.

SÀkerhetsrÄdgivning och uppdateringar

ADV 990001 -- Senaste uppdateringar av servicestapeln

Microsoft Office uppdateringar

Du hittar Office uppdateringsinformation hÀr.

Hur man laddar ner och installerar sÀkerhetsuppdateringarna för maj 2024


De flesta icke hanterade Windows enheter fÄr sÀkerhetsuppdateringar automatiskt. Administratörer kan pÄskynda installationen pÄ följande sÀtt:

  • VĂ€lj Start, skriv Windows Update och ladda Windows Update objektet som visas.
  • VĂ€lj Sök efter uppdateringar för att köra en manuell sökning efter uppdateringar.

Ladda ner direktuppdateringar

Nedan finns resurssidor med direkta nedladdningslÀnkar, om du föredrar att ladda ner uppdateringarna för att installera dem manuellt.

Windows 10 version 22H2

  • KB5037768 -- 2024-5 kumulativ uppdatering för Windows 10 version 21H2

Windows 11 version 22H2

  • KB5037771 -- 2024-5 Kumulativ uppdatering för Windows 11 version 22H2

Windows 11 version 23H2

KB5037771 -- 2024-5 Kumulativ uppdatering för Windows 11 version 23H2

Additional resources

Av: Den Inga kommentarer:
Etikett:

fredag 3 maj 2024

Hackare anvÀnder alltmer Microsoft Graph API för skadlig programvara

 

Hackare anvÀnder alltmer Microsoft Graph API för skadlig programvara

Hotaktörer har i allt större utstrÀckning bevÀpnat sig med Microsoft Graph API för skadliga syften i syfte för att undvika upptÀckt.

Detta görs för att "underlÀtta kommunikation med kommandon och kontroll (C&C) infrastruktur som Àr vÀrd pÄ Microsofts molntjÀnster", sÀger Symantec Threat Hunter Team, en del av Broadcom, i en rapport som delas med The Hacker News.

Sedan januari 2022 har flera nationalstatsanpassade hackningsgrupper observerats med hjÀlp av Microsoft Graph API för C&C. Detta inkluderar hotaktörer spÄrade som APT28, REF2924, Red Stinger, Flea, APT29 och OilRig.

Den första kÀnda instansen av Microsoft Graph API innan dess bredare antagande gÄr tillbaka till juni 2021 i samband med ett aktivitetskluster kallat Harvester som hittades med ett anpassat implantat kÀnt som Graphon som anvÀnde API för att kommunicera med Microsofts infrastruktur.

Symantec sÀger att det nyligen upptÀckte anvÀndningen av samma teknik mot en icke namngiven organisation i Ukraina, som involverade utplaceringen av en tidigare odokumenterad skadlig programvara som heter BirdyClient (aka OneDriveBirdyClient).

En DLL-fil med namnet "vxdiff.dll", vilket Àr samma som en legitim DLL associerad med en applikation som heter Apoint ("apoint.exe"), den Àr utformad för att ansluta till Microsoft Graph API och anvÀnda OneDrive som en C&C-server för att ladda upp och ladda ner filer frÄn den.

Den exakta distributionsmetoden för DLL filen och om den innebÀr sidladdning av DLL, Àr för nÀrvarande okÀnd. Det finns inte heller nÄgon klarhet i vilka hotaktörerna Àr eller vilka deras slutliga mÄl Àr.

"Angripares kommunikation med C&C servrar kan ofta lyfta röda flaggor i riktade organisationer", sÀger Symantec. "Graph API:s popularitet bland angripare kan drivas av tron att trafik till kÀnda enheter, som ofta anvÀnda molntjÀnster, Àr mindre benÀgna att vÀcka misstankar.

"Förutom att det verkar oansenligt Àr det ocksÄ en billig och sÀker kÀlla till infrastruktur för angripare eftersom grundlÀggande konton för tjÀnster som OneDrive Àr gratis."

Utvecklingen kommer nĂ€r Permiso avslöjade hur cloud administration commands kunde utnyttjas av motstĂ„ndare med privilegierad Ă„tkomst för att utföra kommandon pĂ„ virtuella maskiner.

"De flesta gÄnger utnyttjar angripare pÄlitliga relationer för att utföra kommandon i anslutna datorinstanser (VM) eller hybridmiljöer genom att Àventyra externa externa leverantörer eller entreprenörer som har privilegierad tillgÄng att hantera interna molnbaserade miljöer," sÀger molnsÀkerhetsföretaget.

"Genom att kompromissa med dessa externa enheter kan angripare fÄ förhöjd Ätkomst som gör att de kan utföra kommandon inom datorinstanser (VM) eller hybridmiljöer."

Av: Den Inga kommentarer:
Etikett:
Prenumerera pÄ: Kommentarer (Atom)

Utvalda InlÀgg

XenForo For You has expanded the website

  XenForo For You has expanded the website with a link index , you can now add links. There are more Resources with add-ons and themes that...