每周安全速递²⁷⁰|攻击者利用Windows搜索功能投递远控木马





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

全球数据跨境流动合作倡议

2024-11-22

世界互联网大会|美创数据库保险箱（DBSafe）发布！

2024-11-21

世界互联网大会｜美创数据认知与分类分级系统（AICogniSort）重磅发布！

2024-11-21

美创案例｜盐城公积金管理中心数据安全创新实践

2024-11-15

每周安全速递³²⁰|研究人员发现Black Basta勒索软件团伙正在调整攻击策略

2024-11-29

每周安全速递³¹⁹|俄克拉荷马医院遭勒索软件攻击导致13万余患者信息泄露

2024-11-29

每周安全速递³¹⁸|Bitdefender发布ShrinkLocker勒索软件解密工具

2024-11-15

每周安全速递³¹⁷｜勒索组织Hellcat声称已窃取Schneider Electric公司超过40GB的压缩数据

2024-11-08

每周安全速递³¹⁶｜朝鲜黑客组织与Play勒索病毒联手展开重大网络攻击

2024-11-01

每周安全速递²⁷⁰|攻击者利用Windows搜索功能投递远控木马

发布时间：2023-08-04 阅读次数： 684 次

本周热点事件威胁情报

1、攻击者利用Windows搜索功能投递远控木马

研究人员近期发现了一种新的攻击方式，攻击者在此种攻击中利用了“search-ms:”URI协议处理程序。研究人员观察到攻击者创建的钓鱼邮件，嵌入了超链接或HTML附件，其中包含将用户重定向到受损网站的URL并触发执行JavaScript，该JavaScript利用URI协议处理程序在攻击者控制的服务器上执行搜索。值得注意的是，这些链接也会在其网页上弹出提示，若确认，则会在用户的资源管理器中显示经过伪装的恶意快捷方式，并通过快捷方式投递AsyncRAT和Remcos RAT等远控木马。

参考链接：

https://www.trellix.com/en-us/about/newsroom/stories/research/beyond-file-search-a-novel-method.html?&web_view=true

2、印度Hinduja集团遭受网络攻击

2023年7月26日，CL0P勒索组织在其泄露网站上列出了24家新的受害公司，其中包含印度的Hinduja集团，该集团在汽车、石油和特种化学品、银行、金融等11个行业拥有广泛的业务。Hinduja集团于近期遭受网络攻击，很可能与MOVEit漏洞有关，并且CL0P勒索组织就是利用该漏洞对世界各地的组织进行攻击。

参考链接：

https://thecyberexpress.com/hinduja-group-cyber-attack-cl0p-ransomware

3、Henry Ford Health泄露患者的数据信息

Henry Ford Health表示其3名员工的电子邮箱在一次钓鱼攻击活动中失窃，并确认这些失窃的电子邮箱可能导致其患者的相关数据信息泄露。存储在受影响电子邮件账户中的信息包括患者姓名、性别、出生日期、年龄、实验室结果、手术类型、诊断、服务日期、电话号码、医疗记录号码和内部跟踪号码，影响人数达168215人。

参考链接：

https://www.govinfosecurity.com/phishing-scam-affects-nearly-170k-henry-ford-health-patients-a-22672

4、Abyss Locker勒索软件针对VMware ESXi服务器进行攻击

Abyss Locker勒索软件是一种相对较新的勒索软件，于2023年3月份被用于进行攻击活动。近期，研究人员发现了该勒索软件的Linux版本，查看可执行文件中的字符串后，发现该文件专门针对VMware ESXi服务器进行攻击。加密器利用“esxcli”命令查找所有可用的虚拟机，然后终止它们。该勒索软件将对设备上的文件进行加密，将加密文件的后缀名更改为“.crypt”，并创建一个后缀名为“.README_TO_RESTORE”的勒索信，其中包含攻击者Tor站点的链接。