每周安全速递²⁷⁰|攻击者利用Windows搜索功能投递远控木马





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

容灾演练双月报｜美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

2025-01-10

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

全球数据跨境流动合作倡议

2024-11-22

每周安全速递³³¹CISA和FBI联合发布Ghost勒索软件威胁报告

2025-02-21

每周安全速递³³⁰|国际行动捣毁8Base勒索软件团伙

2025-02-14

每周安全速递³²⁹｜Phorpiex僵尸网络传播LockBit勒索软件

2025-02-08

每周安全速递³²⁸｜勒索软件攻击者通过Microsoft Teams对组织进行“语音钓鱼”

2025-01-24

每周安全速递³²⁷｜新型远程控制木马NonEuclid感染Windows系统

2025-01-17

每周安全速递²⁷⁰|攻击者利用Windows搜索功能投递远控木马

发布时间：2023-08-04 阅读次数： 922 次

本周热点事件威胁情报

1、攻击者利用Windows搜索功能投递远控木马

研究人员近期发现了一种新的攻击方式，攻击者在此种攻击中利用了“search-ms:”URI协议处理程序。研究人员观察到攻击者创建的钓鱼邮件，嵌入了超链接或HTML附件，其中包含将用户重定向到受损网站的URL并触发执行JavaScript，该JavaScript利用URI协议处理程序在攻击者控制的服务器上执行搜索。值得注意的是，这些链接也会在其网页上弹出提示，若确认，则会在用户的资源管理器中显示经过伪装的恶意快捷方式，并通过快捷方式投递AsyncRAT和Remcos RAT等远控木马。

参考链接：

https://www.trellix.com/en-us/about/newsroom/stories/research/beyond-file-search-a-novel-method.html?&web_view=true

2、印度Hinduja集团遭受网络攻击

2023年7月26日，CL0P勒索组织在其泄露网站上列出了24家新的受害公司，其中包含印度的Hinduja集团，该集团在汽车、石油和特种化学品、银行、金融等11个行业拥有广泛的业务。Hinduja集团于近期遭受网络攻击，很可能与MOVEit漏洞有关，并且CL0P勒索组织就是利用该漏洞对世界各地的组织进行攻击。

参考链接：

https://thecyberexpress.com/hinduja-group-cyber-attack-cl0p-ransomware

3、Henry Ford Health泄露患者的数据信息

Henry Ford Health表示其3名员工的电子邮箱在一次钓鱼攻击活动中失窃，并确认这些失窃的电子邮箱可能导致其患者的相关数据信息泄露。存储在受影响电子邮件账户中的信息包括患者姓名、性别、出生日期、年龄、实验室结果、手术类型、诊断、服务日期、电话号码、医疗记录号码和内部跟踪号码，影响人数达168215人。

参考链接：

https://www.govinfosecurity.com/phishing-scam-affects-nearly-170k-henry-ford-health-patients-a-22672

4、Abyss Locker勒索软件针对VMware ESXi服务器进行攻击

Abyss Locker勒索软件是一种相对较新的勒索软件，于2023年3月份被用于进行攻击活动。近期，研究人员发现了该勒索软件的Linux版本，查看可执行文件中的字符串后，发现该文件专门针对VMware ESXi服务器进行攻击。加密器利用“esxcli”命令查找所有可用的虚拟机，然后终止它们。该勒索软件将对设备上的文件进行加密，将加密文件的后缀名更改为“.crypt”，并创建一个后缀名为“.README_TO_RESTORE”的勒索信，其中包含攻击者Tor站点的链接。