一月7th,2022:CyberHoot 调查了一种名为 Malsmoke 的新型恶意软件。该恶意软件利用了 漏洞 微软 数字签名 特定文件类型。网络威胁情报公司 Check Point Research 表示, 攻击使用了臭名昭著的 Zloader 银行恶意软件 窃取账户凭证和其他私人数据。该恶意软件已经感染了 2,170 台下载了恶意软件的机器。 Atera 该文件涉及该漏洞。大多数受害者位于美国和加拿大,但该活动已影响到其他 100 多个国家/地区,包括印度、德国、俄罗斯和英国。CyberHoot 决定与我们的管理员分享此公告,以提高认知。
对于大多数托管服务提供商来说,Atera RMM 的风险很小。三大 RMM 解决方案——Connectwise、Datto 和 Kaseya——均不受此漏洞的影响。话虽如此,了解黑客的动态总是有益的,所以请继续阅读。
Check Point 表示,该攻击活动于 2021 年 XNUMX 月初首次出现,攻击者使用合法的远程管理软件访问目标计算机。之后,攻击者利用微软的数字签名验证方法,将恶意负载注入已签名的 Windows DLL 文件中,以绕过安全防御。
具体来说,该活动首先安装 Atera远程监控管理软件 在目标机器上。Atera 的产品是 IT 专业人员使用的合法远程工具,为新用户提供 30 天免费试用,而攻击者很可能利用这一选项来获取初始访问权限。一旦安装该产品,操作员就可以完全控制系统,运行脚本并上传或下载文件。
为了帮助您保护自己和您的组织免受这种特殊攻击,Check Point 建议您应用 微软针对严格 Authenticode 验证的更新.
对于使用 Datto RMM 的 MSP,他们提供了一个监视器来检查此代理是否存在。该组件 (Atera Agent Monitor/Uninstaller [WIN]) 可在 ComStore 中获取,并可立即部署。
Malsmoke 黑客在 ZLoader 网络攻击中滥用 Microsoft 签名验证
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
