FinalDraft恶意软件：使用Outlook底稿举行隐藏攻击的新威胁

首页 > 清静研究 > 清静转达 > 清静简讯

FinalDraft恶意软件：使用Outlook底稿举行隐藏攻击的新威胁

宣布时间 2025-02-17

1. FinalDraft恶意软件：使用Outlook底稿举行隐藏攻击的新威胁

2月16日，，FinalDraft是一种新发明的恶意软件，，它使用Outlook电子邮件底稿举行隐藏的下令和控制通讯，，专门攻击南美某部分。。该攻击由Elastic Security Labs发明，，涉及一套完整的工具集，，包括PathLoader加载器、FinalDraft后门及多个后使用程序。。FinalDraft通过滥用Outlook实现隐藏通讯，，执行数据泄露、署理、历程注入和横向移动等操作，，同时只管镌汰痕迹。。攻击始于PathLoader入侵，，它执行从攻击者基础设施检索的shellcode，，包括FinalDraft恶意软件。。FinalDraft通过Microsoft Graph API建设通讯，，使用嵌入的刷新令牌检索OAuth令牌并存储在Windows注册表中，，实现长期会见。。攻击者通过Outlook底稿发送和吸收下令，，阻止检测并融入正常Microsoft 365流量。。FinalDraft支持37个下令，，包括数据泄露、历程注入、转达哈希攻击等。。别的，，还发明FinalDraft的Linux变体及另一个未纪录的恶意软件加载器GuidLoader。。REF7707是针对南美外交部的网络特工活动，，但剖析显示其与东南亚受害者有联系，，体现行动规模更广。。攻击者通过东南亚电信和互联网基础设施提供商的受熏染端点瞄准高价值机构，，并使用东南亚一所大学的存储系统托管恶意软件负载。。

https://www.bleepingcomputer.com/news/security/new-finaldraft-malware-abuses-outlook-mail-service-for-stealthy-comms/

2. Steam市肆游戏PirateFi撒播Vidar恶意软件，，影响超1500用户

2月14日，，Steam市肆中一款名为PirateFi的免费游戏在2月6日至2月12日时代撒播了Vidar信息窃取恶意软件，，影响可能多达1500名用户。。该游戏由Seaworth Interactive宣布，，被形貌为一款生涯游戏，，但Steam发明其包括恶意软件后已向受影响用户发送通知，，建议他们重新装置Windows以确保清静。。SECUINFRA Falcon Team确认该恶意软件为Vidar信息窃取程序的一个版本，，隐藏在Pirate.exe文件中。。该恶意软件使用种种混淆手艺和更改下令和控制效劳器以窃取凭证。。研究职员以为，，PirateFi名称中的web3/区块链/加密钱币引用是为了吸引特定玩家群体。。虽然Steam推出了特殊步伐保唬�；；ね婕颐馐芪淳谌ǖ亩褚飧滤鸷�，，但PirateFi案例批注这些步伐仍需增强。。此前也有类似恶意软件入侵Steam市肆的案例，，如使用Chrome误差的Dota 2游戏模式和被黑客攻击的《Slay the Spire》模组。。

https://www.bleepingcomputer.com/news/security/piratefi-game-on-steam-caught-installing-password-stealing-malware/

3. 疑似俄罗斯黑客组织Storm-2372使用装备代码垂纶攻击Microsoft 365帐户

2月15日，，一个名为Storm-2372的威胁行为者，，疑似与俄罗斯有关，，正在针对全球多个领域的组织提倡装备代码网络垂纶攻击，，目的包括政府、非政府组织、IT效劳和手艺、国防、电信、卫生以及能源等领域。。自去年8月以来，，该行为者通过新闻平台冒充与目的相关的着名人士，，诱骗用户在正当登录页面上输入攻击者天生的装备代码，，从而获取对受害者Microsoft 365帐户的初始会见权限，，并启用Graph API数据网络活动。。微软体现，，攻击者现在使用Microsoft身份验证署理的特定客户端ID，，能够天生新的令牌，，带来新的攻击和长期性可能性。。为了防御此类攻击，，微软建议阻止装备代码流，，实验条件会见战略，，并在嫌疑保存垂纶攻击时作废用户的刷新令牌并设置条件会见战略以强制重新身份验证。。同时，，使用Microsoft Entra ID的登录日志举行监控并快速识别异常登录实验。。

https://www.bleepingcomputer.com/news/security/microsoft-hackers-steal-emails-in-device-code-phishing-attacks/

4. 朝鲜黑客组织Kimsuky疑似提倡DEEP#DRIVE网络垂纶攻击

2月14日，，一场名为DEEP#DRIVE的网络垂纶攻击活动自2024年9月起针对韩国企业、政府实体及加密钱币用户睁开，，已造成数千名受害者。。此次攻击由疑似朝鲜黑客组织Kimsuky提倡，，其主要目的是网络韩国实体的敏感信息。。攻击者使用韩语编写的定制网络垂纶诱饵，，伪装成事情日志、包管文件和加密相关文件等正当文件，，通过Dropbox等平台分发，，以逃避古板清静防御。。这些诱饵通常以.hwp、.xlsx和.pptx等受信任的文件名堂泛起，，全心设计以吸引目的受众。。攻击链以伪装成正当文档的.lnk文件最先，，启动恶意PowerShell剧本的执行，，进而下载其他有用负载并建设长期性。。攻击者还使用Dropbox举行数据泄露，，并使用多种手艺逃避检测。。只管攻击者的基础设施看似短暂，，但其战略、手艺和程序与Kimsuky组织很是相似。。Securonix建议对用户举行网络垂纶教育、监控恶意软件暂存目录以及可靠的端点日志纪录，，以防御此类攻击。。

https://hackread.com/n-korean-hackers-deep-drive-attacks-against-s-korea/

5. 黑客使用CVE-2025-0108误差攻击PAN-OS防火墙

2月14日，，黑客使用最近修复的CVE-2025-0108误差对Palo Alto Networks的PAN-OS防火墙提倡了攻击。。该误差允许未经身份验证的攻击者绕过身份验证并挪用PHP剧本，，危及系统的完整性和神秘性。。Palo Alto Networks在2月12日宣布清静通告，，鞭策治理员将防火墙升级到指定版本以解决此问题，，同时指出PAN-OS 11.0因已达使用寿命，，将不再宣布修复程序。。该误差由Assetnote的清静研究职员发明并报告，，他们已揭晓包括完整误差使用细节的文章。。攻击者可使用此误差提取敏感数据、检索设置或使用设置。。GreyNoise平台纪录了针对未修补防火墙的攻击实验，，且可能有多个威胁行为者加入。。现在，，有凌驾4400台PAN-OS装备的治理界面在线袒露。。为防御攻击，，建议应用补丁并限制对防火墙治理接口的会见。。

https://www.bleepingcomputer.com/news/security/hackers-exploit-authentication-bypass-in-palo-alto-networks-pan-os/

6. CISA将Apple iOS/iPadOS及Mitel SIP电话误差列入已知使用误差目录

2月15日，，美国网络清静和基础设施清静局（CISA）已将Apple iOS和iPadOS的授权过失误差（CVE-2025-24200）以及Mitel SIP电话的参数注入误差（CVE-2024-41710）添加到其已知使用误差（KEV）目录中。。苹果紧迫宣布了清静更新，，修复了可能被“极其重大”针对性攻击使用的CVE-2025-24200误差，，该误差影响iPhone XS及更新机型和多款iPad，，攻击者可使用此误差在锁定装备上禁用USB限制模式。。同时，，Mitel也宣布了固件更新解决了CVE-2024-41710误差，，该误差影响Mitel 6800、6900和6900w系列SIP电话，，可能允许攻击者举行下令注入攻击。。随后，，有研究发明基于Mirai的僵尸网络Aquabot的新变种针对保存该误差的Mitel SIP电话举行攻击。。CISA要求联邦机构在2025年3月5日前修复这些误差，，并建议私人组织审查KEV目录并解决其基础设施中的误差，，以降低重大危害。。

https://securityaffairs.com/174246/security/u-s-cisa-adds-apple-ios-and-ipados-and-mitel-sip-phones-flaws-to-its-known-exploited-vulnerabilities-catalog.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

南宫NG娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系南宫NG娱乐

清静研究