FinalDraft恶意软件：利用Outlook草稿进行隐蔽攻击的新威胁

首页 > 宁静研究 > 宁静通报 > 宁静简讯

FinalDraft恶意软件：利用Outlook草稿进行隐蔽攻击的新威胁

宣布时间 2025-02-17

1. FinalDraft恶意软件：利用Outlook草稿进行隐蔽攻击的新威胁

2月16日，FinalDraft是一种新发现的恶意软件，它利用Outlook电子邮件草稿进行隐蔽的命令和控制通信，专门攻击南美某部门。该攻击由Elastic Security Labs发现，涉及一套完整的工具集，包罗PathLoader加载器、FinalDraft后门及多个后利用法式。FinalDraft通过滥用Outlook实现隐蔽通信，执行数据泄露、署理、进程注入和横向移动等操作，同时尽量减少痕迹。攻击始于PathLoader入侵，它执行从攻击者基础设施检索的shellcode，包罗FinalDraft恶意软件。FinalDraft通过Microsoft Graph API建立通信，使用嵌入的刷新令牌检索OAuth令牌并存储在Windows注册表中，实现持久访问。攻击者通过Outlook草稿发送和接收命令，制止检测并融入正常Microsoft 365流量。FinalDraft支持37个命令，包罗数据泄露、进程注入、通报哈希攻击等。此外，还发现FinalDraft的Linux变体及另一个未记录的恶意软件加载器GuidLoader。REF7707是针对南美外交部的网络间谍活动，但分析显示其与东南亚受害者有联系，体现行动范围更广。攻击者通过东南亚电信和互联网基础设施提供商的受熏染端点瞄准高价值机构，并利用东南亚一所大学的存储系统托管恶意软件负载。

https://www.bleepingcomputer.com/news/security/new-finaldraft-malware-abuses-outlook-mail-service-for-stealthy-comms/

2. Steam商店游戏PirateFi流传Vidar恶意软件，影响超1500用户

2月14日，Steam商店中一款名为PirateFi的免费游戏在2月6日至2月12日期间流传了Vidar信息窃取恶意软件，影响可能多达1500名用户。该游戏由Seaworth Interactive宣布，被描述为一款生存游戏，但Steam发现其包罗恶意软件后已向受影响用户发送通知，建议他们重新安装Windows以确保宁静。SECUINFRA Falcon Team确认该恶意软件为Vidar信息窃取法式的一个版本，隐藏在Pirate.exe文件中。该恶意软件使用种种混淆技术和更改命令和控制服务器以窃取凭证。研究人员认为，PirateFi名称中的web3/区块链/加密货币引用是为了吸引特定玩家群体。虽然Steam推出了特别措施�；ね婕颐馐芪淳谌ǖ亩褚飧虑趾�，但PirateFi案例表明这些措施仍需加强。此前也有类似恶意软件入侵Steam商店的案例，如利用Chrome漏洞的Dota 2游戏模式和被黑客攻击的《Slay the Spire》模组。

https://www.bleepingcomputer.com/news/security/piratefi-game-on-steam-caught-installing-password-stealing-malware/

3. 疑似俄罗斯黑客组织Storm-2372利用设备代码钓鱼攻击Microsoft 365帐户

2月15日，一个名为Storm-2372的威胁行为者，疑似与俄罗斯有关，正在针对全球多个领域的组织提倡设备代码网络钓鱼攻击，目标包罗政府、非政府组织、IT服务和技术、国防、电信、卫生以及能源等领域。自去年8月以来，该行为者通过消息平台冒充与目标相关的知名人士，诱骗用户在合法登录页面上输入攻击者生成的设备代码，从而获取对受害者Microsoft 365帐户的初始访问权限，并启用Graph API数据收集活动。微软体现，攻击者现在使用Microsoft身份验证署理的特定客户端ID，能够生成新的令牌，带来新的攻击和持久性可能性。为了防御此类攻击，微软建议阻止设备代码流，实施条件访问计谋，并在怀疑存在钓鱼攻击时取消用户的刷新令牌并设置条件访问计谋以强制重新身份验证。同时，使用Microsoft Entra ID的登录日志进行监控并快速识别异常登录实验。

https://www.bleepingcomputer.com/news/security/microsoft-hackers-steal-emails-in-device-code-phishing-attacks/

4. 朝鲜黑客组织Kimsuky疑似提倡DEEP#DRIVE网络钓鱼攻击

2月14日，一场名为DEEP#DRIVE的网络钓鱼攻击活动自2024年9月起针对韩国企业、政府实体及加密货币用户展开，已造成数千名受害者。此次攻击由疑似朝鲜黑客组织Kimsuky提倡，其主要目的是收集韩国实体的敏感信息。攻击者使用韩语编写的定制网络钓鱼诱饵，伪装成事情日志、保险文件和加密相关文件等合法文件，通过Dropbox等平台分发，以逃避传统宁静防御。这些诱饵通常以.hwp、.xlsx和.pptx等受信任的文件格式泛起，精心设计以吸引目标受众。攻击链以伪装成合法文档的.lnk文件开始，启动恶意PowerShell脚本的执行，进而下载其他有效负载并建立持久性。攻击者还利用Dropbox进行数据泄露，并使用多种技术逃避检测。尽管攻击者的基础设施看似短暂，但其计谋、技术和法式与Kimsuky组织非常相似。Securonix建议对用户进行网络钓鱼教育、监控恶意软件暂存目录以及可靠的端点日志记录，以防御此类攻击。

https://hackread.com/n-korean-hackers-deep-drive-attacks-against-s-korea/

5. 黑客利用CVE-2025-0108漏洞攻击PAN-OS防火墙

2月14日，黑客利用最近修复的CVE-2025-0108漏洞对Palo Alto Networks的PAN-OS防火墙提倡了攻击。该漏洞允许未经身份验证的攻击者绕过身份验证并调用PHP脚本，危及系统的完整性和机密性。Palo Alto Networks在2月12日宣布宁静通告，敦促管理员将防火墙升级到指定版本以解决此问题，同时指出PAN-OS 11.0因已达使用寿命，将不再宣布修复法式。该漏洞由Assetnote的宁静研究人员发现并陈诉，他们已发表包罗完整漏洞利用细节的文章。攻击者可利用此漏洞提取敏感数据、检索配置或利用设置。GreyNoise平台记录了针对未修补防火墙的攻击实验，且可能有多个威胁行为者加入。目前，有凌驾4400台PAN-OS设备的管理界面在线袒露。为防御攻击，建议应用补丁并限制对防火墙管理接口的访问。

https://www.bleepingcomputer.com/news/security/hackers-exploit-authentication-bypass-in-palo-alto-networks-pan-os/

6. CISA将Apple iOS/iPadOS及Mitel SIP电话漏洞列入已知利用漏洞目录

2月15日，美国网络宁静和基础设施宁静局（CISA）已将Apple iOS和iPadOS的授权错误漏洞（CVE-2025-24200）以及Mitel SIP电话的参数注入漏洞（CVE-2024-41710）添加到其已知利用漏洞（KEV）目录中。苹果紧急宣布了宁静更新，修复了可能被“极其庞大”针对性攻击利用的CVE-2025-24200漏洞，该漏洞影响iPhone XS及更新机型和多款iPad，攻击者可利用此漏洞在锁定设备上禁用USB限制模式。同时，Mitel也宣布了固件更新解决了CVE-2024-41710漏洞，该漏洞影响Mitel 6800、6900和6900w系列SIP电话，可能允许攻击者进行命令注入攻击。随后，有研究发现基于Mirai的僵尸网络Aquabot的新变种针对存在该漏洞的Mitel SIP电话进行攻击。CISA要求联邦机构在2025年3月5日前修复这些漏洞，并建议私人组织审查KEV目录并解决其基础设施中的漏洞，以降低重大风险。

https://securityaffairs.com/174246/security/u-s-cisa-adds-apple-ios-and-ipados-and-mitel-sip-phones-flaws-to-its-known-exploited-vulnerabilities-catalog.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究