內容簡述

storm-0978 是一個犯罪組織，在網路釣魚活動中積極針對歐洲和美洲的國防和政府，該活動利用CVE-2023-36884， 使用word文檔以及烏克蘭大會誘餌來濫用遠程式碼執行漏洞。

 

近期，微軟的網路安全分析師公布了各種Windows、office產品中未修補的零日漏洞，報導指出，威脅行為者已通過惡意office文檔積極利用此漏洞進行遠程式碼執行。

storm-0978 是俄羅斯網路犯罪組織，因進行以下非法活動而聞名。

• 機會主義勒索軟件

• 有針對性的憑證收集活動

• 可能支持情報行動

 

漏洞被利用

CVE ID： CVE-2023-36884

分配 CNA： Microsoft

說明： Office 和 Windows HTML 遠程代碼執行漏洞

發布日期： 2023 年 7 月 11 日

影響：遠程代碼執行

 

在CVE-2023-36884補丁發布之前，微軟將通過Defender for Office 攻擊面，減少規則確保防範利用該漏洞的網路釣魚攻擊。

Storm-0978利用烏克蘭政治事務有關的誘餌在歐洲展開有針對性的網路釣魚活動，主要針對軍事和政府機構。
 

 

勒索軟件活動

網路犯罪組織的勒索軟體活動是機會主義的，與間諜目標不同，影響電信和金融部門。在勒索軟體入侵期間，storm-0978通過Windows註冊表的安全帳戶管理器(SAM)中提取密碼哈希來獲取憑據。

微軟將strom-0978連接到 Industrial Spy勒索軟體、crypter ，但自2023年7月以來，他已轉向使用Undergroumd勒索軟體，代碼具有顯著的相似之處。

 

Storm-0978 勒索信內容

                                                               【storm-0978 勒索信 (來源 - Microsoft)】

 

我們提供的建議

• 確保在Microsoft Defender 或其他AV工具中啟用 "雲提供的保護"。

• 要使Microsoft Defender for Endpoint阻止惡意攻擊，請確保在阻止模式下運行EDR。

• 確保為 Microsoft Defender for Endpoint 啟用完全自動化，以快速調查和解決漏洞，會將大大減少警報量。

• 針對不斷變化的威脅和多變的高級防禦，請確保Microsoft Defender for Office 365 安全性。

• 必須阻止所有Office 應用程式的變向措施。

• 避免利用，無法訪問這些保護措施的組織可以使用 FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION註冊事表項。

 

參考網站:

https://gbhackers.com/unpatched-office-zero-day/amp/