事实证明,Follina 对世界各地的系统管理员构成了相当大的威胁,因为新的报告表明该漏洞被用于分发信息窃取程序、特洛伊木马和勒索软件。
Proofpoint 的网络安全研究人员发现被称为 TA570 的威胁参与者使用 Follina 漏洞感染端点(在新标签中打开)与 Qbot 合作,而 NCC Group 发现它被已知的勒索软件组织 Black Basta 进一步滥用。
Qbot,也称为 Qakbot、Quakbot 或 Pinkslipbot,是一种银行木马和信息窃取程序,已经使用了十多年。希望分发信息窃取程序的威胁参与者通常会结合网络钓鱼和漏洞利用,诱骗人们访问恶意网站,这些网站通过各种漏洞最终将木马下载到设备上。
黑巴斯塔出现
Qbot 能够造成大量破坏、记录密钥、泄露 cookie、挂钩进程,但也可以充当第二阶段病毒、恶意软件的投放器(在新标签中打开),或勒索软件。这正是黑巴斯塔正在玩的手。
NCC Group 观察到 Black Basta 是勒索软件领域的一个相对较新的进入者,它使用 Qbot 在受感染的网络中横向移动,并部署其勒索软件(在新标签中打开).
该出版物提醒说,该组织于今年 4 月首次出现,直奔美国牙科协会。它使用双重勒索策略(窃取和加密敏感数据)迫使受害者支付赎金。
Follina,也被跟踪为 CVE-2022-30190,是在 Windows 支持诊断工具中发现的一个缺陷。它可以被滥用来远程运行代码,方法是让 Office Word 等程序在打开时从特制文档中调出该工具。
微软承认该漏洞的存在,并承诺正在努力修复。在此之前,威胁参与者正在积极利用该漏洞。已确认的攻击包括针对国际藏人社区的攻击,由中国政府支持的知名威胁组织 TA413 发起。
