披露时间：2024年12月11日

情报来源：https://www.microsoft.com/en-us/security/blog/2024/12/11/frequent-freeloader-part-ii-russian-actor-secret-blizzard-using-tools-of-other-groups-to-attack-ukraine/

相关信息：

微软威胁情报团队发现，APT组织Secret Blizzard在2024 年 3 月至 4 月期间利用与Storm-1919相关的Amadey恶意软件在位于乌克兰军方目标设备上部署了一个名为 Kazuar 的已知后门。

据信，Secret Blizzard 利用 Amadey 在目标设备上下载 PowerShell 植入程序。植入程序包含一个 Base64 编码的 Amadey 有效载荷，该载荷附加了一个代码段，该代码段会回调到 Turla C2 服务器。

下一阶段会下载定制的侦察工具，收集有关受害者设备的详细信息，并检查 Microsoft Defender 是否已启用，最终使攻击者能够将注意力集中在进一步感兴趣的系统上。在此阶段，攻击继续部署包含 Tavdig 后门的 PowerShell 植入程序和易受 DLL 侧载攻击的合法 Symantec 二进制文件。Tavdig 则用于进行额外侦察并启动 KazuarV2。

披露时间：2024年12月11日

情报来源：https://security.lookout.com/threat-intelligence/article/gamaredon-russian-android-surveillanceware

相关信息：

Gamaredon 被发现使用了两款名为BoneSpy和PlainGnome的新型 Android 间谍软件工具，这是首次发现该组织在其攻击活动中使用仅适用于移动设备的恶意软件家族。据信，BoneSpy 至少从 2021 年开始运营。另一方面，PlainGnome 在今年早些时候才出现。根据 VirusTotal 提交的工件，该活动的目标可能包括乌兹别克斯坦、哈萨克斯坦、塔吉克斯坦和吉尔吉斯斯坦。目前没有证据表明该恶意软件被用于针对乌克兰，而乌克兰一直是该组织的唯一目标。

Lookout 研究人员表示，BoneSpy 和 PlainGnome 针对的是前苏联国家，主要针对俄语受害者。BoneSpy和 PlainGnome 都收集短信、通话记录、电话音频、设备摄像头拍摄的照片、设备位置和联系人列表等数据。两者有一个关键的区别，BoneSpy源自开源间谍软件DroidWatcher ，是一个独立的应用程序，而PlainGnome则充当嵌入其中的监视有效载荷的投放器。PlainGnome 也是一种定制的恶意软件，但需要受害者通过REQUEST_INSTALL_PACKAGES授予其安装其他应用程序的权限。

披露时间：2024年12月9日

情报来源：https://www.bleepingcomputer.com/news/security/radiant-links-50-million-crypto-heist-to-north-korean-hackers/

相关信息：

Radiant Capital 表示，AppleJeus是于 10 月 16 日通过网络攻击侵入其系统并导致 5000 万美元加密货币被盗的幕后黑手。Radiant 是一个去中心化金融 (DeFi) 平台，允许用户跨多个区块链网络存入、借入和管理加密货币。2024 年 10 月 16 日的入侵是由“复杂的恶意软件”造成的，该恶意软件针对三名值得信赖的开发人员，他们的设备受到攻击以执行未经授权的交易。黑客似乎利用了常规的多重签名流程，以交易错误的名义收集有效签名，并从 Arbitrum 和币安智能链 (BSC) 市场窃取资金。此次攻击绕过了硬件钱包安全和多层验证，交易在手动和模拟检查中看起来都很正常，表明攻击非常复杂。

基于 Mandiant 的协助调查结果显示，攻击始于 2024 年 9 月 11 日，当时 Radiant 的一名开发人员收到一条冒充前承包商的 Telegram 消息，诱骗他们下载恶意 ZIP 文件。该档案包含一个用作诱饵的 PDF 文件和一个名为“InletDrift”的 macOS 恶意软件负载，恶意软件在向用户显示看似合法的 PDF 的同时建立了一个持久的 macOS 后门，并使用恶意 AppleScript 与域atokyonews[.]com进行通信。

据悉，在盗窃案发生前的几周内，攻击者精心策划了在 Arbitrum、币安智能链、Base 和以太坊上部署恶意智能合约。2024 年 10 月 16 日实施盗窃三分钟后，他们迅速删除了第二阶段后门和相关浏览器扩展的痕迹。

披露时间：2024年12月9日

情报来源：https://mp.weixin.qq.com/s/EudqDzM0RA5q_EbeOIWS8g

相关信息：

近期，360监测到多起蔓灵花组织的钓鱼邮件攻击。该组织通过投递内部携带有chm恶意文档的压缩包附件的钓鱼邮件，诱导用户打开其中的chm文档，利用计划任务周期性回传受影响用户的机器名及用户名，当远端服务器验证回传信息后，通过响应请求将后续恶意脚本下发给受影响机器并执行，从而实现后续攻击组件的下发与执行。

研究人员捕获到了蔓灵花组织使用的新型的攻击组件，分别是Shellcode加载器与文件收集器。因其都有pdb路径，故将其命名为KugelBlitz_ShellCode_Loader与Kiwi2.0。Kiwi2.0执行后会收集当前机器名与用户名，遍历特定目录下的文件及整个驱动器收集文件信息，并将收集到的文件路径、文件最后修改时间写入日志，上传至C2服务器。KugelBlitz_ShellCode_Loader依赖命令行参数，从命令行参数中读取指定文件，并申请内存执行，攻击载荷多为开源远控Havoc。

在本次攻击活动中，蔓灵花组织的攻击手法与历史依旧相似。不同之处在于相较于历史上通常下发执行恶意msi样本，本次则更换为了ShellCode加载器加载远端下载的开源远控Havoc。

披露时间：2024年12月5日

情报来源：https://www.recordedfuture.com/research/bluealpha-abuses-cloudflare-tunneling-service

相关信息：

据Insikt Group观察，Gamaredon 利用Cloudflare Tunnels作为一种策略来隐藏其托管名为 GammaDrop 的恶意软件的临时基础设施。Cloudflare 通过使用 TryCloudflare 工具免费提供隧道服务。该工具允许任何人使用随机生成的 trycloudflare.com 子域创建隧道，并将对该子域的所有请求通过 Cloudflare 网络代理到该主机上运行的 Web 服务器。Gamaredon 利用这一点来隐藏用于部署 GammaDrop 的暂存基础设施，并使用GammaLoad 命令和控制 (C2) 基础设施的域名系统 (DNS) 快速通量，使 C2 通信的跟踪和中断变得复杂，以保留对受感染系统的访问。

这次活动是自 2024 年初以来针对乌克兰实体的持续鱼叉式网络钓鱼活动的一部分，旨在投放 Visual Basic Script 恶意软件。最新的一组攻击包括发送带有 HTML 附件的网络钓鱼电子邮件，这些附件利用一种称为 HTML 走私的技术通过嵌入的 JavaScript 代码激活感染过程。HTML 附件打开后会释放一个包含恶意 LNK 文件的 7-Zip 存档（“56-27-11875.rar”），该文件利用 mshta.exe 来传送 GammaDrop，这是一个 HTA 释放程序，负责将名为 GammaLoad 的自定义加载器写入磁盘，随后与 C2 服务器建立联系以获取其他恶意软件。

披露时间：2024年12月12日

情报来源：https://mp.weixin.qq.com/s/qQw1DXE25Gkz_P8pEPVaHg

相关信息：

奇安信威胁情报中心在日常监控中观察到 analyzev.oss-cn-beijing.aliyuncs.com 恶意域名的访问量从 9 月初陡增，一直持续到 9 月底后进入了一段潜伏期。直到 10 月底开始爆发，并且观察到恶意的 payload 程序。基于相关日志最终确认 CSDN 被挂马，加载了额外的 js。基于奇安信全球鹰测绘数据，国内大量网站正文页面中包含该恶意域名，其中包含政府、互联网、媒体等网站，所涉及的域名均挂有 CDN，对应IP也都为 CDN 节点，由于我们缺乏大网数据，只能推测 CDN 厂商疑似被污染。

js 主要用来钓鱼，诱导受害者更新证书，下载上述 payload 并执行，这一阶段的钓鱼 js 有多种，还观察到 flash 更新页面，正常情况下受害者会误以为该页面是浏览器的更新请求，手动下载 payload 并执行从而导致中招。初始 payload 一般带有签名，用于下载下一阶段载荷，在解密出C2后，连接 C2 进行通信。从C2收到的数据是个基于 .NET 的特马 DLL，该特马会将其配置信息加密后以 Base64 形式存储，其中C2 与 Loader 一致，后续插件需要攻击者手动下发。

基于奇安信 xlab 的僵尸网络数据 80.67.167.81 的 tor 节点最近非常活跃，使用jenkins RCE Nday 漏洞投递 lucifer 团伙的挖矿木马。

披露时间：2024年12月10日

情报来源：https://www.zimperium.com/blog/applite-a-new-antidot-variant-targeting-mobile-employee-devices/

相关信息：

Zimperium zLabs 网络安全研究人员揭露了一项复杂的移动网络钓鱼（又称misishing）活动，攻击者自称是招聘人员，用工作机会引诱毫无戒心的受害者下载充当植入器的恶意应用程序，意图传播Antidot银行木马的更新版本“AppLite Banker”。

本次活动中的几个样本采用了一种简单的 ZIP 操作技术，通过设置文件头和中央目录头的标志字段来将文件标记为加密，而不会改变 ZIP 存档的底层结构，从而阻止静态源代码分析。该应用程序会强制用户安装“更新”，也就是“AppLite Banker”。在获得所需权限后，AppLite会通过socket.io库使用 websocket 秘密与其命令和控制 (C&C) 服务器建立连接。

最新版本的AppLite引入了一系列新命令，此外研究人员还发现了一种新的窃取设备解锁图案、PIN或密码的功能，即使设备已锁定，攻击者也可以控制设备。为了获取这些凭据，该恶意软件部署了一个模仿设备锁定屏幕的欺骗性覆盖层，任何输入的凭据都会被拦截并传输到攻击者的服务器。

披露时间：2024年12月10日

情报来源：https://claroty.com/team82/research/inside-a-new-ot-iot-cyber-weapon-iocontrol

相关信息：

Team82 研究人员发现了一种定制的 IoT/OT 恶意软件 IOCONTROL ，，该恶意软件被与伊朗有关的CyberAv3ngers组织用来攻击以色列和美国的 OT/IoT 设备，包括 IP 摄像头、路由器、PLC、HMI、防火墙等。受影响的一些供应商包括：Baicells、D-Link、Hikvision、Red Lion、Orpak、Phoenix Contact、Teltonika、Unitronics 等。

据悉，该恶意软件执行时会运行内存中的解包程序。内存解包过程分为两个阶段。第一阶段包括将实用程序代码例程解包到新映射的内存段中。第二阶段包括将恶意软件的构件（即主要可执行模块和恶意软件的配置）解包到适当的内存位置。其中，恶意软件配置数据使用AES-256-CBC加密。

分析表明，IOCONTROL 恶意软件基于一个通用的 OT/IoT 恶意软件框架，用于嵌入式 Linux 设备，该框架可根据需要针对特定目标进行利用和编译。该恶意软件通过安全的 MQTT 通道与 C2 通信，并支持基本命令，包括任意代码执行、自我删除、端口扫描等。此功能足以控制远程 IoT 设备并在需要时执行横向移动。此外，IOCONTROL 具有通过守护进程安装和隐身机制实现的基本持久性机制，例如，初始有效负载使用修改后的 UPX 打包，恶意软件使用通过 HTTPS 的 DNS 尽可能隐藏其 C2 基础设施。

披露时间：2024年12月10日

情报来源：https://cyble.com/blog/head-mare-deploys-phantomcore-against-russia/

相关信息：

Cyble 研究人员检测到黑客组织 Head Mare 针对俄罗斯发起的新活动，该活动使用伪装的 LNK 文件来隐藏可执行文件。该活动还具有下载其他有效载荷（包括勒索软件）并通过特定命令和有效载荷升级攻击的能力。

在最新的活动中，Cyble 发现了一个名为“ Doc.Zip ”的 ZIP 档案，其中包含一个恶意 LNK 文件、一个伪装成“.zip”文件扩展名（“ Doc.zip ”）的可执行文件（PhantomCore）和一个损坏的诱饵 PDF。打开LNK 文件会执行 PowerShell 命令，将PhantomCore提取到“ C:/ProgramData ”目录中，并使用 cmd.exe 执行该文件。PhantomCore使用SetConsoleCP 和 SetConsoleOutputCP Win32 API将输入和输出代码页设置为 OEM 俄语（西里尔文）   。该恶意软件还会将受害机器的语言环境设置为“ ru_RU.UTF-8 ”，以将系统配置为使用 UTF-8 编码的俄语语言环境。然后，恶意软件尝试使用 User-Agent 字符串“Boost.Beast/353”连接到 45.10.247[.]152 上的 C&C 服务器。成功建立连接后，恶意软件会收集受害者的信息，例如公共 IP 地址、Windows 版本、用户名和其他详细信息，并将其发送到 C&C 服务器以等待进一步的指示。

此前，PhantomCore 使用 GoLang 开发的，而本次活动中的PhantomCore 使用 C++ 编译。此外，C++ 版本的 PhantomCore 还集成了 Boost.Beast库，这有助于受感染系统与命令和控制 (C&C) 服务器通过 HTTP WebSockets 进行通信。

披露时间：2024年12月7日

情报来源：https://cert.gov.ua/article/6281632

相关信息：

近日，乌克兰军方计算机应急响应小组 (CERT-UA) 追踪到 UAC-0185 在新的间谍活动中将乌克兰军事和国防企业作为目标。攻击者使用的钓鱼邮件伪装成上周在基辅举行的合法国防会议的邀请。

钓鱼邮件包含一个超链接，点击后会下载快捷方式文件“lyst_02-1-437.lnk”。该 LNK 文件使用标准 mshta.exe 实用程序下载并启动“start.hta”文件。上述 HTA 文件包含 JavaScript 代码，旨在运行两个 PowerShell 命令，其中一个命令将下载并提取 USPP 信件形式的诱饵文件，第二个命令将下载“Front.png”文件，该文件是一个 ZIP 存档，其中包含三个文件：“Main.bat”、“Registry.hta”和“update.exe”，将压缩包内容解压到目录“%LOCALAPPDATA%\Microsoft\EdgeUpdate\Update\”并运行BAT文件“Main.bat”。后者将确保将“Registry.hta”文件传输到自动启动目录、执行该文件，以及从计算机中删除部分下载的文件。最后，“Registry.hta”将运行“update.exe”，该恶意软件被归类为 MESHAGENT 远程控制程序。

披露时间：2024年12月6日

情报来源：https://cyble.com/blog/russian-hacktivists-target-energy-and-water-infrastructure/

相关信息：

Cyble 研究人员记录了一个与俄罗斯有关的新威胁组织Z-Pentest，该组织一直在破坏关键基础设施环境并篡改系统控制，Cyble还研究了俄罗斯老牌威胁组织“人民网络军”（也称为“俄罗斯重生网络军”）的活动。这些黑客组织经常以支持乌克兰作为对美国和其他国家发动网络攻击的理由，其中包括加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰。

“人民网络军”（PCA）一直在针对美国和其他国家的关键基础设施控制，有迹象表明 PCA 和 Z-Pentest可能在合作。该组织于 8 月底和 9 月发动了两次袭击，根据其发布的屏幕记录显示该组织篡改了德克萨斯州斯坦顿市斯坦顿水处理厂和特拉华州纽卡斯尔水塔控制面板上的系统设置。在德克萨斯州的案件中，供给制能够打开阀门并释放未经处理的水，但除此之外，没有造成任何损害。Cyble 记录了人民网络军今年在美国和其他地方发动的八次供水系统攻击，其中包括 1 月份导致德克萨斯州阿伯纳西和穆尔舒的储水箱溢出的攻击。

Z-Pentest 似乎自 10 月以来才开始活跃，但在两个月内，该组织已经声称至少 10 次破坏，并且在每次事件中都发布了成员篡改系统设置的视频。根据 Cyble 的报告，在过去一周内，Z-Pentest 的活动不断升级，包括破坏油井现场的关键系统，包括负责抽水、石油气燃烧和石油收集的系统。

披露时间：2024年12月9日

情报来源：https://mp.weixin.qq.com/s/bGYXAU0Mn8WjKFUQ_AtC-g

相关信息：

近期奇安信威胁情报中心在日常运营过程中发现带有 ”Zhengzhou Lichang Network Technology Co., Ltd.” 数字签名的 可疑Inno Setup 安装文件，且签名时间在不久之前。

Inno Setup 安装文件包含 powershell 代码，用于下载JS 脚本。JS 脚本会调用 powershell 从两个 URL 处下载代码并执行，其中一份代码配合 JS 脚本中已有的 powershell 代码，用于绕过 AMSI。另一份代码会下载 PE 文件并直接在内存中加载执行，该 PE 文件从资源区解密出另一个内嵌的 PE 文件，然后加载执行。解密后的 PE 文件为木马程序，会检查运行环境并通过创建计划任务实现持久化，支持命令执行、下载插件、运行窃密程序等功能。窃密程序由木马下载相应 powershell 代码来部署，首先会进行和木马相似的运行环境检查，包括检查语言、特定的用户名主机名、特定文件路径等，并且同样以 Machine GUID 作为受害者标识。按窃密程序内置的输出信息，整个窃密过程可以分为三个阶段，每阶段的信息在收集完成后立即回传给C2服务器。窃密程序回传数据的 URL 由部署脚本从远程服务器获取，将其作为参数传入窃密程序。

根据溯源分析，此次样本涉及的 C++ 木马和 C# 窃密软件与之前披露的 Koi Loader 和 Koi Stealer 恶意软件高度一致，攻击过程前期为部署 Koi Loader 而使用的 JS 和 powershell 代码也基本相同。主要不同在于大部分 Koi Loader 通过恶意 LNK 文件下载，而此次样本利用了 Inno Setup 安装文件执行下载命令。

披露时间：2024年12月6日

情报来源：https://www.rapid7.com/blog/post/2024/12/04/black-basta-ransomware-campaign-drops-zbot-darkgate-and-custom-malware/

相关信息：

据观察，自 2024 年 10 月初以来，与 Black Basta 勒索软件相关的威胁行为者一直在改变其社会工程策略，分发不同的有效载荷，例如Zbot和DarkGate 。研究人员表示目标环境中的用户会遭到攻击者的电子邮件轰炸，这通常是通过同时将用户的电子邮件注册到多个邮件列表来实现的。之后，攻击者将联系受影响的用户，在 Microsoft Teams 上与潜在目标进行初步接触，假装是组织的支持人员或 IT 人员，并尝试让用户安装或执行远程管理 (RMM) 工具。通过 RMM 工具获得用户资产的访问权限后，攻击者使用定制的凭证收集器，如SafeStore.dll，收集系统信息和用户凭证。执行凭证收集器后，攻击者会尝试下载并执行其他恶意软件负载，通常会感染Zbot或DarkGate，这些载荷可以作为后续载荷执行的门户，促进数据盗窃或执行其他恶意行为。

Rapid7 表示，它还检测到勒索软件团队试图利用 OpenSSH 客户端建立反向 shell，以及通过聊天向受害者用户发送恶意二维码，以添加受信任的移动设备为借口窃取他们的凭证。

披露时间：2024年12月5日

情报来源：https://securelist.ru/redline-stealer-in-activators-for-business-software/111241/

相关信息：

RedLine 窃取程序是一种用 .NET 编写的信息窃取恶意软件，自 2020 年初以来一直处于活跃状态。该恶意软件可以从受感染的系统中窃取敏感信息，包括凭据、cookie、浏览器历史记录、信用卡数据和加密钱包。该信息窃取程序被视为可通过恶意软件即服务模型获得的商品恶意软件。自 2024 年 1 月以来，使用未经授权软件的俄罗斯企业一直是RedLine 信息窃取活动的目标。攻击者将恶意软件伪装成绕过业务自动化软件许可的工具通过俄罗斯在线论坛分发，该恶意软件内提供了有关禁用安全软件以运行激活器的详细说明，从而有效地逃避检测。

据悉，攻击者通过分发恶意版本的 HPDxLIB 激活器来瞄准业务流程自动化用户。与具有有效证书的合法 C++ 版本不同，恶意版本是在 .NET 中构建的，并使用自签名证书。恶意版本的 HPDxLIB 激活器中包含 RedLine 窃取程序，激活程序库使用 .NET Reactor 进行混淆，恶意代码经过多层压缩和加密。攻击者诱骗目标用户将合法的 techsys.dll 库替换为激活器中包含的恶意库。然后在执行修补后的软件时，通过合法的 1cv8.exe 进程加载恶意库，从而运行窃取程序。这种方法利用的是用户的信任，而不是企业软件中的漏洞。

披露时间：2024年12月10日

情报来源：https://www.gdatasoftware.com/blog/2024/12/38091-analysis-fk-undead

相关信息：

Gdatasoftware近期发现了一个FK_Undead恶意软件家族的Windows rootkit加载程序。据悉，该恶意软件家族以通过操纵代理配置拦截用户网络流量而闻名，且其rootkit loader此前未被正式分析过。研究人员表示，在安装过程中，rootkit加载程序先被伪装成"Microsoft Foundation Applications"的可执行文件，将投放在"C:\Windows\System32\drivers\ws3ifsl.sys"中，并被注册为用户模式下的系统服务。其中，选择"ws3ifsl"名称是为了伪装成一个用于套接字通信的合法Windows实用程序(Winsock2 IFS Layer)。一旦驱动程序执行，它首先将自身移动到"C:\ProgramData\Microsoft\Windows\EventStore.dat" 。然后，删除旧服务"ws3ifsl"，并注册一个名为"EventStore"的新系统服务，该服务配置为作为内核驱动程序加载，能够防止用户在Windows任务管理器或服务概览中检测到该服务。期间，驱动程序将根据Windows版本使用不同的死投和FK_Undead有效载荷。调查显示，有效载荷是一个受VMProtect保护的签名驱动程序，即FK_Undead恶意软件家族的变种，它使用PAC(代理自动配置)通过攻击者控制的服务器路由用户流量。此外，Rootkit加载程序还采取了多种措施伪装自己，以规避检测，包括检查与PC Hunter或Windows Kernel Explorer相关的文件、扫描来自VMWare或VirtualBox的驱动程序等。

披露时间：2024年12月10日

情报来源：https://blog.xlab.qianxin.com/glutton_stealthily_targets_mainstream_php_frameworks/

相关信息：

2024年4月29日，奇安信XLab大网威胁感知系统捕获一起异常活动，发现IP 172.247.127.210正传播ELF版本的winnti后门木马。经进一步溯源发现，该IP曾于2023年12月20日传播一个VirusTotal 0检测率的恶意PHP文件init_task.txt。由此，研究人员发现了一系列关联的恶意PHP payload，包括task_loader、init_task_win32、client_loader、client_task、fetch_task、l0ader_shell等。这些payload的设计灵活，既可单独运行，也可通过task_loader作为入口，逐步加载其他payload，形成一个完整的攻击框架，且框架中的所有代码均在PHP进程或PHP-FPM(FastCGI)进程中执行，以确保实现无落地载荷的隐匿效果。值得注意的是，其中涉及一个未被曝光的高级PHP木马：Glutton。该木马至少已在安全社区的监测之外活动超过一年，具备感染大量PHP文件、植入l0ader_shell的特性，核心功能包括信息窃取、安装后门、代码注入等。基于winnti后门的真实性和Glutton的投递行为，该木马理论上可归属于Winnti组织，但其在网络通信以及基础设施方面隐匿能力不足，受害者主要分布在中美两地，涉及信息传输，商务服务，社会保障等多个行业。此外，Glutton作者还专门针对黑灰产生产系统投毒，意图进行黑吃黑。

披露时间：2024年12月11日

情报来源：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cve-2024-11477-7-zip-flaw-allows-remote-code-execution/

相关信息：

本月，微软共发布了72个漏洞的补丁程序，修复了Windows 通用日志文件系统、Windows 轻量级目录访问协议 (LDAP)、Windows 远程桌面服务等产品中的漏洞。经研判，其中23个重要漏洞值得关注，包括17个紧急漏洞、6个重要漏洞。

以下7个漏洞被微软标记为 “Exploitation Detected”或“Exploitation More Likely”，这代表这些漏洞已遭利用或更容易被利用：

• CVE-2024-49070Microsoft SharePoint 远程代码执行漏洞

• CVE-2024-49122Microsoft 消息队列 (MSMQ) 远程代码执行漏洞

• CVE-2024-49114Windows Cloud Files Mini Filter Driver 权限提升漏洞

• CVE-2024-49093Windows Resilient 文件系统 (ReFS) 权限提升漏洞

• CVE-2024-49088Windows 通用日志文件系统驱动程序权限提升漏洞

• CVE-2024-49090Windows 通用日志文件系统驱动程序权限提升漏洞

• CVE-2024-49138Windows 通用日志文件系统驱动程序权限提升漏洞

披露时间：2024年12月6日

情报来源：https://www.bleepingcomputer.com/news/security/new-windows-zero-day-exposes-ntlm-credentials-gets-unofficial-patch/

相关信息：

研究人员发现了一个新的零日漏洞，攻击者只需诱骗目标查看 Windows 资源管理器中的恶意文件即可捕获 NTLM 凭据。例如，打开包含此类文件的共享文件夹或 USB 磁盘，或者查看之前从攻击者的网页自动下载此类文件的下载文件夹。

该漏洞由为 Windows 旧版本提供非官方支持的平台 0patch 团队发现，并已报告给微软。但目前尚未发布官方修复程序。据 0patch 称，该问题目前没有 CVE ID，影响从 Windows 7 和 Server 2008 R2 到最新的 Windows 11 24H2 和 Server 2022 的所有 Windows 版本。

0patch 向其平台上注册的所有用户提供了最新 NTLM 零日漏洞的免费微补丁。微软尚未提供官方修复。