识别FORMBOOK信息窃取攻击活动的漏洞利用和攻击手法
某安全研究机构于2021年12月21日发布了相关研究。研究团队经常通过各自独特的视角分析类似(或相同)的攻击活动。这对安全社区非常有益,因为同一问题能获得更多关注和不同视角的分析。
持续研究漏洞利用、漏洞和威胁。最近发布的研究涵盖了通过钓鱼攻击窃取信息并利用MSHTML漏洞利用链的FORMBOOK攻击活动。在研究过程中,发现了攻击活动的各个阶段以及通过技术疏忽共享的基础设施。这使得不同阶段能够相互关联,并展示了攻击活动随时间的演变过程。
2021年9月7日,某机构确认了多个应用程序(包括其办公套件)使用的浏览器渲染引擎存在漏洞。在三天内[1][2],概念验证代码被发布,凸显了漏洞利用开发生态系统的成熟度,并强调了主动威胁狩猎和补丁管理策略的重要性。
研究主要发现:
- 漏洞PoC发布速度之快凸显了在应用补丁前利用威胁狩猎识别漏洞利用后事件的必要性
- 观察到FORMBOOK攻击活动结合了允许测试和生产阶段关联的基础设施
- 对MSHTML漏洞的修补似乎有效,因为攻击活动从尝试使用漏洞利用转向传统的钓鱼恶意软件附件方式
- 攻击活动需要多进程攻击链将DLL文件加载到受害者系统
对该攻击活动的研究全面,包括完整概述和分析,涵盖测试基础设施和生产阶段的信息。还分享了如何检测和防御该攻击活动的特定指标,以及相关的入侵指标。
随着对FORMBOOK及其影响的更多研究仍在进行中,这一情况正在发展。该攻击活动处于早期阶段,预计随着发现适当的网络安全措施来保护组织,将发布更多相关内容。
