此惡意程式內含多種類型元件，包含惡意程式植入工具（Dropper）、安裝工具、載入工具、流程自動化程式（Orchestrator）、後門程式等。研究人員指出，一旦駭客在上述的軟體更新伺服器植入Nspx30，使用者在執行應用程式更新的過程裡，若是使用未加密的HTTP通訊協定，電腦就有可能下載該惡意程式，並部署植入工具的DLL程式庫檔案，從而在受害電腦執行瑞星防毒軟體的主程式RsStub.exe，並以DLL側載的方式啟動comx3.dll，然後執行流程自動化程式，從百度搜尋引擎下載後門程式msfmtkl.dat。

值得留意的是，駭客將Nspx30列入多款中國防毒軟體白名單，使其攻擊行動更難被察覺。

勒索軟體Kasseika濫用防毒軟體停用相關防護機制

資安業者趨勢科技揭露名為Kasseika的勒索軟體，駭客為了能讓加密檔案流程順利，採取自帶驅動程式（BYOVD）手法，濫用義大利防毒軟體TG Soft Virt.IT的元件來停止相關的端點防護運作。

研究人員看到攻擊者透過網路釣魚的方式取得初期入侵的管道，並從其中1名員工的帳號收集帳密資料，接著利用遠端管理工具PsExec取得特殊權限，並在目標組織的內部網路橫向移動。

而對於駭客執行勒索軟體的過程，研究人員指出，駭客透過批次檔來載入惡意程式，但在執行之前會先檢查是否存在名為Martini.exe的處理程序，假若發現電腦安裝了Virt.IT，就會終止相關處理程序，然後再執行駭客自帶、含有弱點的Martini.exe、Martini.sys，並掃描目標電腦所有處理程序，終止至少991種防毒軟體、系統安全工具、分析工具、公用程式的處理程序。

【漏洞與修補】

持續整合工具Jenkins存在嚴重弱點，有可能被用於遠端執行程式碼

1月24日持續整合工具Jenkins開發團隊發布資安公告，修補12個Jenkins主程式及外掛程式漏洞，其中最值得留意的，是評為重大層級（尚未提供CVSS分數）的CVE-2024-23897，此為命令列介面（CLI）的任意檔案讀取漏洞。

此漏洞發生的原因是該系統在處理CLI命令的過程中，採用名為args4j的程式庫解析Jenkins控制器的功能函數及選項，該程式庫提供以@字元來讀取指定檔案的路徑，此功能在Jenkins預設為啟用，攻擊者有機會利用這項特性在Jenkins控制器的檔案系統上讀取任意檔案，即使沒有取得相關權限，也能夠讀取檔案部分內容。

開發團隊指出，這項弱點還有可能被用於進行其他攻擊，像是透過「記得我」的cookie、跨網站指令碼（XSS）攻擊、繞過跨網站偽造請求（CSRF）防護機制等方式，進行遠端執行任意程式碼（RCE）攻擊，或者，攻擊者能夠刪除Jenkins任意項目，或是解密存放的帳密資料。

逾5,300臺GitLab伺服器曝露於零點擊帳號挾持風險

程式碼儲存庫GitLab針對社群版（CE）及企業版（EE），於1月11日修補CVSS風險評分達10分的重大漏洞CVE-2023-7028，攻擊者一旦利用這項漏洞，就有可能進行帳號劫持，過程中無需使用者互動，如今傳出仍有不少伺服器尚未修補的情況。

Shadowserver基金會兩週後提出警告，根據他們的威脅情報系統偵測，至少有5,379臺GitLab存在這項弱點，其中有964臺位於美國，其次是德國、俄羅斯、中國、法國，分別有730、721、503、298臺。

微軟收信軟體Outlook存在漏洞，可被用於發動NTLM攻擊

資安業者Varonis揭露他們向微軟通報的收信軟體Outlook漏洞CVE-2023-35636（CVSS風險評分為6.5），並指出攻擊者有機會藉由Outlook、Windows Performance Analyzer（WPA）、檔案總管等3種管道來觸發漏洞，從而存取NTLM的雜湊密碼，得逞後便能嘗試離線進行暴力破解攻擊，或是身分驗證中繼攻擊，從而入侵特定的帳號。

此漏洞存在於Outlook的行事曆共享功能，可在電子郵件加入2個標頭，從而在其導向共享內容並連線特定電腦，但在這過程研究人員發現能夠攔截NTLM雜湊密碼的機會。攻擊者可向目標發送電子郵件邀請，將ICS檔案的路徑指向自己的電腦，然後藉由監聽網域、IP位址、資料夾路徑等資訊，就有機會獲得嘗試進行連線的封包，當中包含了相關的密碼雜湊值。

一旦收信人點選郵件裡的「開啟和顯示iCalendar檔案的內容」，電腦就會從攻擊者端試圖接收組態資料，從而在身分驗證流程曝露NTLM雜湊密碼。

【