微软禁用恶意软件传播工具

关键要点

• 多个威胁行动组利用微软的“ms-appinstaller协议”进行恶意软件传播。
• 新禁用的协议加速了Windows应用程序的安装过程。
• 相关研究指出，攻击者通过伪装合法应用程序传播恶意MSIX包。
• Sangria Tempest等组织利用此协议部署了各种恶意软件。

根据网络安全公司Recorded Future旗下新闻网站的报道，包括SangriaTempest和FIN7、Storm-0569、Storm-1674以及Storm-1113等多个威胁行动组，已经利用微软的“ms- appinstaller协议”来加速Windows应用程序的安装，从而促进恶意软件的传播。这一行为促使微软禁用了该协议。

在11月和12月发起的攻击中，有关报告显示，攻击者通过伪造合法应用程序，传播了恶意的MSIX包，这些包会安装加载器恶意软件及其他有效载荷，例如BlackBasta和IcedID。微软威胁情报团队的研究表明，SangriaTempest利用该协议部署了，而Storm-0569则利用这一漏洞传播BATLOADER及其他后续攻击载荷。

“威胁行为者可能选择ms-appinstaller协议处理程序向量，因为它可以绕过为保护用户免受恶意软件侵害而设计的机制，例如微软DefenderSmartScreen以及浏览器对可执行文件格式下载的内置警告，”微软表示。

总结： 微软禁用了ms- appinstaller协议，以遏制通过该协议传播恶意软件的威胁行为。这一措施旨在保护用户不受持续的网络攻击影响，同时强调了确保网络安全的重要性。