首頁 > 安全研究 > 安全通報 > 安全簡訊

Lazarus 黑客利用 Windows 0-Day 獲取內核權限

發布時間 2024-03-01
1. Lazarus 黑客利用 Windows 0-Day 獲取內核權限


2月29日,著名的網絡犯罪組織 Lazarus Group 最近利用 Windows 中的零日漏洞獲取內核權限,這是系統訪問的關鍵級別。該漏洞被識別為 CVE-2024-21338,是在 appid.Sys AppLocker 驅動程序中發現的,微軟根據 Avast Threat Labs 的報告在二月補丁星期二更新中修復了該漏洞。該漏洞允許 Lazarus Group 建立內核讀/寫原語,這是操縱操作系統內核內存的基本功能。此功能用于更新他們的 FudModule rootkit,增強其功能和隱蔽性。Rootkit 現在包含用于操作句柄表條目的新技術,這些技術可能會干擾受 Microsoft Protected Process Light (PPL) 保護的進程,例如屬于 Microsoft Defender、CrowdStrike Falcon 和 HitmanPro 的進程。CVE-2024-21338是 Windows 驅動程序中發現的漏洞的名稱。對于黑客來說,它是一個很好的目標,因為它很容易用于攻擊,而且它是系統的一部分,因此他們不需要添加任何可以檢測到的新內容。


https://gbhackers.com/lazarus-hackers-exploited-windows-0-day/


2. 制藥巨頭 Cencora 報告稱其遭到網絡攻擊


2月28日,Cencora, Inc.(以下簡稱“公司”)獲悉其信息系統中的數據已被泄露,其中部分數據可能包含個人信息。在初步發現未經授權的攻擊活動后,公司立即采取遏制措施,并在執法部門、網絡安全專家和外部顧問的協助下開始調查。截至本公告發布之日,該事件尚未對公司運營產生重大影響,其信息系統仍在運行。公司尚未確定該事件是否合理可能對公司的財務狀況或經營業績產生重大影響。據The Record報道,Cencora 以前稱為 AmerisourceBergen。AmerisourceBergen 公司似乎經歷了 Lorenz 勒索軟件組織于 2023 年 1 月聲稱的勒索軟件攻擊,并且似乎影響了 MWI Animal Health。DataBreaches 尚不清楚 2022 年事件與最近的報告之間是否有任何聯系。


https://www.databreaches.net/pharmaceutical-giant-cencora-reports-cyberattack/


3. Rhysida 勒索團伙攻擊Lurie并勒索 360 萬美元


2月28日,Rhysida 勒索軟件團伙聲稱對本月初針對芝加哥盧里兒童醫院的網絡攻擊負責。Lurie 是美國領先的兒科急癥護理機構,每年為超過 200,000 名兒童提供護理。網絡攻擊迫使醫療保健提供商關閉其 IT 系統,并在某些情況下推遲醫療護理。電子郵件、電話、MyChart 訪問和本地互聯網均受到影響。超聲波和 CT 掃描結果無法獲得,患者服務優先系統被取消,醫生被迫改用筆和紙開處方。Rhysida 勒索軟件團伙已將 Lurie Children’s 醫院列入其暗網上的勒索門戶網站,聲稱從該醫院竊取了 600 GB 的數據。根據Lurie Children's 于 2024 年 2 月 22 日發布的最新狀態更新,恢復 IT 系統的工作正在進行中,服務中斷仍然影響一些運營部門。


https://www.bleepingcomputer.com/news/security/rhysida-ransomware-wants-36-million-for-childrens-stolen-data/


4. Anycubic 3D打印機在全球范圍內遭到黑客攻擊


2月28日,根據 Anycubic 客戶的一波在線報告,有人入侵了他們的 3D 打印機,并警告這些設備面臨攻擊。此事件背后的人在其設備中添加了 hacked_machine_readme.gcode 文件(該文件通常包含 3D 打印指令),提醒受影響的用戶他們的打印機受到嚴重安全錯誤的影響。據稱,此漏洞使潛在攻擊者能夠使用該公司的 MQTT 服務 API 控制任何受此漏洞影響的 Anycubic 3D 打印機。受影響設備收到的文件還要求 Anycubic 開源其 3D 打印機,在用戶報告 3D 打印機顯示“被黑”消息開始出現后, Anycubic應用程序也停止了工作。正如TechCrunch首次報道的那樣,嘗試登錄的用戶會看到“網絡不可用”錯誤消息。


https://www.bleepingcomputer.com/news/security/anycubic-3d-printers-hacked-worldwide-to-expose-security-flaw/


5. 與伊朗有關的 UNC1549 黑客瞄準中東航空航天和國防部門


2月28日,谷歌旗下的 Mandiant 在一份新分析中表示,網絡間諜活動的其他目標可能包括土耳其、印度和阿爾巴尼亞。這些攻擊需要使用 Microsoft Azure 云基礎設施進行命令與控制 (C2) 和涉及與工作相關的誘惑的社會工程,以提供兩個名為 MINIBIKE 和 MINIBUS 的后門。魚叉式網絡釣魚電子郵件旨在傳播包含以色列哈馬斯相關內容或虛假工作機會的虛假網站鏈接,從而導致部署惡意負載。還觀察到模仿大公司的虛假登錄頁面以獲取憑據。自定義后門在建立 C2 訪問后,充當情報收集和進一步訪問目標網絡的渠道。此階段部署的另一個工具是名為 LIGHTRAIL 的隧道軟件,它使用 Azure 云進行通信。此次攻擊活動中部署的規避方法,即量身定制的以工作為主題的誘餌與 C2 云基礎設施的使用相結合,可能會讓網絡防御者難以預防、檢測和減輕這種活動。


https://thehackernews.com/2024/02/iran-linked-unc1549-hackers-target.html


6. 勒索軟件團伙聲稱竊取近 200GB 的 Epic Games 內部數據


2月28日,據報道,該團伙名為 Mogilevich,在其暗網泄密網站上發布了一條消息,提供了有關其聲稱的《堡壘之夜》和Epic Games Store公司泄密事件的更多信息。還聲稱已經泄露了“電子郵件、密碼、全名、付款信息、源代碼和許多其他數據”,總大小達到 189GB。還說:“數據也可以出售”,并為“公司員工或想要購買數據的人”添加了鏈接。該團伙規定了 3 月 4 日為購買數據的最后期限,但沒有給出具體數字,也沒有表明如果截止日期過后將如何處理這些數據。Mogilevich 是一個相對較新的勒索軟件組織,Epic Games 是其第四個目標。第一個是日產子公司英菲尼迪美國公司,該公司上周遭到黑客攻擊。


https://www.videogameschronicle.com/news/a-ransomware-gang-claims-to-have-hacked-nearly-200gb-of-epic-games-internal-data/

上一篇 下一篇