首頁 > 安全研究 > 安全通報 > 安全簡訊

研究人員發現Windows缺陷可導致類似Rootkit的功能

發布時間 2024-04-24

1. 研究人員發現Windows缺陷可導致類似Rootkit的功能


4月22日,威脅行為者可以利用 DOS 到 NT 路徑轉換過程來實現類似 rootkit 的功能,以隱藏和模擬文件、目錄和進程。安全研究員 Or Yair在黑帽大會上發表的一份分析報告中表示:“當用戶在 Windows 中執行帶有路徑參數的函數時,文件或文件夾所在的 DOS 路徑將轉換為 NT 路徑?!痹诖宿D換過程中,存在一個已知問題,即該函數會刪除任何路徑元素中的尾隨點以及最后一個路徑元素中的任何尾隨空格。此操作由 Windows 中的大多數用戶空間 API 完成。這些所謂的 MagicDot 路徑允許任何非特權用戶訪問類似 rootkit 的功能,然后這些用戶可以將其武器化,在沒有管理員權限的情況下執行一系列惡意操作,并且不會被發現。


https://thehackernews.com/2024/04/researchers-uncover-windows-flaws.html?&web_view=true


2. 俄羅斯Sandworm黑客團伙瞄準了烏克蘭20個重要組織


4月22日,根據烏克蘭計算機緊急響應小組 (CERT-UA) 的一份報告,俄羅斯黑客組織 Sandworm 旨在破壞烏克蘭約 20 個關鍵基礎設施的運行。這些黑客也被稱為 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44,據信與俄羅斯武裝部隊總參謀部 (GRU) 有關,對各種目標進行網絡間諜活動和破壞性攻擊。CERT-UA 報告稱,2024 年 3 月,APT44 進行了破壞烏克蘭 10 個地區能源、水和供暖供應商信息和通信系統的行動。攻擊發生在三月份,在某些情況下,黑客能夠通過毒害供應鏈來提供受損或易受攻擊的軟件,或者通過軟件提供商訪問組織系統進行維護和技術支持的能力來滲透目標網絡。


https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-targeted-20-critical-orgs-in-ukraine/


3. APT28 利用 Windows 打印后臺處理程序缺陷部署GooseEgg


4月23日,APT28將 Microsoft Windows Print Spooler 組件中的安全漏洞武器化,以傳播一種名為 GooseEgg 的先前未知的自定義惡意軟件。據稱,該泄露后工具至少從 2020 年 6 月開始使用,可能最早從 2019 年 4 月開始使用,它利用了一個現已修補的缺陷,允許權限升級(CVE-2022-38028,CVSS 評分:7.8)。Microsoft 在 2022 年 10 月發布的更新中解決了這個問題,美國國家安全局 (NSA) 當時報告了該缺陷。根據這家科技巨頭威脅情報團隊的最新發現,APT28(也稱為 Fancy Bear 和 Forest Blizzard(以前稱為 Strontium))將該漏洞武器化,用于針對烏克蘭、西歐和北美政府、非政府、教育和交通的攻擊部門組織。近幾個月來,APT28 黑客還濫用了Microsoft Outlook 中的權限升級漏洞(CVE-2023-23397,CVSS 得分:9.8)和 WinRAR 中的代碼執行漏洞(CVE-2023-38831,CVSS 得分:7.8)。


https://thehackernews.com/2024/04/russias-apt28-exploited-windows-print.html


4. ToddyCat APT 正在收集亞太地區工控行業的數據


4月23日,一個名為 ToddyCat 的高級持續威脅 (APT) 組織正在從亞太地區的政府和國防目標收集工業規?;臄祿???ò退够鶎嶒炇腋櫾摶顒拥难芯咳藛T本周將威脅行為者描述為使用多個同時連接到受害者環境來維持持久性并從中竊取數據。他們還發現了 ToddyCat使用的一組新工具,用于從受害者系統和瀏覽器收集數據。ToddyCat 很可能是一個講中文的威脅行為者,卡巴斯基已將其與至少可追溯到 2020 年 12 月的攻擊聯系起來。在最初階段,該組織似乎只關注臺灣和越南的少數組織。但在 2021 年 2 月公開披露 Microsoft Exchange Server 中的所謂ProxyLogon 漏洞后,威脅行為者迅速加大了攻擊力度。


https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-


5. Synlab Italia 因勒索軟件攻擊而暫停運營


4月22日,在勒索軟件攻擊迫使 IT 系統離線后,Synlab Italia 暫停了所有醫療診斷和測試服務。Synlab Italia 網絡隸屬于遍布全球 30 個國家/地區的 Synlab 集團,在意大利各地運營著 380 個實驗室和醫療中心。它的年營業額為 4.26 億美元,每年進行 3500 萬次分析。該公司宣布在 4 月 18 日凌晨遭遇安全漏洞,迫使其關閉所有計算機以限制破壞活動。盡管該公司尚未證實,但一些敏感的醫療數據可能已暴露給攻擊者。尚無主要勒索軟件團伙聲稱對 Synlab Italia 的網絡攻擊負責。


https://www.bleepingcomputer.com/news/security/synlab-italia-suspends-operations-following-ransomware-attack/


6. 美國國家安全局 (NSA) 發布安全人工智能部署指南


4月22日,美國國家安全局與美國和其他五眼國家的六個政府機構合作發布了有關如何安全部署人工智能系統的新指南。它提供了分為三類的最佳實踐列表,涉及人工智能部署的三個主要步驟:保護部署環境、持續保護AI系統和安全AI運維。保護人工智能系統涉及識別風險、實施適當的緩解措施和監控問題的持續過程。通過采取本報告中概述的步驟來確保人工智能系統的部署和運行安全,組織可以顯著降低所涉及的風險。這些步驟有助于保護組織的知識產權、模型和數據免遭盜竊或濫用。


https://www.infosecurity-magazine.com/news/nsa-launches-guidance-secure-ai/

上一篇 下一篇