首頁 > 安全研究 > 安全通報 > 安全簡訊

勒索軟件團伙在 BYOVD 攻擊中利用 Paragon Partition Manager 漏洞

發布時間 2025-03-03

1. 勒索軟件團伙在 BYOVD 攻擊中利用 Paragon Partition Manager 漏洞


3月1日,微軟近期發現了Paragon Partition Manager中的五個BioNTdrv.sys驅動程序缺陷,其中一個已被勒索軟件團伙在零日攻擊中利用,以獲取Windows系統的SYSTEM權限。這些漏洞可被用于“自帶易受攻擊的驅動程序”(BYOVD)攻擊,攻擊者通過放置內核驅動程序在目標系統上提升權限。CERT/CC警告稱,具有設備本地訪問權限的攻擊者能利用這些漏洞提升權限或引發拒絕服務(DoS)攻擊。由于涉及微軟簽名的驅動程序,即使未安裝Paragon Partition Manager,攻擊者也能利用BYOVD技術。BioNTdrv.sys作為內核級驅動程序,使威脅行為者能繞過保護和安全軟件執行命令。微軟已觀察到CVE-2025-0289漏洞被用于BYOVD勒索軟件攻擊中。Paragon Software已修補這些漏洞,微軟也將易受攻擊的BioNTdrv.sys版本加入阻止列表。建議用戶升級到包含解決所有缺陷的BioNTdrv.sys版本2.0.0的最新軟件版本。但需注意,未安裝Paragon Partition Manager的用戶也可能受到攻擊,因為BYOVD策略不依賴于目標軟件。微軟已更新易受攻擊的驅動程序阻止列表,用戶應驗證系統保護是否啟用。Paragon Software還警告用戶升級Paragon Hard Disk Manager,因它使用相同驅動程序。


https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/


2. 麒麟勒索軟件團伙威脅Lee Enterprises,聲稱將公開350GB竊取數據


2月28日,麒麟勒索軟件團伙聲稱對2月3日針對美國媒體公司Lee Enterprises的網絡攻擊負責,此次攻擊導致該公司運營中斷,并聲稱竊取了總計350GB的120,000個文件,包括政府身份證掃描件、保密協議、財務電子表格等機密文件。Lee Enterprises已確認收到這些指控并正在調查。麒麟勒索軟件團伙威脅稱,除非支付贖金,否則將于3月5日公開所有據稱被盜的數據。麒麟勒索軟件自2022年推出以來,已取得了顯著進展,并在技術方面不斷演進,推出了Linux變體、自定義Chrome憑證竊取程序以及基于Rust的數據儲物柜等。此外,微軟報告稱,“散布蜘蛛”黑客集團成員也開始使用麒麟勒索軟件進行攻擊。此次事件再次提醒企業和個人加強網絡安全防護,防范勒索軟件等網絡威脅。


https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-at-lee-enterprises-leaks-stolen-data/


3. Skype將于5月關閉,微軟推動用戶遷移至Teams


2月28日,微軟已確認,其視頻通話和消息服務Skype將于2025年5月5日下線。Skype自2011年被微軟收購以來,一直作為該公司的重要通信工具,但如今微軟正推動用戶遷移到其面向消費者的免費Teams應用程序。據BleepingComputer報道,Windows和Mac版的Skype預覽版中已出現提示用戶切換到Teams的字符串,一旦用戶登錄帳戶,他們的所有聯系人、通話記錄和消息都會自動遷移。如果用戶不想切換到Teams,他們可以導出聊天記錄和消息中分享的圖像。微軟表示,在過渡期間,Teams用戶可以與Skype用戶通話和聊天。隨著Skype的關閉,微軟將停止提供付費Skype功能,包括Skype點數和語音通話。微軟365協作應用與平臺總裁Jeff Teper表示,使用Teams,用戶可以訪問Skype中的許多核心功能,并獲得更多增強功能。Skype最初于2003年發布,每天有超過3600萬人使用它進行電話和聊天聯系。


https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-its-killing-off-skype-in-may-after-14-years/


4. 大型語言模型訓練數據集中驚現萬余實時秘密


2月28日,近期,用于訓練大型語言模型(LLM)的數據集被發現包含近12,000個可用于身份驗證的實時秘密,這再次凸顯了硬編碼憑證的安全風險。Truffle Security從Common Crawl的龐大數據集中發現了這些秘密,該數據集包含18年來超過2500億個頁面。此外,Lasso Security曾警告,通過公共源代碼存儲庫泄露的數據可通過AI聊天機器人訪問,即使已設為私有,這種攻擊方法發現了多個知名組織的存儲庫暴露了私人令牌和密鑰。新研究表明,對不安全代碼示例進行AI語言模型微調可能導致意外有害行為,稱為突發錯位。研究人員指出,模型經過微調后,可以在不透露的情況下輸出不安全的代碼,并與編碼無關的廣泛提示上表現不一致。這種對抗性攻擊被稱為即時注入,可導致LLM在不知情的情況下生成被禁止的內容。Palo Alto Networks Unit 42的調查發現,所有調查的GenAI網絡產品都存在一定程度的易被越獄的風險。此外,大型推理模型的思路鏈中間推理可能會被劫持,而“logit bias”參數的不當調整也可能導致模型產生不適當或有害的內容。這些發現強調了加強AI安全性的重要性。


https://thehackernews.com/2025/02/12000-api-keys-and-passwords-found-in.html


5. 美當局成功追回Uranium Finance被盜3100萬美元加密貨幣


2月28日,2021年4月,基于幣安智能鏈的去中心化金融(DeFi)協議Uranium Finance上線后不久便遭遇了兩次重大網絡攻擊。該平臺作為自動做市商(AMM)運作,類似于Uniswap。黑客利用智能合約中的漏洞,在兩次攻擊中分別盜走了140萬美元和5200萬美元的加密貨幣,總計造成超過5370萬美元的損失。盡管黑客在第一次攻擊后歸還了部分資金,但仍留下了385,500美元,并通過Tornado Cash進行了洗錢。這些被盜資金通過去中心化交易所轉換成了各種加密貨幣,并存放在閑置錢包中多年。然而,在區塊鏈情報公司TRM Labs的協助下,紐約南區(SDNY)和國土安全調查局(HSI)圣地亞哥分局成功追蹤并追回了部分被盜資產。TRM Labs與執法部門密切合作,細致追蹤了多個區塊鏈中被盜資產的流動情況,并提供了可操作的情報。最終,執法部門于2025年2月成功扣押了3100萬美元的未償還資金,超過了一半的損失得以挽回。目前,紐約州南區警察局正要求黑客攻擊的受害者發送電子郵件以領取部分被追回的加密貨幣。


https://www.bleepingcomputer.com/news/cryptocurrency/us-recovers-31-million-stolen-in-2021-uranium-finance-hack/


6. 網絡釣魚活動利用虛假CAPTCHA傳播Lumma Stealer惡意軟件


2月28日,網絡安全研究人員揭露了一場大規模網絡釣魚活動,該活動利用托管在Webflow CDN上的PDF文檔,通過虛假的CAPTCHA圖像傳播Lumma Stealer惡意軟件。Netskope Threat Labs發現超過260個域名托管了5000個釣魚PDF文件,這些文件將受害者重定向至惡意網站。攻擊者還利用SEO誘騙受害者點擊惡意搜索結果,并通過在線圖書館和PDF存儲庫上傳PDF文件以擴大攻擊范圍。這些PDF包含偽造的CAPTCHA,誘騙受害者執行惡意PowerShell命令,最終導致Lumma Stealer的安裝。自2024年下半年以來,該活動已影響1150多個組織和7000多名用戶,主要集中在北美、亞洲和南歐。此外,Lumma Stealer日志在一個新黑客論壇Leaky[.]pro上免費共享,表明該惡意軟件以惡意軟件即服務(MaaS)模式出售,為網絡犯罪分子提供從受感染Windows主機中獲取大量信息的方法。同時,其他竊取惡意軟件如Vidar和Atomic macOS Stealer也采用類似方法傳播,網絡釣魚攻擊還濫用了一種新的JavaScript混淆技術。這些攻擊高度個性化,包含非公開信息,并嘗試通過重定向至良性網站來中止攻擊,增加了其隱蔽性和復雜性。


https://thehackernews.com/2025/02/5000-phishing-pdfs-on-260-domains.html

上一篇 下一篇