Lazarus 黑客利用 Windows 0-Day 获取内核权限

宣布时间 2024-03-01
1. Lazarus 黑客利用 Windows 0-Day 获取内核权限


2月29日 ,著名的网络犯罪组织 Lazarus Group 最近利用 Windows 中的零日漏洞获取内核权限 ,这是系统访问的要害级别。该漏洞被识别为 CVE-2024-21338 ,是在 appid.Sys AppLocker 驱动法式中发现的 ,微软凭据 Avast Threat Labs 的陈诉在二月补丁星期二更新中修复了该漏洞。该漏洞允许 Lazarus Group 建立内核读/写原语 ,这是利用操作系统内核内存的基本功效。此功效用于更新他们的 FudModule rootkit ,增强其功效和隐蔽性。Rootkit 现在包罗用于操作句柄表条目的新技术 ,这些技术可能会滋扰受 Microsoft Protected Process Light (PPL) 掩护的进程 ,例如属于 Microsoft Defender、CrowdStrike Falcon 和 HitmanPro 的进程。CVE-2024-21338是 Windows 驱动法式中发现的漏洞的名称。对于黑客来说 ,它是一个很好的目标 ,因为它很容易用于攻击 ,而且它是系统的一部门 ,因此他们不需要添加任何可以检测到的新内容。


https://gbhackers.com/lazarus-hackers-exploited-windows-0-day/


2. 制药巨头 Cencora 陈诉称其遭到网络攻击


2月28日 ,Cencora, Inc.(以下简称“公司”)获悉其信息系统中的数据已被泄露 ,其中部门数据可能包罗个人信息。在开端发现未经授权的攻击活动后 ,公司立即接纳停止措施 ,并在执法部门、网络宁静专家和外部照料的协助下开始视察。截至本通告宣布之日 ,该事件尚未对公司运营发生重大影响 ,其信息系统仍在运行。公司尚未确定该事件是否合理可能对公司的财政状况或经营业绩发生重大影响。据The Record报道 ,Cencora 以前称为 AmerisourceBergen。AmerisourceBergen 公司似乎经历了 Lorenz 勒索软件组织于 2023 年 1 月声称的勒索软件攻击 ,而且似乎影响了 MWI Animal Health。DataBreaches 尚不清楚 2022 年事件与最近的陈诉之间是否有任何联系。


https://www.databreaches.net/pharmaceutical-giant-cencora-reports-cyberattack/


3. Rhysida 勒索团伙攻击Lurie并勒索 360 万美元


2月28日 ,Rhysida 勒索软件团伙声称对本月初针对芝加哥卢里儿童医院的网络攻击卖力。Lurie 是美国领先的儿科急症护理机构 ,每年为凌驾 200,000 名儿童提供护理。网络攻击迫使医疗保健提供商关闭其 IT 系统 ,并在某些情况下推迟医疗护理。电子邮件、电话、MyChart 访问和当地互联网均受到影响。超声波和 CT 扫描结果无法获得 ,患者服务优先系统被取消 ,医生被迫改用笔和纸开处方。Rhysida 勒索软件团伙已将 Lurie Children’s 医院列入其暗网上的勒索门户网站 ,声称从该医院窃取了 600 GB 的数据。凭据Lurie Children's 于 2024 年 2 月 22 日宣布的最新状态更新 ,恢复 IT 系统的事情正在进行中 ,服务中断仍然影响一些运营部门。


https://www.bleepingcomputer.com/news/security/rhysida-ransomware-wants-36-million-for-childrens-stolen-data/


4. Anycubic 3D打印机在全球范围内遭到黑客攻击


2月28日 ,凭据 Anycubic 客户的一波在线陈诉 ,有人入侵了他们的 3D 打印机 ,并警告这些设备面临攻击。此事件背后的人在其设备中添加了 hacked_machine_readme.gcode 文件(该文件通常包罗 3D 打印指令) ,提醒受影响的用户他们的打印机受到严重宁静错误的影响。据称 ,此漏洞使潜在攻击者能够使用该公司的 MQTT 服务 API 控制任何受此漏洞影响的 Anycubic 3D 打印机。受影响设备收到的文件还要求 Anycubic 开源其 3D 打印机 ,在用户陈诉 3D 打印机显示“被黑”消息开始泛起后 , Anycubic应用法式也停止了事情。正如TechCrunch首次报道的那样 ,实验登录的用户会看到“网络不行用”错误消息。


https://www.bleepingcomputer.com/news/security/anycubic-3d-printers-hacked-worldwide-to-expose-security-flaw/


5. 与伊朗有关的 UNC1549 黑客瞄准中东航空航天和国防部门


2月28日 ,谷歌旗下的 Mandiant 在一份新分析中体现 ,网络间谍活动的其他目标可能包罗土耳其、印度和阿尔巴尼亚。这些攻击需要使用 Microsoft Azure 云基础设施进行命令与控制 (C2) 和涉及与事情相关的诱惑的社会工程 ,以提供两个名为 MINIBIKE 和 MINIBUS 的后门。鱼叉式网络钓鱼电子邮件旨在流传包罗以色列哈马斯相关内容或虚假事情机会的虚假网站链接 ,从而导致部署恶意负载。还视察到模仿大公司的虚假登录页面以获取凭据。自界说后门在建立 C2 访问后 ,充当情报收集和进一步访问目标网络的渠道。此阶段部署的另一个工具是名为 LIGHTRAIL 的隧道软件 ,它使用 Azure 云进行通信。此次攻击活动中部署的规避要领 ,即量身定制的以事情为主题的诱饵与 C2 云基础设施的使用相结合 ,可能会让网络防御者难以预防、检测和减轻这种活动。


https://thehackernews.com/2024/02/iran-linked-unc1549-hackers-target.html


6. 勒索软件团伙声称窃取近 200GB 的 Epic Games 内部数据


2月28日 ,据报道 ,该团伙名为 Mogilevich ,在其暗网泄密网站上宣布了一条消息 ,提供了有关其声称的《碉堡之夜》和Epic Games Store公司泄密事件的更多信息。还声称已经泄露了“电子邮件、密码、全名、付款信息、源代码和许多其他数据” ,总巨细到达 189GB。还说:“数据也可以出售” ,并为“公司员工或想要购置数据的人”添加了链接。该团伙规定了 3 月 4 日为购置数据的最后期限 ,但没有给出具体数字 ,也没有表明如果截止日期过后将如何处置这些数据。Mogilevich 是一个相对较新的勒索软件组织 ,Epic Games 是其第四个目标。第一个是日产子公司英菲尼迪美国公司 ,该公司上周遭到黑客攻击。


https://www.videogameschronicle.com/news/a-ransomware-gang-claims-to-have-hacked-nearly-200gb-of-epic-games-internal-data/