研究人员发现Windows缺陷可导致类似Rootkit的功效

首页 > 宁静研究 > 宁静通报 > 宁静简讯

研究人员发现Windows缺陷可导致类似Rootkit的功效

宣布时间 2024-04-24

1. 研究人员发现Windows缺陷可导致类似Rootkit的功效

4月22日，威胁行为者可以利用 DOS 到 NT 路径转换过程来实现类似 rootkit 的功效，以隐藏和模拟文件、目录和进程。宁静研究员 Or Yair在黑帽大会上发表的一份分析陈诉中体现：“当用户在 Windows 中执行带有路径参数的函数时，文件或文件夹所在的 DOS 路径将转换为 NT 路径。”在此转换过程中，存在一个已知问题，即该函数会删除任何路径元素中的尾随点以及最后一个路径元素中的任何尾随空格。此操作由 Windows 中的大多数用户空间 API 完成。这些所谓的 MagicDot 路径允许任何非特权用户访问类似 rootkit 的功效，然后这些用户可以将其武器化，在没有管理员权限的情况下执行一系列恶意操作，而且不会被发现。

https://thehackernews.com/2024/04/researchers-uncover-windows-flaws.html?&web_view=true

2. 俄罗斯Sandworm黑客团伙瞄准了乌克兰20个重要组织

4月22日，凭据乌克兰计算机紧急响应小组 (CERT-UA) 的一份陈诉，俄罗斯黑客组织 Sandworm 旨在破坏乌克兰约 20 个要害基础设施的运行。这些黑客也被称为 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44，据信与俄罗斯武装队伍总照料部 (GRU) 有关，对种种目标进行网络间谍活动和破坏性攻击。CERT-UA 陈诉称，2024 年 3 月，APT44 进行了破坏乌克兰 10 个地域能源、水和供暖供应商信息和通信系统的行动。攻击发生在三月份，在某些情况下，黑客能够通过迫害供应链来提供受损或易受攻击的软件，或者通过软件提供商访问组织系统进行维护和技术支持的能力来渗透目标网络。

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-targeted-20-critical-orgs-in-ukraine/

3. APT28 利用 Windows 打印后台处置法式缺陷部署GooseEgg

4月23日，APT28将 Microsoft Windows Print Spooler 组件中的宁静漏洞武器化，以流传一种名为 GooseEgg 的先前未知的自界说恶意软件。据称，该泄露后工具至少从 2020 年 6 月开始使用，可能最早从 2019 年 4 月开始使用，它利用了一个现已修补的缺陷，允许权限升级（CVE-2022-38028，CVSS 评分：7.8）。Microsoft 在 2022 年 10 月宣布的更新中解决了这个问题，美国国家宁静局 (NSA) 其时陈诉了该缺陷。凭据这家科技巨头威胁情报团队的最新发现，APT28（也称为 Fancy Bear 和 Forest Blizzard（以前称为 Strontium））将该漏洞武器化，用于针对乌克兰、西欧和北美政府、非政府、教育和交通的攻击部门组织。近几个月来，APT28 黑客还滥用了Microsoft Outlook 中的权限升级漏洞（CVE-2023-23397，CVSS 得分：9.8）和 WinRAR 中的代码执行漏洞（CVE-2023-38831，CVSS 得分：7.8）。

https://thehackernews.com/2024/04/russias-apt28-exploited-windows-print.html

4. ToddyCat APT 正在收集亚太地域工控行业的数据

4月23日，一个名为 ToddyCat 的高级连续威胁 (APT) 组织正在从亚太地域的政府和国防目标收集工业规�；氖��？ò退够笛槭腋俑没疃难芯咳嗽北局芙残形呙枋鑫褂枚喔鐾绷拥绞芎φ呋肪忱次殖志眯圆⒋又星匀∈�。他们还发现了 ToddyCat使用的一组新工具，用于从受害者系统和浏览器收集数据。ToddyCat 很可能是一个讲中文的威胁行为者，卡巴斯基已将其与至少可追溯到 2020 年 12 月的攻击联系起来。在最初阶段，该组织似乎只关注台湾和越南的少数组织。但在 2021 年 2 月果然披露 Microsoft Exchange Server 中的所谓ProxyLogon 漏洞后，威胁行为者迅速加大了攻击力度。

https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-

5. Synlab Italia 因勒索软件攻击而暂停运营

4月22日，在勒索软件攻击迫使 IT 系统离线后，Synlab Italia 暂停了所有医疗诊断和测试服务。Synlab Italia 网络隶属于遍布全球 30 个国家/地域的 Synlab 集团，在意大利各地运营着 380 个实验室和医疗中心。它的年营业额为 4.26 亿美元，每年进行 3500 万次分析。该公司宣布在 4 月 18 日凌晨遭遇宁静漏洞，迫使其关闭所有计算机以限制破坏活动。尽管该公司尚未证实，但一些敏感的医疗数据可能已袒露给攻击者。尚无主要勒索软件团伙声称对 Synlab Italia 的网络攻击卖力。

https://www.bleepingcomputer.com/news/security/synlab-italia-suspends-operations-following-ransomware-attack/

6. 美国国家宁静局 (NSA) 宣布宁静人工智能部署指南

4月22日，美国国家宁静局与美国和其他五眼国家的六个政府机构合作宣布了有关如何宁静部署人工智能系统的新指南。它提供了分为三类的最佳实践列表，涉及人工智能部署的三个主要步骤：�；げ渴鸹肪场⒘；I系统和宁静AI运维。�；と斯ぶ悄芟低成婕笆侗鸱缦铡⑹凳┦实钡幕航獯胧┖图嗫匚侍獾牧�。通过接纳本陈诉中概述的步骤来确保人工智能系统的部署和运行宁静，组织可以显着降低所涉及的风险。这些步骤有助于�；ぷ橹闹恫ā⒛Ｐ秃褪菝庠馔登曰蚶挠�。

https://www.infosecurity-magazine.com/news/nsa-launches-guidance-secure-ai/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究