朝鲜Lazarus Group利用Chrome零日漏洞提倡攻击

首页 > 宁静研究 > 宁静通报 > 宁静简讯

朝鲜Lazarus Group利用Chrome零日漏洞提倡攻击

宣布时间 2024-10-28

1. 朝鲜Lazarus Group利用Chrome零日漏洞提倡攻击

10月24日，朝鲜黑客组织Lazarus Group被指利用Google Chrome的现已修补宁静漏洞CVE-2024-4947进行零日攻击，控制受熏染设备�？ò退够驹�2024年5月发现了一条针对俄罗斯公民的攻击链，攻击通过虚假的加密货币领域游戏网站"detankzone[.]com"触发漏洞。该网站伪装成去中心化金融（DeFi）NFT的多人在线战斗竞技�。∕OBA）坦克游戏，实则包罗隐藏脚本，在用户浏览器中运行漏洞，使攻击者获得对受害者PC的完全控制。此外，Lazarus Group还被怀疑窃取了一款合法区块链边玩边赚（P2E）游戏的源代码和货币，用于实现其攻击目标�？ò退够赋�，Lazarus是最活跃、最庞大的APT攻击者之一，经济利益是其主要动机，且其计谋在不停演变，利用生成式人工智能等新技术提倡更庞大的攻击。

https://thehackernews.com/2024/10/lazarus-group-exploits-google-chrome.html

2. Fortinet FortiManager RCE零日漏洞在野外被利用

10月24日，网络宁静公司Fortinet近日披露了其软件产物FortiManager存在一个要害零日漏洞（CVE-2024-47575），该漏洞允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令，且已在野外被积极利用。该漏洞的CVSS v3评分高达9.8，影响多个版本的FortiManager及FortiManager Cloud。Fortinet已宣布补丁并提供了多种解决要领。据陈诉，该漏洞已被用于泄露敏感文件，包罗IP地址、凭证和设备配置，但尚未发现恶意软件或后门安装。威胁组织UNC5820自2024年6月27日起就利用此漏洞，获取了FortiGate设备配置数据，包罗用户加密密码，可能用于进一步破坏和横向移动。Mandiant无法确定攻击者身份和目的，建议所有袒露在互联网上的FortiManager组织立即进行取证视察。Fortinet敦促用户立即升级至宁静版本，并接纳阻止未知设备注册、使用自界说证书身份验证等解决要领。

https://cybersecuritynews.com/fortimanager-zero-day-vulnerability/#google_vignette

3. Fog与Akira勒索软件利用SonicWall VPN漏洞频繁入侵企业网络

10月27日，Fog和Akira勒索软件运营商正越来越多地利用SonicWall VPN帐户入侵企业网络，要害漏洞CVE-2024-40766被认为是其入侵的主要通道。SonicWall于2024年8月下旬修复了该漏洞，但一周后便警告称漏洞已被积极利用。北极狼宁静研究人员发现，Akira勒索软件隶属机构已利用该漏洞获取初始访问权限。据Arctic Wolf陈诉，Akira和Fog至少进行了30次入侵，均始于通过SonicWall VPN帐户远程访问。其中，75%的案件与Akira有关，其余为Fog所为。这两个组织似乎共享基础设施，表明仍存在非正式合作。所有被攻破的端点都运行易受攻击的未修补版本，且从入侵到数据加密的时间通常较短，最快仅需1.5-2小时。威胁行为者通过VPN/VPS访问端点并混淆真实IP地址。受熏染组织未启用多因素身份验证，也未在默认端口上运行服务。入侵过程中，视察到特定消息事件ID表明远程用户登录和IP分配乐成。威胁行为者主要针对虚拟机及其备份提倡快速加密攻击，并窃取文档和专有软件，但不关注凌驾六个月或30个月的文件。

https://www.bleepingcomputer.com/news/security/fog-ransomware-targets-sonicwall-vpns-to-breach-corporate-networks/

4. BlackBasta勒索软件行动利用Microsoft Teams进行社会工程攻击

10月25日，BlackBasta勒索软件行动自2022年4月以来一直活跃，对全球数百起企业攻击卖力。该组织通过漏洞、合作、恶意软件僵尸网络和社会工程学等多种要领破坏网络。最近，BlackBasta的隶属机构将社会工程攻击转移到了Microsoft Teams上，他们冒充公司IT资助台联系员工，协助解决垃圾邮件问题。攻击者首先用电子邮件淹没员工的收件箱，然后以外部用户的身份通过Microsoft Teams联系员工，这些帐户是在Entra ID租户下创建的，名称看起来像是资助台。在聊天中，攻击者发送二维码或诱骗用户安装AnyDesk远程支持工具或启动Windows Quick Assist远程控制和屏幕共享工具，以便远程访问用户的公司设备。一旦连接，攻击者会安装种种有效载荷，如ScreenConnect、NetSupport Manager和Cobalt Strike，以连续远程访问用户的公司设备，并横向扩散到其他设备，同时提升权限、窃取数据，并最终部署勒索软件加密器。ReliaQuest建议组织限制Microsoft Teams中来自外部用户的通信，并启用日志记录以查找可疑聊天。

https://www.bleepingcomputer.com/news/security/black-basta-ransomware-poses-as-it-support-on-microsoft-teams-to-breach-networks/

5. 亚马逊查封APT29黑客组织攻击域名

10月25日，亚马逊已查封俄罗斯APT29黑客组织用于政府和军事组织针对性攻击的域名。APT29，又称“Cozy Bear”和“Midnight Blizzard”，与俄罗斯对外情报局有联系，擅长使用网络钓鱼和恶意软件窃取敏感信息。此次攻击中，APT29通过伪装成AWS域名的网络钓鱼页面，诱骗目标相信并使用恶意远程桌面协议连接文件，以窃取Windows凭证和数据。尽管亚马逊澄清其云平台并非直接目标，但仍立即启动了查封冒充AWS域名的法式。APT29以高度庞大的攻击闻名，针对全球政府、智库和研究机构，且最近活动范围广泛，包罗向更多目标发送网络钓鱼电子邮件。乌克兰计算机应急反映小组也宣布了相关警告，并建议接纳多项措施减少攻击面，如阻止“.rdp”文件、限制RDP连接等。APT29仍是俄罗斯最强大的网络威胁之一，过去一年中曾入侵多个重要软件供应商，并利用服务器漏洞入侵全球重要组织。

https://www.bleepingcomputer.com/news/security/amazon-seizes-domains-used-in-rogue-remote-desktop-campaign-to-steal-data/

6. RansomHub黑客组织声称对墨西哥13个机场运营商提倡攻击

10月26日，黑客组织RansomHub最近声称对墨西哥13个机场运营商Grupo Aeroportuario del Centro Norte（OMA）的网络攻击卖力，并威胁如果不支付赎金，将泄露3TB被盗数据。OMA运营着墨西哥中部和北部地域的机场，今年已接待超1900万名搭客。此次网络事件迫使OMA转向备用系统以维持运营，但显示航班航站楼位置的屏幕仍无法使用。OMA体现正在与外部网络宁静专家合作视察事件范围，并已逐步恢复某些服务，但对公司运营和财政状况未造成重大倒霉影响。微软本周指出，RansomHub仍是勒索软件领域最活跃的威胁之一，多个其他威胁行为者也继续使用其恶意软件进行攻击。

https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究