Lazarus 黑客利用 Windows 0-Day 获取内核权限
发布时间 2024-03-012月29日,著名的网络犯罪组织 Lazarus Group 最近利用 Windows 中的零日漏洞获取内核权限,这是系统访问的关键级别。该漏洞被识别为 CVE-2024-21338,是在 appid.Sys AppLocker 驱动程序中发现的,微软根据 Avast Threat Labs 的报告在二月补丁星期二更新中修复了该漏洞。该漏洞允许 Lazarus Group 建立内核读/写原语,这是操纵操作系统内核内存的基本功能。此功能用于更新他们的 FudModule rootkit,增强其功能和隐蔽性。Rootkit 现在包含用于操作句柄表条目的新技术,这些技术可能会干扰受 Microsoft Protected Process Light (PPL) 保护的进程,例如属于 Microsoft Defender、CrowdStrike Falcon 和 HitmanPro 的进程。CVE-2024-21338是 Windows 驱动程序中发现的漏洞的名称。对于黑客来说,它是一个很好的目标,因为它很容易用于攻击,而且它是系统的一部分,因此他们不需要添加任何可以检测到的新内容。
https://gbhackers.com/lazarus-hackers-exploited-windows-0-day/
2. 制药巨头 Cencora 报告称其遭到网络攻击
2月28日,Cencora, Inc.(以下简称“公司”)获悉其信息系统中的数据已被泄露,其中部分数据可能包含个人信息。在初步发现未经授权的攻击活动后,公司立即采取遏制措施,并在执法部门、网络安全专家和外部顾问的协助下开始调查。截至本公告发布之日,该事件尚未对公司运营产生重大影响,其信息系统仍在运行。公司尚未确定该事件是否合理可能对公司的财务状况或经营业绩产生重大影响。据The Record报道,Cencora 以前称为 AmerisourceBergen。AmerisourceBergen 公司似乎经历了 Lorenz 勒索软件组织于 2023 年 1 月声称的勒索软件攻击,并且似乎影响了 MWI Animal Health。DataBreaches 尚不清楚 2022 年事件与最近的报告之间是否有任何联系。
https://www.databreaches.net/pharmaceutical-giant-cencora-reports-cyberattack/
3. Rhysida 勒索团伙攻击Lurie并勒索 360 万美元
2月28日,Rhysida 勒索软件团伙声称对本月初针对芝加哥卢里儿童医院的网络攻击负责。Lurie 是美国领先的儿科急症护理机构,每年为超过 200,000 名儿童提供护理。网络攻击迫使医疗保健提供商关闭其 IT 系统,并在某些情况下推迟医疗护理。电子邮件、电话、MyChart 访问和本地互联网均受到影响。超声波和 CT 扫描结果无法获得,患者服务优先系统被取消,医生被迫改用笔和纸开处方。Rhysida 勒索软件团伙已将 Lurie Children’s 医院列入其暗网上的勒索门户网站,声称从该医院窃取了 600 GB 的数据。根据Lurie Children's 于 2024 年 2 月 22 日发布的最新状态更新,恢复 IT 系统的工作正在进行中,服务中断仍然影响一些运营部门。
https://www.bleepingcomputer.com/news/security/rhysida-ransomware-wants-36-million-for-childrens-stolen-data/
4. Anycubic 3D打印机在全球范围内遭到黑客攻击
2月28日,根据 Anycubic 客户的一波在线报告,有人入侵了他们的 3D 打印机,并警告这些设备面临攻击。此事件背后的人在其设备中添加了 hacked_machine_readme.gcode 文件(该文件通常包含 3D 打印指令),提醒受影响的用户他们的打印机受到严重安全错误的影响。据称,此漏洞使潜在攻击者能够使用该公司的 MQTT 服务 API 控制任何受此漏洞影响的 Anycubic 3D 打印机。受影响设备收到的文件还要求 Anycubic 开源其 3D 打印机,在用户报告 3D 打印机显示“被黑”消息开始出现后, Anycubic应用程序也停止了工作。正如TechCrunch首次报道的那样,尝试登录的用户会看到“网络不可用”错误消息。
https://www.bleepingcomputer.com/news/security/anycubic-3d-printers-hacked-worldwide-to-expose-security-flaw/
5. 与伊朗有关的 UNC1549 黑客瞄准中东航空航天和国防部门
2月28日,谷歌旗下的 Mandiant 在一份新分析中表示,网络间谍活动的其他目标可能包括土耳其、印度和阿尔巴尼亚。这些攻击需要使用 Microsoft Azure 云基础设施进行命令与控制 (C2) 和涉及与工作相关的诱惑的社会工程,以提供两个名为 MINIBIKE 和 MINIBUS 的后门。鱼叉式网络钓鱼电子邮件旨在传播包含以色列哈马斯相关内容或虚假工作机会的虚假网站链接,从而导致部署恶意负载。还观察到模仿大公司的虚假登录页面以获取凭据。自定义后门在建立 C2 访问后,充当情报收集和进一步访问目标网络的渠道。此阶段部署的另一个工具是名为 LIGHTRAIL 的隧道软件,它使用 Azure 云进行通信。此次攻击活动中部署的规避方法,即量身定制的以工作为主题的诱饵与 C2 云基础设施的使用相结合,可能会让网络防御者难以预防、检测和减轻这种活动。
https://thehackernews.com/2024/02/iran-linked-unc1549-hackers-target.html
6. 勒索软件团伙声称窃取近 200GB 的 Epic Games 内部数据
2月28日,据报道,该团伙名为 Mogilevich,在其暗网泄密网站上发布了一条消息,提供了有关其声称的《堡垒之夜》和Epic Games Store公司泄密事件的更多信息。还声称已经泄露了“电子邮件、密码、全名、付款信息、源代码和许多其他数据”,总大小达到 189GB。还说:“数据也可以出售”,并为“公司员工或想要购买数据的人”添加了链接。该团伙规定了 3 月 4 日为购买数据的最后期限,但没有给出具体数字,也没有表明如果截止日期过后将如何处理这些数据。Mogilevich 是一个相对较新的勒索软件组织,Epic Games 是其第四个目标。第一个是日产子公司英菲尼迪美国公司,该公司上周遭到黑客攻击。
https://www.videogameschronicle.com/news/a-ransomware-gang-claims-to-have-hacked-nearly-200gb-of-epic-games-internal-data/
京公网安备11010802024551号