研究人员发现Windows缺陷可导致类似Rootkit的功能
发布时间 2024-04-241. 研究人员发现Windows缺陷可导致类似Rootkit的功能
4月22日,威胁行为者可以利用 DOS 到 NT 路径转换过程来实现类似 rootkit 的功能,以隐藏和模拟文件、目录和进程。安全研究员 Or Yair在黑帽大会上发表的一份分析报告中表示:“当用户在 Windows 中执行带有路径参数的函数时,文件或文件夹所在的 DOS 路径将转换为 NT 路径。”在此转换过程中,存在一个已知问题,即该函数会删除任何路径元素中的尾随点以及最后一个路径元素中的任何尾随空格。此操作由 Windows 中的大多数用户空间 API 完成。这些所谓的 MagicDot 路径允许任何非特权用户访问类似 rootkit 的功能,然后这些用户可以将其武器化,在没有管理员权限的情况下执行一系列恶意操作,并且不会被发现。
https://thehackernews.com/2024/04/researchers-uncover-windows-flaws.html?&web_view=true
2. 俄罗斯Sandworm黑客团伙瞄准了乌克兰20个重要组织
4月22日,根据乌克兰计算机紧急响应小组 (CERT-UA) 的一份报告,俄罗斯黑客组织 Sandworm 旨在破坏乌克兰约 20 个关键基础设施的运行。这些黑客也被称为 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44,据信与俄罗斯武装部队总参谋部 (GRU) 有关,对各种目标进行网络间谍活动和破坏性攻击。CERT-UA 报告称,2024 年 3 月,APT44 进行了破坏乌克兰 10 个地区能源、水和供暖供应商信息和通信系统的行动。攻击发生在三月份,在某些情况下,黑客能够通过毒害供应链来提供受损或易受攻击的软件,或者通过软件提供商访问组织系统进行维护和技术支持的能力来渗透目标网络。
https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-targeted-20-critical-orgs-in-ukraine/
3. APT28 利用 Windows 打印后台处理程序缺陷部署GooseEgg
4月23日,APT28将 Microsoft Windows Print Spooler 组件中的安全漏洞武器化,以传播一种名为 GooseEgg 的先前未知的自定义恶意软件。据称,该泄露后工具至少从 2020 年 6 月开始使用,可能最早从 2019 年 4 月开始使用,它利用了一个现已修补的缺陷,允许权限升级(CVE-2022-38028,CVSS 评分:7.8)。Microsoft 在 2022 年 10 月发布的更新中解决了这个问题,美国国家安全局 (NSA) 当时报告了该缺陷。根据这家科技巨头威胁情报团队的最新发现,APT28(也称为 Fancy Bear 和 Forest Blizzard(以前称为 Strontium))将该漏洞武器化,用于针对乌克兰、西欧和北美政府、非政府、教育和交通的攻击部门组织。近几个月来,APT28 黑客还滥用了Microsoft Outlook 中的权限升级漏洞(CVE-2023-23397,CVSS 得分:9.8)和 WinRAR 中的代码执行漏洞(CVE-2023-38831,CVSS 得分:7.8)。
https://thehackernews.com/2024/04/russias-apt28-exploited-windows-print.html
4. ToddyCat APT 正在收集亚太地区工控行业的数据
4月23日,一个名为 ToddyCat 的高级持续威胁 (APT) 组织正在从亚太地区的政府和国防目标收集工业规模化的数据。卡巴斯基实验室跟踪该活动的研究人员本周将威胁行为者描述为使用多个同时连接到受害者环境来维持持久性并从中窃取数据。他们还发现了 ToddyCat使用的一组新工具,用于从受害者系统和浏览器收集数据。ToddyCat 很可能是一个讲中文的威胁行为者,卡巴斯基已将其与至少可追溯到 2020 年 12 月的攻击联系起来。在最初阶段,该组织似乎只关注台湾和越南的少数组织。但在 2021 年 2 月公开披露 Microsoft Exchange Server 中的所谓ProxyLogon 漏洞后,威胁行为者迅速加大了攻击力度。
https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-
5. Synlab Italia 因勒索软件攻击而暂停运营
4月22日,在勒索软件攻击迫使 IT 系统离线后,Synlab Italia 暂停了所有医疗诊断和测试服务。Synlab Italia 网络隶属于遍布全球 30 个国家/地区的 Synlab 集团,在意大利各地运营着 380 个实验室和医疗中心。它的年营业额为 4.26 亿美元,每年进行 3500 万次分析。该公司宣布在 4 月 18 日凌晨遭遇安全漏洞,迫使其关闭所有计算机以限制破坏活动。尽管该公司尚未证实,但一些敏感的医疗数据可能已暴露给攻击者。尚无主要勒索软件团伙声称对 Synlab Italia 的网络攻击负责。
https://www.bleepingcomputer.com/news/security/synlab-italia-suspends-operations-following-ransomware-attack/
6. 美国国家安全局 (NSA) 发布安全人工智能部署指南
4月22日,美国国家安全局与美国和其他五眼国家的六个政府机构合作发布了有关如何安全部署人工智能系统的新指南。它提供了分为三类的最佳实践列表,涉及人工智能部署的三个主要步骤:保护部署环境、持续保护AI系统和安全AI运维。保护人工智能系统涉及识别风险、实施适当的缓解措施和监控问题的持续过程。通过采取本报告中概述的步骤来确保人工智能系统的部署和运行安全,组织可以显着降低所涉及的风险。这些步骤有助于保护组织的知识产权、模型和数据免遭盗窃或滥用。
https://www.infosecurity-magazine.com/news/nsa-launches-guidance-secure-ai/
京公网安备11010802024551号