Lazarus 黑客利用 Windows 0-Day 获取内核权限

首页 > 安全钻研 > 安全传递 > 安全简讯

Lazarus 黑客利用 Windows 0-Day 获取内核权限

颁布功夫 2024-03-01

1. Lazarus 黑客利用 Windows 0-Day 获取内核权限

2月29日，驰名的网络犯罪组织 Lazarus Group 最近利用 Windows 中的零日缝隙获取内核权限，这是系统接见的关键级别。该缝隙被鉴别为 CVE-2024-21338，是在 appid.Sys AppLocker 驱动法式中发现的，微软凭据 Avast Threat Labs 的汇报在仲春补丁星期二更新中建复了该缝隙。该缝隙允许 Lazarus Group 成立内核读/写原语，这是把持操作系统内核内存的根基职能。此职能用于更新他们的 FudModule rootkit，加强其职能和荫蔽性。Rootkit 此刻蕴含用于操作句柄表条款标新技术，这些技术可能会滋扰受 Microsoft Protected Process Light (PPL) �；さ墓�，例如属于 Microsoft Defender、CrowdStrike Falcon 和 HitmanPro 的过程。CVE-2024-21338是 Windows 驱动法式中发现的缝隙的名称。对于黑客来说，它是一个很好的指标，由于它很容易用于攻击，并且它是系统的一部门，因而他们不必要增长任何能够检测到的新内容。

https://gbhackers.com/lazarus-hackers-exploited-windows-0-day/

2. 造药巨头 Cencora 汇报称其遭到网络攻击

2月28日，Cencora, Inc.（以下简称“公司”）获悉其信息系统中的数据已被泄露，其中部门数据可能蕴含幼我信息。在初步发现未经授权的攻击活动后，公司当即采取遏造措施，并在法律部门、网络安全专家和表部照拂的协助下起头调查。截至本布告颁布之日，该事务尚未对公司运营产生沉大影响，其信息系统仍在运行。公司尚未确定该事务是否合理可能对公司的财政情况或经交易绩产生沉大影响。据The Record报路，Cencora 以前称为 AmerisourceBergen。AmerisourceBergen 公司似乎经历了 Lorenz 勒索软件组织于 2023 年 1 月宣称的勒索软件攻击，并且似乎影响了 MWI Animal Health。DataBreaches 尚不明显 2022 年龄务与最近的汇报之间是否有任何联系。

https://www.databreaches.net/pharmaceutical-giant-cencora-reports-cyberattack/

3. Rhysida 勒索团伙攻击Lurie并勒索 360 万美元

2月28日，Rhysida 勒索软件团伙宣称对本月初针对芝加哥卢里儿童医院的网络攻击掌管。Lurie 是美国当先的儿科急症护理机构，每年为超过 200,000 名儿童提供护理。网络攻击迫使医疗保健提供商关关其 IT 系统，并在某些情况下推迟医疗护理。电子邮件、电话、MyChart 接见和本地互联网均受到影响。超声波和 CT 扫描了局无法获得，患者服务优先系统被取缔，医生被迫改用笔和纸开处方。Rhysida 勒索软件团伙已将 Lurie Children’s 医院列入其暗网上的勒索门户网站，宣称从该医院窃取了 600 GB 的数据。凭据Lurie Children's 于 2024 年 2 月 22 日颁布的最新状态更新，复原 IT 系统的工作在进行中，服务中断依然影响一些运营部门。

https://www.bleepingcomputer.com/news/security/rhysida-ransomware-wants-36-million-for-childrens-stolen-data/

4. Anycubic 3D打印机在全球领域内遭到黑客攻击

2月28日，凭据 Anycubic 客户的一波在线汇报，有人入侵了他们的 3D 打印机，并忠告这些设备面对攻击。此事务背后的人在其设备中增长了 hacked_machine_readme.gcode 文件（该文件通常蕴含 3D 打印指令），提醒受影响的用户他们的打印机受到严沉安全谬误的影响。据称，此缝隙使潜在攻击者可能使用该公司的 MQTT 服务 API 节造任何受此缝隙影响的 Anycubic 3D 打印机。受影响设备收到的文件还要求 Anycubic 开源其 3D 打印机，在用户汇报 3D 打印机显示“被黑”新闻起头出现后， Anycubic利用法式也终场了工作。正如TechCrunch初次报路的那样，尝试登录的用户会看到“网络不成用”谬误新闻。

https://www.bleepingcomputer.com/news/security/anycubic-3d-printers-hacked-worldwide-to-expose-security-flaw/

5. 与伊朗有关的 UNC1549 黑客对准中东航空航天和国防部门

2月28日，谷歌旗下的 Mandiant 在一份新分析中暗示，网络间谍活动的其他指标可能蕴含土耳其、印度和阿尔巴尼亚。这些攻击必要使用 Microsoft Azure 云基础设施进行号令与节造 (C2) 和涉及与工作有关的引诱的社会工程，以提供两个名为 MINIBIKE 和 MINIBUS 的后门。鱼叉式网络垂钓电子邮件旨在传布蕴含以色列哈马斯有关内容或虚伪工作机遇的虚伪网站链接，从而导致部署恶意负载�；构鄄斓椒抡沾蠊镜男槲钡锹家趁嬉曰袢⊥创�。自界说后门在成立 C2 接见后，充任谍报网络和进一步接见指标网络的渠路。此阶段部署的另一个工具是名为 LIGHTRAIL 的隧路软件，它使用 Azure 云进行通讯。这次攻击活动中部署的躲避步骤，即量身定造的以工作为主题的钓饵与 C2 云基础设施的使用相结合，可能会让网络防御者难以预防、检测和减轻这种活动。

https://thehackernews.com/2024/02/iran-linked-unc1549-hackers-target.html

6. 勒索软件团伙宣称窃取近 200GB 的 Epic Games 内部数据

2月28日，据报路，该团伙名为 Mogilevich，在其暗网泄密网站上颁布了一条新闻，提供了有关其宣称的《碉堡之夜》和Epic Games Store公司泄密事务的更多信息�；剐埔丫孤读恕暗缱佑始⒚苈搿⑷⒏犊钚畔ⅰ⒃创牒秃芏嗥渌荨�，总大幼达到 189GB�；顾担骸笆菀材芄幌邸�，并为“公司员工或想要采办数据的人”增长了链接。该团伙划定了 3 月 4 日为采办数据的最后期限，但没有给出具体数字，也没有批注若是截止日期过后将若何处置这些数据。Mogilevich 是一个相对较新的勒索软件组织，Epic Games 是其第四个指标。第一个是日产子公司英菲尼迪美国公司，该公司上周遭到黑客攻击。

https://www.videogameschronicle.com/news/a-ransomware-gang-claims-to-have-hacked-nearly-200gb-of-epic-games-internal-data/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研