钻研人员发现Windows缺点可导致类似Rootkit的职能

首页 > 安全钻研 > 安全传递 > 安全简讯

钻研人员发现Windows缺点可导致类似Rootkit的职能

颁布功夫 2024-04-24

1. 钻研人员发现Windows缺点可导致类似Rootkit的职能

4月22日，威胁行为者能够利用 DOS 到 NT 蹊径转换过程来实现类似 rootkit 的职能，以暗藏和仿照文件、目录和过程。安全钻研员 Or Yair在黑帽大会上颁发的一份分析汇报中暗示：“当用户在 Windows 中执行带有蹊径参数的函数时，文件或文件夹地点的 DOS 蹊径将转换为 NT 蹊径。”在此转换过程中，存在一个已知问题，即该函数会删除任何蹊径元素中的尾随点以及最后一个蹊径元素中的任何尾随空格。此操作由 Windows 中的大无数用户空间 API 实现。这些所谓的 MagicDot 蹊径允许任何非特权用户接见类似 rootkit 的职能，而后这些用户能够将其兵器化，在没有治理员权限的情况下执行一系列恶意操作，并且不会被发现。

https://thehackernews.com/2024/04/researchers-uncover-windows-flaws.html?&web_view=true

2. 俄罗斯Sandworm黑客团伙对准了乌克兰20个沉要组织

4月22日，凭据乌克兰推算机垂危响应幼组 (CERT-UA) 的一份汇报，俄罗斯黑客组织 Sandworm 旨在粉碎乌克兰约 20 个关键基础设施的运行。这些黑客也被称为 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44，据信与俄罗斯武装队列总照拂部 (GRU) 有关，对各类指标进行网络间谍活动和粉碎性攻击。CERT-UA 汇报称，2024 年 3 月，APT44 进行了粉碎乌克兰 10 个地域能源、水和供暖供给商信息和通讯系统的行动。攻击产生在三月份，在某些情况下，黑客可能通过毒害供给链来提供受损或易受攻击的软件，或者通过软件提供商接见组织系统进行守护和技术支持的能力来渗入指标网络。

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-targeted-20-critical-orgs-in-ukraine/

3. APT28 利用 Windows 打印后盾处置法式缺点部署GooseEgg

4月23日，APT28将 Microsoft Windows Print Spooler 组件中的安全缝隙兵器化，以传布一种名为 GooseEgg 的先前未知的自界说恶意软件。据称，该泄露后工具至少从 2020 年 6 月起头使用，可能最早从 2019 年 4 月起头使用，它利用了一个现已建补的缺点，允许权限升级（CVE-2022-38028，CVSS 评分：7.8）。Microsoft 在 2022 年 10 月颁布的更新中解决了这个问题，美国国度安全局 (NSA) 其时汇报了该缺点。凭据这家科技巨头威胁谍报团队的最新发现，APT28（也称为 Fancy Bear 和 Forest Blizzard（以前称为 Strontium））将该缝隙兵器化，用于针对乌克兰、西欧和北美当局、非当局、教育和交通的攻击部门组织。近几个月来，APT28 黑客还滥用了Microsoft Outlook 中的权限升级缝隙（CVE-2023-23397，CVSS 得分：9.8）和 WinRAR 中的代码执行缝隙（CVE-2023-38831，CVSS 得分：7.8）。

https://thehackernews.com/2024/04/russias-apt28-exploited-windows-print.html

4. ToddyCat APT 在网络亚太地域工控行业的数据

4月23日，一个名为 ToddyCat 的高级持续威胁 (APT) 组织在从亚太地域确当局和国防指标网络工业规�；氖��？ò退够⑹允腋俑没疃淖暄腥嗽北局芙残形呙枋鑫褂枚喔鐾毕谓拥绞芎φ呋肪忱次钟凭眯圆⒋又星匀∈�。他们还发现了 ToddyCat使用的一组新工具，用于从受害者系统和浏览器网络数据。ToddyCat 很可能是一个讲中文的威胁行为者，卡巴斯基已将其与至少可追忆到 2020 年 12 月的攻击联系起来。在最劈头段，该组织似乎只关注台湾和越南的少数组织。但在 2021 年 2 月公开披露 Microsoft Exchange Server 中的所谓ProxyLogon 缝隙后，威胁行为者迅快加大了攻击力度。

https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-

5. Synlab Italia 因勒索软件攻击而暂停运营

4月22日，在勒索软件攻击迫使 IT 系统离线后，Synlab Italia 暂停了所有医疗诊断和测试服务。Synlab Italia 网络从属于遍布全球 30 个国度/地域的 Synlab 集团，在意大利各地运营着 380 个尝试室和医疗中心。它的年交易额为 4.26 亿美元，每年进行 3500 万次分析。该公司颁发在 4 月 18 日凌晨遭逢安全缝隙，迫使其关关所有推算机以限度粉碎活动。只管该公司尚未证实，但一些敏感的医疗数据可能已露出给攻击者。尚无重要勒索软件团伙宣称对 Synlab Italia 的网络攻击掌管。

https://www.bleepingcomputer.com/news/security/synlab-italia-suspends-operations-following-ransomware-attack/

6. 美国国度安全局 (NSA) 颁布安全人为智能部署指南

4月22日，美国国度安全局与美国和其他五眼国度的六个当局机构合作颁布了有关若何安全数署人为智能系统的新指南。它提供了分为三类的最佳实际列表，涉及人为智能部署的三个重要步骤：�；げ渴鸹肪场⒊中；I系统和安全AI运维。�；と宋悄芟低成婕凹鸱缦铡⒅葱惺实钡幕航獯胧┖图嗫匚侍獾某中�。通过采取本汇报中概述的步骤来确保人为智能系统的部署和运行安全，组织能够显着降低所涉及的风险。这些步骤有助于�；ぷ橹闹恫ā⒛Ｐ秃褪菝庠馔登曰蚶挠�。

https://www.infosecurity-magazine.com/news/nsa-launches-guidance-secure-ai/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研