Lazarus 黑客使用 Windows 0-Day 获取内核权限

首页 > 清静研究 > 清静转达 > 清静简讯

Lazarus 黑客使用 Windows 0-Day 获取内核权限

宣布时间 2024-03-01

1. Lazarus 黑客使用 Windows 0-Day 获取内核权限

2月29日，著名的网络犯法组织 Lazarus Group 最近使用 Windows 中的零日误差获取内核权限，这是系统会见的要害级别。该误差被识别为 CVE-2024-21338，是在 appid.Sys AppLocker 驱动程序中发明的，微软凭证 Avast Threat Labs 的报告在仲春补丁星期二更新中修复了该误差。该误差允许 Lazarus Group 建设内核读/写原语，这是使用操作系统内核内存的基本功效。此功效用于更新他们的 FudModule rootkit，增强其功效和隐藏性。Rootkit 现在包括用于操作句柄表条目的新手艺，这些手艺可能会滋扰受 Microsoft Protected Process Light (PPL) �；さ睦�，例如属于 Microsoft Defender、CrowdStrike Falcon 和 HitmanPro 的历程。CVE-2024-21338是 Windows 驱动程序中发明的误差的名称。关于黑客来说，它是一个很好的目的，由于它很容易用于攻击，并且它是系统的一部分，因此他们不需要添加任何可以检测到的新内容。

https://gbhackers.com/lazarus-hackers-exploited-windows-0-day/

2. 制药巨头 Cencora 报告称其遭到网络攻击

2月28日，Cencora, Inc.（以下简称“公司”）获悉其信息系统中的数据已被泄露，其中部分数据可能包括小我私家信息。在起源发明未经授权的攻击运动后，公司连忙接纳阻止步伐，并在执法部分、网络清静专家和外部照料的协助下最先视察。阻止本通告宣布之日，该事务尚未对公司运营爆发重大影响，其信息系统仍在运行。公司尚未确定该事务是否合理可能对公司的财务状态或谋划业绩爆发重大影响。据The Record报道，Cencora 以前称为 AmerisourceBergen。AmerisourceBergen 公司似乎履历了 Lorenz 勒索软件组织于 2023 年 1 月声称的勒索软件攻击，并且似乎影响了 MWI Animal Health。DataBreaches 尚不清晰 2022 年岁件与最近的报告之间是否有任何联系。

https://www.databreaches.net/pharmaceutical-giant-cencora-reports-cyberattack/

3. Rhysida 勒索团伙攻击Lurie并勒索 360 万美元

2月28日，Rhysida 勒索软件团伙声称对本月初针对芝加哥卢里儿童医院的网络攻击认真。Lurie 是美国领先的儿科急症照顾护士机构，每年为凌驾 200,000 名儿童提供照顾护士。网络攻击迫使医疗保健提供商关闭其 IT 系统，并在某些情形下推迟医疗照顾护士。电子邮件、电话、MyChart 会见和外地互联网均受到影响。超声波和 CT 扫描效果无法获得，患者服务优先系统被作废，医生被迫改用笔和纸开处方。Rhysida 勒索软件团伙已将 Lurie Children’s 医院列入其暗网上的勒索门户网站，声称从该医院窃取了 600 GB 的数据。凭证Lurie Children's 于 2024 年 2 月 22 日宣布的最新状态更新，恢复 IT 系统的事情正在举行中，服务中止仍然影响一些运营部分。

https://www.bleepingcomputer.com/news/security/rhysida-ransomware-wants-36-million-for-childrens-stolen-data/

4. Anycubic 3D打印机在全球规模内遭到黑客攻击

2月28日，凭证 Anycubic 客户的一波在线报告，有人入侵了他们的 3D 打印机，并忠言这些装备面临攻击。此事务背后的人在其装备中添加了 hacked_machine_readme.gcode 文件（该文件通常包括 3D 打印指令），提醒受影响的用户他们的打印机受到严重清静过失的影响。据称，此误差使潜在攻击者能够使用该公司的 MQTT 服务 API 控制任何受此误差影响的 Anycubic 3D 打印机。受影响装备收到的文件还要求 Anycubic 开源其 3D 打印机，在用户报告 3D 打印机显示“被黑”新闻最先泛起后， Anycubic应用程序也阻止了事情。正如TechCrunch首次报道的那样，实验登录的用户会看到“网络不可用”过失新闻。

https://www.bleepingcomputer.com/news/security/anycubic-3d-printers-hacked-worldwide-to-expose-security-flaw/

5. 与伊朗有关的 UNC1549 黑客瞄准中东航空航天和国防部分

2月28日，谷歌旗下的 Mandiant 在一份新剖析中体现，网络特工运动的其他目的可能包括土耳其、印度和阿尔巴尼亚。这些攻击需要使用 Microsoft Azure 云基础设施举行下令与控制 (C2) 和涉及与事情相关的诱惑的社会工程，以提供两个名为 MINIBIKE 和 MINIBUS 的后门。鱼叉式网络垂纶电子邮件旨在撒播包括以色列哈马斯相关内容或虚伪事情时机的虚伪网站链接，从而导致安排恶意负载�；故硬斓侥Ｄ庵凉镜男槲钡锹家趁嬉曰袢∑局�。自界说后门在建设 C2 会见后，充当情报网络和进一步会见目的网络的渠道。此阶段安排的另一个工具是名为 LIGHTRAIL 的隧道软件，它使用 Azure 云举行通讯。此次攻击运动中安排的规避要领，即量身定制的以事情为主题的诱饵与 C2 云基础设施的使用相团结，可能会让网络防御者难以预防、检测和减轻这种运动。

https://thehackernews.com/2024/02/iran-linked-unc1549-hackers-target.html

6. 勒索软件团伙声称窃取近 200GB 的 Epic Games 内部数据

2月28日，据报道，该团伙名为 Mogilevich，在其暗网泄密网站上宣布了一条新闻，提供了有关其声称的《堡垒之夜》和Epic Games Store公司泄密事务的更多信息�；股埔丫孤读恕暗缱佑始⒚苈搿⑷⒏犊钚畔ⅰ⒃创牒托矶嗥渌荨�，总巨细抵达 189GB�；顾担骸笆菀部梢猿鍪邸�，并为“公司员工或想要购置数据的人”添加了链接。该团伙划定了 3 月 4 日为购置数据的最后限期，但没有给出详细数字，也没有批注若是阻止日期事后将如那里置这些数据。Mogilevich 是一个相对较新的勒索软件组织，Epic Games 是其第四个目的。第一个是日产子公司英菲尼迪美国公司，该公司上周遭到黑客攻击。

https://www.videogameschronicle.com/news/a-ransomware-gang-claims-to-have-hacked-nearly-200gb-of-epic-games-internal-data/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究