勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞
发布时间 2025-03-031. 勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞
3月1日,微软近期发现了Paragon Partition Manager中的五个BioNTdrv.sys驱动程序缺陷,其中一个已被勒索软件团伙在零日攻击中利用,以获取Windows系统的SYSTEM权限。这些漏洞可被用于“自带易受攻击的驱动程序”(BYOVD)攻击,攻击者通过放置内核驱动程序在目标系统上提升权限。CERT/CC警告称,具有设备本地访问权限的攻击者能利用这些漏洞提升权限或引发拒绝服务(DoS)攻击。由于涉及微软签名的驱动程序,即使未安装Paragon Partition Manager,攻击者也能利用BYOVD技术。BioNTdrv.sys作为内核级驱动程序,使威胁行为者能绕过保护和安全软件执行命令。微软已观察到CVE-2025-0289漏洞被用于BYOVD勒索软件攻击中。Paragon Software已修补这些漏洞,微软也将易受攻击的BioNTdrv.sys版本加入阻止列表。建议用户升级到包含解决所有缺陷的BioNTdrv.sys版本2.0.0的最新软件版本。但需注意,未安装Paragon Partition Manager的用户也可能受到攻击,因为BYOVD策略不依赖于目标软件。微软已更新易受攻击的驱动程序阻止列表,用户应验证系统保护是否启用。Paragon Software还警告用户升级Paragon Hard Disk Manager,因它使用相同驱动程序。
https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/
2. 麒麟勒索软件团伙威胁Lee Enterprises,声称将公开350GB窃取数据
2月28日,麒麟勒索软件团伙声称对2月3日针对美国媒体公司Lee Enterprises的网络攻击负责,此次攻击导致该公司运营中断,并声称窃取了总计350GB的120,000个文件,包括政府身份证扫描件、保密协议、财务电子表格等机密文件。Lee Enterprises已确认收到这些指控并正在调查。麒麟勒索软件团伙威胁称,除非支付赎金,否则将于3月5日公开所有据称被盗的数据。麒麟勒索软件自2022年推出以来,已取得了显著进展,并在技术方面不断演进,推出了Linux变体、自定义Chrome凭证窃取程序以及基于Rust的数据储物柜等。此外,微软报告称,“散布蜘蛛”黑客集团成员也开始使用麒麟勒索软件进行攻击。此次事件再次提醒企业和个人加强网络安全防护,防范勒索软件等网络威胁。
https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-at-lee-enterprises-leaks-stolen-data/
3. Skype将于5月关闭,微软推动用户迁移至Teams
2月28日,微软已确认,其视频通话和消息服务Skype将于2025年5月5日下线。Skype自2011年被微软收购以来,一直作为该公司的重要通信工具,但如今微软正推动用户迁移到其面向消费者的免费Teams应用程序。据BleepingComputer报道,Windows和Mac版的Skype预览版中已出现提示用户切换到Teams的字符串,一旦用户登录帐户,他们的所有联系人、通话记录和消息都会自动迁移。如果用户不想切换到Teams,他们可以导出聊天记录和消息中分享的图像。微软表示,在过渡期间,Teams用户可以与Skype用户通话和聊天。随着Skype的关闭,微软将停止提供付费Skype功能,包括Skype点数和语音通话。微软365协作应用与平台总裁Jeff Teper表示,使用Teams,用户可以访问Skype中的许多核心功能,并获得更多增强功能。Skype最初于2003年发布,每天有超过3600万人使用它进行电话和聊天联系。
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-its-killing-off-skype-in-may-after-14-years/
4. 大型语言模型训练数据集中惊现万余实时秘密
2月28日,近期,用于训练大型语言模型(LLM)的数据集被发现包含近12,000个可用于身份验证的实时秘密,这再次凸显了硬编码凭证的安全风险。Truffle Security从Common Crawl的庞大数据集中发现了这些秘密,该数据集包含18年来超过2500亿个页面。此外,Lasso Security曾警告,通过公共源代码存储库泄露的数据可通过AI聊天机器人访问,即使已设为私有,这种攻击方法发现了多个知名组织的存储库暴露了私人令牌和密钥。新研究表明,对不安全代码示例进行AI语言模型微调可能导致意外有害行为,称为突发错位。研究人员指出,模型经过微调后,可以在不透露的情况下输出不安全的代码,并与编码无关的广泛提示上表现不一致。这种对抗性攻击被称为即时注入,可导致LLM在不知情的情况下生成被禁止的内容。Palo Alto Networks Unit 42的调查发现,所有调查的GenAI网络产品都存在一定程度的易被越狱的风险。此外,大型推理模型的思路链中间推理可能会被劫持,而“logit bias”参数的不当调整也可能导致模型产生不适当或有害的内容。这些发现强调了加强AI安全性的重要性。
https://thehackernews.com/2025/02/12000-api-keys-and-passwords-found-in.html
5. 美当局成功追回Uranium Finance被盗3100万美元加密货币
2月28日,2021年4月,基于币安智能链的去中心化金融(DeFi)协议Uranium Finance上线后不久便遭遇了两次重大网络攻击。该平台作为自动做市商(AMM)运作,类似于Uniswap。黑客利用智能合约中的漏洞,在两次攻击中分别盗走了140万美元和5200万美元的加密货币,总计造成超过5370万美元的损失。尽管黑客在第一次攻击后归还了部分资金,但仍留下了385,500美元,并通过Tornado Cash进行了洗钱。这些被盗资金通过去中心化交易所转换成了各种加密货币,并存放在闲置钱包中多年。然而,在区块链情报公司TRM Labs的协助下,纽约南区(SDNY)和国土安全调查局(HSI)圣地亚哥分局成功追踪并追回了部分被盗资产。TRM Labs与执法部门密切合作,细致追踪了多个区块链中被盗资产的流动情况,并提供了可操作的情报。最终,执法部门于2025年2月成功扣押了3100万美元的未偿还资金,超过了一半的损失得以挽回。目前,纽约州南区警察局正要求黑客攻击的受害者发送电子邮件以领取部分被追回的加密货币。
https://www.bleepingcomputer.com/news/cryptocurrency/us-recovers-31-million-stolen-in-2021-uranium-finance-hack/
6. 网络钓鱼活动利用虚假CAPTCHA传播Lumma Stealer恶意软件
2月28日,网络安全研究人员揭露了一场大规模网络钓鱼活动,该活动利用托管在Webflow CDN上的PDF文档,通过虚假的CAPTCHA图像传播Lumma Stealer恶意软件。Netskope Threat Labs发现超过260个域名托管了5000个钓鱼PDF文件,这些文件将受害者重定向至恶意网站。攻击者还利用SEO诱骗受害者点击恶意搜索结果,并通过在线图书馆和PDF存储库上传PDF文件以扩大攻击范围。这些PDF包含伪造的CAPTCHA,诱骗受害者执行恶意PowerShell命令,最终导致Lumma Stealer的安装。自2024年下半年以来,该活动已影响1150多个组织和7000多名用户,主要集中在北美、亚洲和南欧。此外,Lumma Stealer日志在一个新黑客论坛Leaky[.]pro上免费共享,表明该恶意软件以恶意软件即服务(MaaS)模式出售,为网络犯罪分子提供从受感染Windows主机中获取大量信息的方法。同时,其他窃取恶意软件如Vidar和Atomic macOS Stealer也采用类似方法传播,网络钓鱼攻击还滥用了一种新的JavaScript混淆技术。这些攻击高度个性化,包含非公开信息,并尝试通过重定向至良性网站来中止攻击,增加了其隐蔽性和复杂性。
https://thehackernews.com/2025/02/5000-phishing-pdfs-on-260-domains.html
京公网安备11010802024551号