勒索软件团伙在 BYOVD 攻击中使用 Paragon Partition Manager 误差

首页 > 清静研究 > 清静转达 > 清静简讯

勒索软件团伙在 BYOVD 攻击中使用 Paragon Partition Manager 误差

宣布时间 2025-03-03

1. 勒索软件团伙在 BYOVD 攻击中使用 Paragon Partition Manager 误差

3月1日，，，，，，，微软近期发明了Paragon Partition Manager中的五个BioNTdrv.sys驱动程序缺陷，，，，，，，其中一个已被勒索软件团伙在零日攻击中使用，，，，，，，以获取Windows系统的SYSTEM权限。。。。。。这些误差可被用于“自带易受攻击的驱动程序”（BYOVD）攻击，，，，，，，攻击者通过安排内核驱动程序在目的系统上提升权限。。。。。。CERT/CC忠言称，，，，，，，具有装备外地会见权限的攻击者能使用这些误差提升权限或引发拒绝效劳(DoS)攻击。。。。。。由于涉及微软署名的驱动程序，，，，，，，纵然未装置Paragon Partition Manager，，，，，，，攻击者也能使用BYOVD手艺。。。。。。BioNTdrv.sys作为内核级驱动程序，，，，，，，使威胁行为者能绕过�；；；；；；；ず颓寰踩砑葱邢铝睢�。。。。。微软已视察到CVE-2025-0289误差被用于BYOVD勒索软件攻击中。。。。。。Paragon Software已修补这些误差，，，，，，，微软也将易受攻击的BioNTdrv.sys版本加入阻止列表。。。。。。建议用户升级到包括解决所有缺陷的BioNTdrv.sys版本2.0.0的最新软件版本。。。。。。但需注重，，，，，，，未装置Paragon Partition Manager的用户也可能受到攻击，，，，，，，由于BYOVD战略不依赖于目的软件。。。。。。微软已更新易受攻击的驱动程序阻止列表，，，，，，，用户应验证系统�；；；；；；；な欠衿粲谩�。。。。。Paragon Software还忠言用户升级Paragon Hard Disk Manager，，，，，，，因它使用相同驱动程序。。。。。。

https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/

2. 麒麟勒索软件团伙威胁Lee Enterprises，，，，，，，声称将果真350GB窃取数据

2月28日，，，，，，，麒麟勒索软件团伙声称对2月3日针对美国媒体公司Lee Enterprises的网络攻击认真，，，，，，，此次攻击导致该公司运营中止，，，，，，，并声称窃取了总计350GB的120,000个文件，，，，，，，包括政府身份证扫描件、保密协议、财务电子表格等神秘文件。。。。。。Lee Enterprises已确认收到这些指控并正在视察。。。。。。麒麟勒索软件团伙威胁称，，，，，，，除非支付赎金，，，，，，，不然将于3月5日果真所有据称被盗的数据。。。。。。麒麟勒索软件自2022年推出以来，，，，，，，已取得了显著希望，，，，，，，并在手艺方面一直演进，，，，，，，推出了Linux变体、自界说Chrome凭证窃取程序以及基于Rust的数据储物柜等。。。。。。别的，，，，，，，微软报告称，，，，，，，“散布蜘蛛”黑客集团成员也最先使用麒麟勒索软件举行攻击。。。。。。此次事务再次提醒企业和小我私家增强网络清静防护，，，，，，，提防勒索软件等网络威胁。。。。。。

https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-at-lee-enterprises-leaks-stolen-data/

3. Skype将于5月关闭，，，，，，，微软推动用户迁徙至Teams

2月28日，，，，，，，微软已确认，，，，，，，其视频通话和新闻效劳Skype将于2025年5月5日下线。。。。。。Skype自2011年被微软收购以来，，，，，，，一直作为该公司的主要通讯工具，，，，，，，但现在微软正推动用户迁徙到其面向消耗者的免费Teams应用程序。。。。。。据BleepingComputer报道，，，，，，，Windows和Mac版的Skype预览版中已泛起提醒用户切换到Teams的字符串，，，，，，，一旦用户登录帐户，，，，，，，他们的所有联系人、通话纪录和新闻都会自动迁徙。。。。。。若是用户不想切换到Teams，，，，，，，他们可以导出谈天纪录和新闻中分享的图像。。。。。。微软体现，，，，，，，在过渡时代，，，，，，，Teams用户可以与Skype用户通话和谈天。。。。。。随着Skype的关闭，，，，，，，微软将阻止提供付费Skype功效，，，，，，，包括Skype点数和语音通话。。。。。。微软365协作应用与平台总裁Jeff Teper体现，，，，，，，使用Teams，，，，，，，用户可以会见Skype中的许多焦点功效，，，，，，，并获得更多增强功效。。。。。。Skype最初于2003年宣布，，，，，，，天天有凌驾3600万人使用它举行电话和谈天联系。。。。。。

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-its-killing-off-skype-in-may-after-14-years/

4. 大型语言模子训练数据集中惊现万余实时神秘

2月28日，，，，，，，近期，，，，，，，用于训练大型语言模子（LLM）的数据集被发明包括近12,000个可用于身份验证的实时神秘，，，，，，，这再次凸显了硬编码凭证的清静危害。。。。。。Truffle Security从Common Crawl的重大数据集中发明了这些神秘，，，，，，，该数据集包括18年来凌驾2500亿个页面。。。。。。别的，，，，，，，Lasso Security曾忠言，，，，，，，通过公共源代码存储库泄露的数据可通过AI谈天机械人会见，，，，，，，纵然已设为私有，，，，，，，这种攻击要领发明了多个着名组织的存储库袒露了私人令牌和密钥。。。。。。新研究批注，，，，，，，对不清静代码示例举行AI语言模子微调可能导致意外有害行为，，，，，，，称为突发错位。。。。。。研究职员指出，，，，，，，模子经由微调后，，，，，，，可以在不透露的情形下输出不清静的代码，，，，，，，并与编码无关的普遍提醒上体现纷歧致。。。。。。这种对抗性攻击被称为即时注入，，，，，，，可导致LLM在不知情的情形下天生被榨取的内容。。。。。。Palo Alto Networks Unit 42的视察发明，，，，，，，所有视察的GenAI网络产品都保存一定水平的易被越狱的危害。。。。。。别的，，，，，，，大型推理模子的思绪链中心推理可能会被挟制，，，，，，，而“logit bias”参数的不当调解也可能导致模子爆发不适当或有害的内容。。。。。。这些发明强调了增强AI清静性的主要性。。。。。。

https://thehackernews.com/2025/02/12000-api-keys-and-passwords-found-in.html

5. 美政府乐成追回Uranium Finance被盗3100万美元加密钱币

2月28日，，，，，，，2021年4月，，，，，，，基于币安智能链的去中心化金融（DeFi）协议Uranium Finance上线后不久便遭遇了两次重大网络攻击。。。。。。该平台作为自动做市商（AMM）运作，，，，，，，类似于Uniswap。。。。。。黑客使用智能合约中的误差，，，，，，，在两次攻击中划分盗走了140万美元和5200万美元的加密钱币，，，，，，，总计造成凌驾5370万美元的损失。。。。。。只管黑客在第一次攻击后送还了部分资金，，，，，，，但仍留下了385,500美元，，，，，，，并通过Tornado Cash举行了洗钱。。。。。。这些被盗资金通已往中心化生意所转换成了种种加密钱币，，，，，，，并存放在闲置钱包中多年。。。。。。然而，，，，，，，在区块链情报公司TRM Labs的协助下，，，，，，，纽约南区（SDNY）和领土清静视察局（HSI）圣地亚哥分局乐成追踪并追回了部分被盗资产。。。。。。TRM Labs与执法部分亲近相助，，，，，，，详尽追踪了多个区块链中被盗资产的流动情形，，，，，，，并提供了可操作的情报。。。。。。最终，，，，，，，执法部分于2025年2月乐成扣押了3100万美元的未送还资金，，，，，，，凌驾了一半的损失得以挽回。。。。。。现在，，，，，，，纽约州南区警员局正要求黑客攻击的受害者发送电子邮件以领取部分被追回的加密钱币。。。。。。

https://www.bleepingcomputer.com/news/cryptocurrency/us-recovers-31-million-stolen-in-2021-uranium-finance-hack/

6. 网络垂纶活动使用虚伪CAPTCHA撒播Lumma Stealer恶意软件

2月28日，，，，，，，网络清静研究职员揭破了一场大规模网络垂纶活动，，，，，，，该活动使用托管在Webflow CDN上的PDF文档，，，，，，，通过虚伪的CAPTCHA图像撒播Lumma Stealer恶意软件。。。。。。Netskope Threat Labs发明凌驾260个域名托管了5000个垂纶PDF文件，，，，，，，这些文件将受害者重定向至恶意网站。。。。。。攻击者还使用SEO诱骗受害者点击恶意搜索效果，，，，，，，并通过在线图书馆和PDF存储库上传PDF文件以扩大攻击规模。。。。。。这些PDF包括伪造的CAPTCHA，，，，，，，诱骗受害者执行恶意PowerShell下令，，，，，，，最终导致Lumma Stealer的装置。。。。。。自2024年下半年以来，，，，，，，该活动已影响1150多个组织和7000多名用户，，，，，，，主要集中在北美、亚洲和南欧。。。。。。别的，，，，，，，Lumma Stealer日志在一个新黑客论坛Leaky[.]pro上免费共享，，，，，，，批注该恶意软件以恶意软件即效劳（MaaS）模式出售，，，，，，，为网络犯法分子提供从受熏染Windows主机中获取大宗信息的要领。。。。。。同时，，，，，，，其他窃取恶意软件如Vidar和Atomic macOS Stealer也接纳类似要领撒播，，，，，，，网络垂纶攻击还滥用了一种新的JavaScript混淆手艺。。。。。。这些攻击高度个性化，，，，，，，包括非果真信息，，，，，，，并实验通过重定向至良性网站来中止攻击，，，，，，，增添了其隐藏性和重大性。。。。。。

https://thehackernews.com/2025/02/5000-phishing-pdfs-on-260-domains.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究