Xeno RAT成为GitHub上的严重威胁;黑客组织Lazarus利用Windows内核0day漏洞;五眼联盟警告 Ivanti漏洞被广泛利用 | 安全周报 0301

03-06 1249阅读

Xeno RAT成为GitHub上的严重威胁;黑客组织Lazarus利用Windows内核0day漏洞;五眼联盟警告 Ivanti漏洞被广泛利用 | 安全周报 0301

1. 微软为所有美国联邦机构提供免费日志记录功能

在一场针对 24 个组织的中国网络间谍活动曝光六个多月后,微软已向所有使用 Microsoft Purview Audit 的美国联邦机构提供免费日志记录功能,且不限制许可级别。

美国网络安全和基础设施安全局 (CISA) 表示:“微软将在客户账户中自动启用日志,并将默认的日志保留期从 90 天增加到 180 天。”

“此外,这些数据还将提供新的遥测信息,帮助更多联邦机构满足 [行政管理和预算局] M-21-31 备忘录规定的日志记录要求。”

来源:https://thehackernews.com/2024/02/microsoft-expands-free-logging.html

2. 开源的 Xeno RAT 特洛伊木马在 GitHub 上成为严重威胁

一个名为 Xeno RAT 的“设计复杂”的远程访问特洛伊木马 (RAT) 已在 GitHub 上发布,使其他用户无需额外费用即可轻松访问。

据名为 moom825 的开发者称,这款开源 RAT 是用 C# 编写的,与 Windows 10 和 Windows 11 操作系统兼容,并“配备了一套全面的远程系统管理功能”。

它包括 SOCKS5 反向代理和实时音频录制功能,以及类似 DarkVNC 的隐藏虚拟网络计算 (hVNC) 模块,使攻击者能够远程访问受感染的计算机。

开发者在项目描述中表示:“Xeno RAT 完全是从头开始开发的,确保采用独特且量身定制的方法来开发远程访问工具。”另一个值得注意的方面是,它有一个生成器,可以创建该恶意软件的定制变体。

来源:https://thehackernews.com/2024/02/open-source-xeno-rat-trojan-emerges-as.html

3. 黑客组织Lazarus在最近的攻击中利用Windows内核漏洞作为0day漏洞

黑客组织Lazarus利用了一个最近才修复的Windows内核的权限提升漏洞作为“0day”漏洞,来获得内核级别的访问权限并禁用被攻击主机上的安全软件。

这个漏洞是CVE-2024-21338(CVSS评分:7.8),它可以让攻击者获得SYSTEM权限。微软在本月初的Patch Tuesday更新中已经修复了这个漏洞。

“要利用此漏洞,攻击者必须首先登录到系统,”微软表示。“然后,攻击者可以运行一个特制的应用程序,该程序可以利用该漏洞并控制受影响的系统。”

来源:https://thehackernews.com/2024/02/lazarus-hackers-exploited-windows.html

4. 美国联邦调查局警告美国医疗保健部门注意针对性BlackCat勒索软件攻击

美国政府发出警告,称本月BlackCat(又名ALPHV)勒索软件攻击再次出现,医疗保健部门成为攻击目标。“自2023年12月中旬以来,在近70名信息泄露的受害者中,医疗保健部门是最常见的受害群体,”政府在最新发布的咨询中表示。

“这可能是对ALPHV/黑猫管理员帖子的回应,该帖子鼓励其附属机构在2023年12月初对该组织及其基础设施采取行动后,将医院作为攻击目标。”

此次警报由美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)以及卫生与公众服务部(HHS)联合发布。

去年年底,在一次协调的执法行动导致黑猫勒索软件的暗网泄露站点被查封后,该勒索软件行动遭受了重大打击。但事实证明,这次打击行动以失败告终,因为该组织重新控制了这些网站,并转到了一个新的TOR数据泄露门户,该门户至今仍在活跃中。

最近几周,它还加强了对关键基础设施组织的攻击,声称对保诚金融、LoanDepot、Trans-Northern管道和联合健康集团子公司Optum等公司的攻击负责。

事态的发展促使美国政府宣布,对提供能够确认该网络犯罪集团关键成员及附属机构的信息的人,将提供最高1500万美元的奖金。

来源:https://thehackernews.com/2024/02/fbi-warns-us-healthcare-sector-of.html

5. 五眼联盟机构警告称 Ivanti 网关漏洞正被广泛利用

五眼联盟(FVEY)情报机构发布了一项新的网络安全咨询,警告称网络威胁行为者正在利用 Ivanti Connect Secure 和 Ivanti Policy Secure 网关中已知的安全漏洞,并指出完整性检查工具 (ICT) 可能会被欺骗,从而提供一种虚假的安全感。

这些机构表示:“Ivanti ICT 不足以检测到妥协情况,而且网络威胁行为者可能能够在发出恢复出厂设置后获得 root 级别的持久性。”

迄今为止,自 2024 年 1 月 10 日以来,Ivanti 已经披露了影响其产品的五个安全漏洞,其中四个漏洞已经被多个威胁行为者积极利用来部署恶意软件,包括:

  • CVE-2023-46805(CVSS 评分:8.2)- Web 组件中的身份验证绕过漏洞
  • CVE-2024-21887(CVSS 评分:9.1)- Web 组件中的命令注入漏洞
  • CVE-2024-21888(CVSS 评分:8.8)- Web 组件中的权限提升漏洞
  • CVE-2024-21893(CVSS 评分:8.2)- SAML 组件中的 SSRF 漏洞
  • CVE-2024-22024(CVSS 评分:8.3)- SAML 组件中的 XXE 漏洞

    Mandiant 在本周发布的一份分析中描述了如何将一种名为 BUSHWALK 的恶意软件的加密版本放置在 ICT 排除的目录 /data/runtime/cockpit/diskAnalysis 中。

    来源:https://thehackernews.com/2024/03/five-eyes-agencies-warn-of-active.html

VPS购买请点击我

文章版权声明:除非注明,否则均为主机测评原创文章,转载或复制请以超链接形式并注明出处。

目录[+]