朝鲜Lazarus Group使用Chrome零日误差提倡攻击

首页 > 清静研究 > 清静转达 > 清静简讯

朝鲜Lazarus Group使用Chrome零日误差提倡攻击

宣布时间 2024-10-28

1. 朝鲜Lazarus Group使用Chrome零日误差提倡攻击

10月24日，朝鲜黑客组织Lazarus Group被指使用Google Chrome的现已修补清静误差CVE-2024-4947举行零日攻击，控制受熏染装备�？ò退够驹�2024年5月发明了一条针对俄罗斯公民的攻击链，攻击通过虚伪的加密钱币领域游戏网站"detankzone[.]com"触发误差。该网站伪装成去中心化金融（DeFi）NFT的多人在线战斗竞技�。∕OBA）坦克游戏，实则包括隐藏剧本，在用户浏览器中运行误差，使攻击者获得对受害者PC的完全控制。别的，Lazarus Group还被嫌疑窃取了一款正当区块链边玩边赚（P2E）游戏的源代码和钱币，用于实现其攻击目的�？ò退够赋�，Lazarus是最活跃、最重大的APT攻击者之一，经济利益是其主要念头，且其战略在一直演变，使用天生式人工智能等新手艺提倡更重大的攻击。

https://thehackernews.com/2024/10/lazarus-group-exploits-google-chrome.html

2. Fortinet FortiManager RCE零日误差在野外被使用

10月24日，网络清静公司Fortinet克日披露了其软件产品FortiManager保存一个要害零日误差（CVE-2024-47575），该误差允许未经身份验证的远程攻击者通过特制请求执行恣意代码或下令，且已在野外被起劲使用。该误差的CVSS v3评分高达9.8，影响多个版本的FortiManager及FortiManager Cloud。Fortinet已宣布补丁并提供了多种解决要领。据报告，该误差已被用于泄露敏感文件，包括IP地点、凭证和装备设置，但尚未发明恶意软件或后门装置。威胁组织UNC5820自2024年6月27日起就使用此误差，获取了FortiGate装备设置数据，包括用户加密密码，可能用于进一步破损和横向移动。Mandiant无法确定攻击者身份和目的，建议所有袒露在互联网上的FortiManager组织连忙举行取证视察。Fortinet鞭策用户连忙升级至清静版本，并接纳阻止未知装备注册、使用自界说证书身份验证等解决要领。

https://cybersecuritynews.com/fortimanager-zero-day-vulnerability/#google_vignette

3. Fog与Akira勒索软件使用SonicWall VPN误差频仍入侵企业网络

10月27日，Fog和Akira勒索软件运营商正越来越多地使用SonicWall VPN帐户入侵企业网络，要害误差CVE-2024-40766被以为是其入侵的主要通道。SonicWall于2024年8月下旬修复了该误差，但一周后便忠言称误差已被起劲使用。北极狼清静研究职员发明，Akira勒索软件隶属机构已使用该误差获取初始会见权限。据Arctic Wolf报告，Akira和Fog至少举行了30次入侵，均始于通过SonicWall VPN帐户远程会见。其中，75%的案件与Akira有关，其余为Fog所为。这两个组织似乎共享基础设施，批注仍保存非正式相助。所有被攻破的端点都运行易受攻击的未修补版本，且从入侵到数据加密的时间通常较短，最快仅需1.5-2小时。威胁行为者通过VPN/VPS会见端点并混淆真实IP地点。受熏染组织未启用多因素身份验证，也未在默认端口上运行服务。入侵历程中，视察到特定新闻事务ID批注远程用户登录和IP分派乐成。威胁行为者主要针对虚拟机及其备份提倡快速加密攻击，并窃取文档和专有软件，但不关注凌驾六个月或30个月的文件。

https://www.bleepingcomputer.com/news/security/fog-ransomware-targets-sonicwall-vpns-to-breach-corporate-networks/

4. BlackBasta勒索软件行动使用Microsoft Teams举行社会工程攻击

10月25日，BlackBasta勒索软件行动自2022年4月以来一直活跃，对全球数百起企业攻击认真。该组织通过误差、相助、恶意软件僵尸网络和社会工程学等多种要领破损网络。最近，BlackBasta的隶属机构将社会工程攻击转移到了Microsoft Teams上，他们冒没收司IT资助台联系员工，协助解决垃圾邮件问题。攻击者首先用电子邮件淹没员工的收件箱，然后以外部用户的身份通过Microsoft Teams联系员工，这些帐户是在Entra ID租户下建设的，名称看起来像是资助台。在谈天中，攻击者发送二维码或诱骗用户装置AnyDesk远程支持工具或启动Windows Quick Assist远程控制和屏幕共享工具，以便远程会见用户的公司装备。一旦毗连，攻击者会装置种种有用载荷，如ScreenConnect、NetSupport Manager和Cobalt Strike，以一连远程会见用户的公司装备，并横向扩散到其他装备，同时提升权限、窃取数据，并最终安排勒索软件加密器。ReliaQuest建议组织限制Microsoft Teams中来自外部用户的通讯，并启用日志纪录以查找可疑谈天。

https://www.bleepingcomputer.com/news/security/black-basta-ransomware-poses-as-it-support-on-microsoft-teams-to-breach-networks/

5. 亚马逊查封APT29黑客组织攻击域名

10月25日，亚马逊已查封俄罗斯APT29黑客组织用于政府和军事组织针对性攻击的域名。APT29，又称“Cozy Bear”和“Midnight Blizzard”，与俄罗斯对外情报局有联系，善于使用网络垂纶和恶意软件窃取敏感信息。此次攻击中，APT29通过伪装成AWS域名的网络垂纶页面，诱骗目的信托并使用恶意远程桌面协议毗连文件，以窃取Windows凭证和数据。只管亚马逊澄清其云平台并非直接目的，但仍连忙启动了查封冒充AWS域名的程序。APT29以高度重大的攻击著名，针对全球政府、智库和研究机构，且最近运动规模普遍，包括向更多目的发送网络垂纶电子邮件。乌克兰盘算机应急反应小组也宣布了相关忠言，并建议接纳多项步伐镌汰攻击面，如阻止“.rdp”文件、限制RDP毗连等。APT29仍是俄罗斯最强盛的网络威胁之一，已往一年中曾入侵多个主要软件供应商，并使用服务器误差入侵全球主要组织。

https://www.bleepingcomputer.com/news/security/amazon-seizes-domains-used-in-rogue-remote-desktop-campaign-to-steal-data/

6. RansomHub黑客组织声称对墨西哥13个机场运营商提倡攻击

10月26日，黑客组织RansomHub最近声称对墨西哥13个机场运营商Grupo Aeroportuario del Centro Norte（OMA）的网络攻击认真，并威胁若是不支付赎金，将泄露3TB被盗数据。OMA运营着墨西哥中部和北部地区的机场，今年已接待超1900万名旅客。此次网络事务迫使OMA转向备用系统以维持运营，但显示航班航站楼位置的屏幕仍无法使用。OMA体现正在与外部网络清静专家相助视察事务规模，并已逐步恢复某些服务，但对公司运营和财务状态未造成重大倒运影响。微软本周指出，RansomHub仍是勒索软件领域最活跃的威胁之一，多个其他威胁行为者也继续使用其恶意软件举行攻击。

https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究