朝鲜Lazarus Group利用Chrome零日缝隙提议攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

朝鲜Lazarus Group利用Chrome零日缝隙提议攻击

颁布功夫 2024-10-28

1. 朝鲜Lazarus Group利用Chrome零日缝隙提议攻击

10月24日，朝鲜黑客组织Lazarus Group被指利用Google Chrome的现已建补安全缝隙CVE-2024-4947进行零日攻击，节造受习染设备�？ò退够驹�2024年5月发现了一条针对俄罗斯公民的攻击链，攻击通过虚伪的加密钱币领域游戏网站"detankzone[.]com"触发缝隙。该网站假装成去中心化金融（DeFi）NFT的多人在线战斗竞技�。∕OBA）坦克游戏，实则蕴含暗藏剧本，在用户浏览器中运行缝隙，使攻击者获得对受害者PC的齐全节造。此表，Lazarus Group还被疑惑窃取了一款合法区块链边玩边赚（P2E）游戏的源代码和钱币，用于实显熹攻击指标�？ò退够赋�，Lazarus是最活跃、最复杂的APT攻击者之一，经济利益是其重要动机，且其战术在不休演变，利用天生式人为智能等新技术提议更复杂的攻击。

https://thehackernews.com/2024/10/lazarus-group-exploits-google-chrome.html

2. Fortinet FortiManager RCE零日缝隙在野表被利用

10月24日，网络安全公司Fortinet近日披露了其软件产品FortiManager存在一个关键零日缝隙（CVE-2024-47575），该缝隙允许未经身份验证的远程攻击者通过特造要求执行肆意代码或号令，且已在野表被积极利用。该缝隙的CVSS v3评分高达9.8，影响多个版本的FortiManager及FortiManager Cloud。Fortinet已颁布补丁并提供了多种解决步骤。据汇报，该缝隙已被用于泄录感文件，蕴含IP地址、凭证和设备配置，但尚未发现恶意软件或后门装置。威胁组织UNC5820自2024年6月27日起就利用此缝隙，获取了FortiGate设备配置数据，蕴含用户加密密码，可能用于进一步粉碎和横向移动。Mandiant无法确定攻击者身份和主张，建议所有露出在互联网上的FortiManager组织当即进行取证调查。Fortinet督促用户当即升级至安全版本，并采取阻止未知设备注册、使用自界说证书身份验证等解决步骤。

https://cybersecuritynews.com/fortimanager-zero-day-vulnerability/#google_vignette

3. Fog与Akira勒索软件利用SonicWall VPN缝隙频仍入窃祗业网络

10月27日，Fog和Akira勒索软件运营商正越来越多地利用SonicWall VPN帐户入窃祗业网络，关键缝隙CVE-2024-40766被以为是其入侵的重要通路。SonicWall于2024年8月下旬建复了该缝隙，但一周后便忠告称缝隙已被积极利用。北极狼安全钻研人员发现，Akira勒索软件从属机构已利用该缝隙获取初始接见权限。据Arctic Wolf汇报，Akira和Fog至少进行了30次入侵，均始于通过SonicWall VPN帐户远程接见。其中，75%的案件与Akira有关，其余为Fog所为。这两个组织似乎共享基础设施，批注仍存在非正式合作。所有被攻破的端点都运行易受攻击的未建补版本，且从入侵到数据加密的功夫通常较短，最快仅需1.5-2幼时。威胁行为者通过VPN/VPS接见端点并混合真实IP地址。受习染组织未启用多成分身份验证，也未在默认端口上运行服务。入侵过程中，观察到特定新闻事务ID批注远程用户登录和IP分配成功。威胁行为者重要针对虚构机及其备份提议急剧加密攻击，并窃取文档和专有软件，但不关注超过六个月或30个月的文件。

https://www.bleepingcomputer.com/news/security/fog-ransomware-targets-sonicwall-vpns-to-breach-corporate-networks/

4. BlackBasta勒索软件行动利用Microsoft Teams进行社会工程攻击

10月25日，BlackBasta勒索软件行动自2022年4月以来一向活跃，对全球数百起企业攻击掌管。该组织通过缝隙、合作、恶意软件僵尸网络和社会工程学等多种步骤粉碎网络。最近，BlackBasta的从属机构将社会工程攻击转移到了Microsoft Teams上，他们假意公司IT援手台联系员工，协助解决垃圾邮件问题。攻击者首吓酌电子邮件覆没员工的收件箱，而后以表部用户的身份通过Microsoft Teams联系员工，这些帐户是在Entra ID租户下创建的，名称看起来像是援手台。在谈天中，攻击者发送二维码或诱骗用户装置AnyDesk远程支持工具或启动Windows Quick Assist远程节造和屏幕共享工具，以便远程接见用户的公司设备。一旦衔接，攻击者会装置各类有效载荷，如ScreenConnect、NetSupport Manager和Cobalt Strike，以持续远程接见用户的公司设备，并横向扩散到其他设备，同时提升权限、窃取数据，并最终部署勒索软件加密器。ReliaQuest建议组织限度Microsoft Teams中来自表部用户的通讯，并启用日志纪录以查找可疑谈天。

https://www.bleepingcomputer.com/news/security/black-basta-ransomware-poses-as-it-support-on-microsoft-teams-to-breach-networks/

5. 亚马逊查封APT29黑客组织攻击域名

10月25日，亚马逊已查封俄罗斯APT29黑客组织用于当局和军事组织针对性攻击的域名。APT29，又称“Cozy Bear”和“Midnight Blizzard”，与俄罗斯对表谍报局有联系，善于使用网络垂钓和恶意软件窃取敏感信息。这次攻击中，APT29通过假装成AWS域名的网络垂钓页面，诱骗指标相信并使用恶意远程桌面和谈衔接文件，以窃取Windows凭证和数据。只管亚马逊澄清其云平台并非直接指标，但仍当即启动了查封假意AWS域名的法式。APT29以高度复杂的攻击闻名，针对全球当局、智库和钻研机构，且最近活动领域宽泛，蕴含向更多指标发送网络垂钓电子邮件。乌克兰推算机应急反映幼组也颁布了有关忠告，并建议采取多项措施削减攻击面，如阻止“.rdp”文件、限度RDP衔接等。APT29仍是俄罗斯最壮大的网络威胁之一，从前一年中曾入侵多个沉要软件供给商，并利用服务器缝隙入侵全球沉要组织。

https://www.bleepingcomputer.com/news/security/amazon-seizes-domains-used-in-rogue-remote-desktop-campaign-to-steal-data/

6. RansomHub黑客组织宣称对墨西哥13个机场运营商提议攻击

10月26日，黑客组织RansomHub最近宣称对墨西哥13个机场运营商Grupo Aeroportuario del Centro Norte（OMA）的网络攻击掌管，并威胁若是不支付赎金，将泄露3TB被盗数据。OMA运营着墨西哥中部和北部地域的机场，今年已欢迎超1900万名乘客。这次网络事务迫使OMA转向备用系统以维持运营，但显示航班航站楼地位的屏幕仍无法使用。OMA暗示在与表部网络安全专家合作调查事务领域，并已逐步复原某些服务，但对公司运营和财政情况未造成沉大不利影响。微软本周指出，RansomHub仍是勒索软件领域最活跃的威胁之一，多个其他威胁行为者也持续使用其恶意软件进行攻击。

https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研