HackerNews 编译，转载请注明出处： 西雅图港口管理局（Port of Seattle）近日向约9万人发出通知，告知他们的个人信息在2024年8月的一次勒索软件攻击中遭到泄露。 西雅图港口管理局在2024年8月24日披露了此次攻击，称由此引发的IT故障扰乱了多项服务和系统，包括预订检查系统、乘客显示屏、西雅图港口网站、flySEA应用程序，并导致西雅图-塔科马国际机场的航班延误。 三周后，港口管理局确认此次攻击是由名为Rhysida的勒索软件操作发起的。 勒索软件攻击 在事件发生后，港口管理局决定不屈服于网络犯罪分子的要求，即使他们威胁要在暗网泄露网站上发布窃取的数据。 “我们拒绝支付所要求的赎金，因此，攻击者可能会在他们的暗网网站上发布他们声称窃取的数据，”西雅图港口管理局在2024年9月13日表示。 “我们对攻击者窃取的数据的调查仍在进行中，但似乎攻击者确实在8月中旬至下旬获取了一些港口数据。评估被窃数据的过程复杂且耗时。” 数据泄露影响 2025年4月3日，港口管理局宣布，他们现在正在向受影响的个人发送约9万封通知信。据该机构称，此次数据泄露中约有7.1万人来自华盛顿州。 根据泄露通知信的副本，攻击者窃取了员工、承包商和停车数据的多种组合，包括姓名、出生日期、社会安全号码（或社会安全号码的最后四位数字）、驾驶执照或其他政府身份证号码，以及一些医疗信息。 港口还表示，他们存储的“机场或海运乘客信息非常少”，并且其支付处理系统未受攻击影响。 “在任何时候，此次事件都没有影响到安全前往或离开西雅图机场或使用港口海运设施的能力，”港口管理局本周补充道。“主要航空公司和邮轮合作伙伴的专有系统未受影响，联邦合作伙伴（如联邦航空管理局、运输安全管理局和美国海关与边境保护局）的系统也未受影响。” Rhysida勒索软件 Rhysida是此次西雅图港口攻击背后的勒索软件即服务（RaaS）操作，于2023年5月浮出水面，并在入侵大英图书馆、智利军队（Ejército de Chile）、俄亥俄州哥伦布市、索尼子公司Insomniac Games和全球最大的休闲船只及游艇零售商MarineMax后迅速声名狼藉。 其附属机构还入侵了Singing River Health System，该系统警告近90万人，他们的个人和健康信息在2023年8月的一次Rhysida勒索软件攻击中被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国零售巨头沃尔玛旗下的仓储超市连锁品牌Sam’s Club正在调查Clop勒索软件团伙声称的网络攻击事件。 Sam’s Club在美国和波多黎各运营着600多家仓储式超市，并在墨西哥和中国拥有近200家门店。该公司拥有超过230万名员工，截至2023年1月31日的财年，总收入达到843亿美元。 “我们注意到有关潜在安全事件的报告，正在积极调查此事，”Sam’s Club的发言人向BleepingComputer表示，”保护会员信息的隐私和安全是我们的首要任务。我们高度重视这些问题，并将在适当时候进一步通报情况。” 尽管Sam’s Club并未透露更多调查细节，Clop勒索软件团伙已在其暗网泄密网站上新增了Sam’s Club的条目。该团伙尚未公布任何与此次攻击相关的证据，只是在网站上声称这家总部位于阿肯色州的批发商”无视客户安全，不关心客户权益”。 此次指控发生在Clop团伙自今年1月以来针对全球多家企业发起大规模数据盗窃攻击之后。据悉，这些攻击利用了Cleo安全文件传输软件中的零日漏洞（CVE-2024-50623）。尽管目前尚不清楚有多少企业受影响，Cleo公司表示其产品被全球4000多家机构使用。 今年1月，Clop将总部位于亚利桑那州的Western Alliance Bank列入其泄密网站，并在上周通知近2.2万名客户，他们的个人信息在去年10月的攻击中被盗。此次攻击同样是利用第三方安全文件传输软件中的漏洞。 Clop勒索软件团伙此前还曾利用Accellion FTA、MOVEit Transfer和GoAnywhere MFT等安全文件传输软件中的零日漏洞，实施数据盗窃活动。 值得注意的是，这并非Sam’s Club近年来首次遭遇安全事件。2020年10月，Sam’s Club曾通知部分客户，他们的账户在凭证填充攻击中遭到入侵。随后，Sam’s Club自动重置了这些账户的密码。 当时，Sam’s Club的发言人表示：”此次事件并非我们的系统被攻破，而是攻击者通过网络钓鱼、恶意软件植入或其他企业的数据泄露获取了用户名和密码。我们已重置这些账户的密码，并采取了额外措施以防范欺诈行为。”   消息来源：Bleeping Computer 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ESET在调查几个知名勒索软件组织之间的关联时发现，越来越多的勒索软件组织开始将用于禁用端点检测和响应（EDR）解决方案的工具纳入其武器库。 在2024年LockBit和BlackCat勒索软件组织消亡后，新的威胁者崭露头角，其中包括2024年2月出现的RansomHub，这是一个勒索软件即服务（RaaS）组织。 随着勒索软件附属组织从不同团体迁移到RansomHub，例如据称是Change Healthcare黑客事件背后的BlackCat附属组织，RansomHub成为并一直保持着在该领域的主导威胁地位。 2024年5月，RansomHub在其武器库中添加了EDRKillShifter，这是一种针对众多安全解决方案的自定义EDR杀手工具，它依赖密码来保护在执行过程中充当中间层的shellcode。 EDR杀手是在受害者的网络上执行的，旨在使任何在本地终端上运行的安全解决方案失明、损坏或终止。虽然可以使用简单的脚本，但更复杂的工具会部署易受攻击的驱动程序，然后利用这些驱动程序进行恶意活动。 RansomHub通过其RaaS面板向其附属组织提供了EDRKillShifter，但ESET观察到它被用于涉及Play、Medusa和BianLian等其他勒索软件变种的攻击中。 由于BianLian和Play是比较封闭的勒索软件操作，它们能够获得EDRKillShifter的访问权限，这表明它们可能与RansomHub合作，在其攻击中重新利用RaaS的工具。 “我们高度确信所有这些攻击都是由同一个威胁者执行的，该威胁者是这四个勒索软件组织的附属组织，”ESET指出，并将该威胁者称为QuadSwitcher。 ESET还表示，其他勒索软件附属组织也被看到使用EDRKillShifter，并补充说这并不是威胁者用来禁用安全软件的唯一工具。事实上，勒索软件附属组织使用的EDR杀手种类有所增加。 EDR杀手的使用增加被视为对安全解决方案更有效地检测文件加密恶意软件的反应。ESET指出，加密器很少收到重大更新，以避免引入缺陷的风险。 ESET还指出，虽然有超过1700个易受攻击的驱动程序可以供EDR杀手解决方案使用，但只有少数几个被滥用，因为针对它们有经过测试的代码，威胁者无需从头编写新代码。 除了RansomHub，只有另一个RaaS运营商被观察到在其服务中添加了EDR杀手，即Embargo，其泄露网站上仅列出了14名受害者。该工具被称为MS4Killer，基于公开的概念验证（PoC）代码。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为”Mora_001″的新勒索软件组织正利用两个Fortinet漏洞，通过未授权访问防火墙设备部署名为SuperBlack的自定义勒索病毒。 这两个漏洞均为身份验证绕过漏洞，编号为CVE-2024-55591和CVE-2025-24472。Fortinet分别于2024年1月和2月披露了相关漏洞信息。 Fortinet在2024年1月14日首次披露CVE-2024-55591时，确认该漏洞已被作为零日漏洞利用。北极狼公司指出，自2024年11月起，攻击者就利用该漏洞入侵FortiGate防火墙。 值得注意的是，Fortinet在2025年2月11日将其1月公告中补充了CVE-2025-24472漏洞信息，导致外界误认为这是新发现的被利用漏洞。但Fortinet向BleepingComputer澄清称，该漏洞实际已于2024年1月修复且未被利用。 “我们未发现CVE-2025-24472被利用的证据。”Fortinet当时表示。 然而，Forescout研究人员的报告显示，他们在2025年1月下旬发现SuperBlack攻击活动，攻击者最早在2025年2月2日就利用了CVE-2025-24472漏洞。 Forescout向BleepingComputer说明：”尽管我们未直接向Fortinet报告24472漏洞的利用情况，但一家受影响的合作机构将我们的调查结果同步给了Fortinet的PSIRT团队。” “随后，Fortinet在2月11日更新公告，承认CVE-2025-24472正被积极利用。”BleepingComputer已联系Fortinet核实该细节，目前尚未获得回复。 SuperBlack攻击流程分析 Forescout指出，Mora_001采用高度结构化的攻击链，不同受害者间的攻击模式高度一致： 首先，攻击者通过jsconsole接口发起基于WebSocket的攻击，或直接向暴露的防火墙接口发送HTTPS请求，利用两个Fortinet漏洞获取’super_admin’权限。 接着，创建新管理员账户（包括forticloud-tech、fortigate-firewall、adnimistrator），并修改自动化任务配置以确保账户被删除后能自动重建。 随后，攻击者通过窃取的VPN凭证、新建VPN账户、WMIC/SSH工具及TACACS+/RADIUS认证进行网络测绘和横向移动。 在实施双重勒索前，Mora_001使用定制工具窃取数据，优先针对文件服务器、数据库服务器和域控制器进行加密。完成加密后，系统会留下勒索信。最终部署名为’WipeBlack’的定制擦除工具，清除勒索软件执行痕迹以阻碍取证分析。 Forescout发现多项证据表明SuperBlack与LockBit勒索组织存在密切联系，尽管前者表现出独立运作特征： SuperBlack加密器（VirusTotal记录）基于LockBit 3.0泄露的构建器开发，具有相同的载荷结构和加密算法，但移除了原始品牌标识。 SuperBlack勒索信包含与LockBit运营相关的TOX聊天ID，暗示Mora_001可能是LockBit前附属机构或核心团队中负责赎金谈判的成员。 攻击使用的IP地址与历史LockBit行动存在大量重叠。此外，WipeBlack工具亦被BrainCipher、EstateRansomware、SenSayQ等与LockBit关联的勒索组织使用。 Forescout在报告末尾提供了完整的SuperBlack攻击活动入侵指标（IoC）列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）表示，截至上月，Medusa 勒索软件已影响美国 300 多家关键基础设施行业的组织。 这一消息来自 CISA、联邦调查局（FBI）和多州信息共享与分析中心（MS-ISAC）今天联合发布的通告。 “CISA、FBI 和 MS-ISAC 警告称，截至 2025 年 2 月，Medusa 开发者及其合作伙伴已攻击 300 多个受害组织，受影响行业涵盖医疗、教育、法律、保险、科技及制造业等多个关键基础设施领域。” FBI、CISA 和 MS-ISAC 呼吁各组织采取通告中的缓解措施，以降低 Medusa 勒索软件攻击的风险和影响。 通告指出，为防范 Medusa 勒索软件攻击，建议采取以下安全措施： 修补已知安全漏洞，确保操作系统、软件和固件在合理时间内完成更新； 进行网络分段，限制受感染设备在组织内部的横向移动； 过滤网络流量，阻止未知或不受信任来源访问内部系统的远程服务。 Medusa 勒索软件最早于 2021 年 1 月出现，但该组织直到 2023 年才开始活跃，并推出“Medusa Blog”泄密网站，以被盗数据为筹码施压受害者支付赎金。 自其出现以来，Medusa 已在全球范围内造成超过 400 名受害者，并因 2023 年 3 月攻击明尼阿波利斯公立学校（MPS）并公布被盗数据的视频而引发媒体关注。 2023 年 11 月，该组织还在暗网勒索平台上泄露了据称从丰田金融服务公司（Toyota Financial Services）窃取的文件。此前，丰田拒绝支付 800 万美元的赎金，并通知客户数据遭泄露。 Medusa 最初是封闭式勒索软件，仅由一个黑客组织负责开发和运营。后来，该组织转型为“勒索软件即服务”（RaaS）模式，采用合作伙伴体系，但核心开发者仍负责关键运营，包括赎金谈判。 “Medusa 开发者通常在网络犯罪论坛和黑市上招募初始访问经纪人（IABs）获取受害目标的访问权限。” 通告补充道，”这些合作伙伴可能获得 100 美元至 100 万美元不等的报酬，并有机会专门为 Medusa 工作。” 需要注意的是，多个恶意软件组织都使用“Medusa”这一名称，包括一个基于 Mirai 的勒索软件机器人网络和 2020 年发现的 Android 恶意软件即服务（MaaS）组织（又称 TangleBot）。 由于这一名称的广泛使用，Medusa 勒索软件常被误认为是 MedusaLocker 勒索软件，尽管两者实际上是完全不同的黑客组织。 上个月，CISA 和 FBI 还联合发布警报，警告“Ghost”勒索软件已入侵全球 70 多个国家的多个行业，包括关键基础设施领域。 消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子通过发送虚假的版权索赔来勒索 YouTubers，迫使他们在视频中推广恶意软件和加密货币矿工。 这些威胁行为者利用 Windows Packet Divert (WPD) 工具在俄罗斯的流行程度，这些工具帮助用户绕过互联网审查和政府对网站及在线服务的限制。 YouTubers 为迎合这一受众群体，发布了关于如何使用各种基于 WPD 的工具绕过审查的教程，并成为威胁行为者的目标，这些行为者伪装成这些工具的版权持有者。 在大多数情况下，威胁行为者声称是所展示限制绕过工具的原始开发者，向 YouTube 提出版权索赔，然后联系创作者，提供解决方案，即在视频中包含他们提供的下载链接。 同时，他们威胁说，如果不遵守，将在 YouTube 上再增加两次“打击”，根据平台的“三次打击”政策，可能导致频道被封禁。 在其他情况下，攻击者直接联系创作者，伪装成工具的开发者，声称原始工具有一个新版本或新的下载链接，要求创作者在视频中更改链接。 YouTubers 出于对失去频道的担忧，屈服于威胁行为者的勒索，同意在视频中添加指向托管这些所谓的 WPD 工具的 GitHub 存储库的链接。然而，这些是被植入木马的版本，包含了一个加密矿工下载器。 卡巴斯基观察到这种推广被植入木马的 WPD 工具的行为发生在一段有超过 400,000 次观看的 YouTube 视频中，恶意链接在被移除前达到了 40,000 次下载。 一个拥有 340,000 订阅者的 Telegram 频道也以同样的伪装推广了恶意软件。 “根据我们的遥测，这场恶意软件活动已经影响了俄罗斯 2,000 多名受害者，但实际数字可能更高，”卡巴斯基警告说。 恶意软件加载程序是从 GitHub 存储库下载的包含 Python 恶意软件加载程序的恶意存档，通过修改后的启动脚本（“general.bat”）使用 PowerShell 启动。 如果受害者的防病毒软件干扰了这一过程，启动脚本会提示用户禁用防病毒软件并重新下载文件。 可执行文件仅针对俄罗斯 IP 地址获取第二阶段加载程序并在设备上执行。 第二阶段负载是另一个可执行文件，其大小被膨胀到 690 MB 以逃避防病毒分析，同时它还具备反沙盒和虚拟机检查功能。 恶意软件加载程序通过添加排除项和创建名为 “DrvSvc” 的 Windows 服务来关闭 Microsoft Defender 保护，以实现重启后的持久性。 最终，它下载最终负载，SilentCryptoMiner，这是一个修改版的 XMRig，能够开采多种加密货币，包括 ETH、ETC、XMR 和 RTM。 coin miner 每 100 分钟从 Pastebin 获取远程配置，以便动态更新。 为了逃避检测，它被加载到如 “dwm.exe” 的系统进程中，使用进程空心化技术，并在用户启动如 Process Explorer 和 Task Manager 的监控工具时暂停挖矿活动。 尽管卡巴斯基发现的这场活动主要针对俄罗斯用户，但相同的策略也可能被用于更广泛范围的操作，这些操作还可能投放信息窃取器或勒索软件等风险更高的恶意软件。 用户应避免从 YouTube 视频或描述中的网址下载软件，尤其是来自较小到中等规模的频道，这些频道更容易受到欺诈和勒索的影响。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “雷根”加载器是一种“复杂且不断演变的恶意软件工具包”，被包括“雷根”锁屏软件（又名“怪兽螳螂”）、芬7、芬8以及“无情螳螂”（前身为REvil）在内的多个网络犯罪和勒索软件团伙所使用。 瑞士网络安全公司PRODAFT在一份声明中表示：“雷根”加载器在维持对受感染系统的访问中发挥着关键作用，帮助攻击者长期潜伏在网络中进行攻击活动。 尽管它与“雷根”锁屏软件团伙有关联，但尚不清楚该团伙是拥有该工具还是将其出租给他人。不过可以肯定的是，其开发者不断添加新功能，使其更具模块化，更难被检测。 “雷根”加载器也被称为“萨多尼克”，最早于2021年8月由Bitdefender记录，当时芬8针对美国一家未具名金融机构的攻击未能成功。该恶意软件自2020年起就被投入使用。 2023年7月，博通旗下的赛门铁克披露芬8使用该后门的更新版本来投放现已失效的“黑猫”勒索软件。 “雷根”加载器的核心功能是能够在目标环境中建立长期立足点，同时运用一系列技术规避检测，确保攻击活动的持续性。 PRODAFT指出：“该恶意软件利用基于PowerShell的有效载荷执行操作，采用强大的加密和编码方法（包括RC4和Base64）来隐藏其活动，并运用复杂的进程注入策略来建立和维持对受感染系统的隐秘控制。” “这些功能共同增强了其规避检测和在目标环境中持续存在的能力。” 该恶意软件以包含多个组件的档案文件包的形式提供给合作伙伴，以便实现反向Shell、本地权限提升和远程桌面访问等功能。它还被设计为与攻击者建立通信，使攻击者能够通过命令与控制（C2）面板远程控制受感染的系统。 “雷根”加载器通常利用PowerShell在受害者系统上执行，并整合了大量反分析技术，以抵抗检测并模糊控制流逻辑。 此外，它还能够通过运行DLL插件和Shellcode以及读取和窃取任意文件内容来开展各种后门操作。为了在网络中横向移动，“雷根”加载器还使用了另一个基于PowerShell的跳板文件。 另一个关键组件是一个名为“bc”的Linux可执行ELF文件，它被设计用于协助远程连接，使攻击者能够在受感染的系统上直接启动和执行命令行指令。 PRODAFT表示，“bc”与QakBot和IcedID等其他已知恶意软件家族中的BackConnect模块类似，它们都允许攻击者与受害者的设备进行远程交互。“这是网络犯罪分子的常见手段，尤其是针对企业受害者，因为他们的设备通常处于网络隔离状态。”该公司补充道，“它采用了高级的混淆、加密和反分析技术，包括基于PowerShell的有效载荷、RC4和Base64解密程序、动态进程注入、令牌操作以及横向移动能力。这些功能体现了现代勒索软件生态系统的复杂性和适应性不断增强。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2023 年 1 月首次出现以来，Medusa 勒索软件背后的威胁行为者已经声称近 400 个受害者，2023 年至 2024 年间，这类以经济利益为动机的攻击事件增加了 42%。 据 Symantec 威胁猎手团队在一份报告中表示，仅在 2025 年的前两个月，该组织就声称发起了 40 多起攻击。网络安全公司正跟踪这个集群，将其命名为 Spearwing。 “与其他多数勒索软件操作者一样，Spearwing 及其分支机构会实施双倍勒索攻击，在加密网络之前先窃取受害者的数据，以免受害者不支付赎金，从而增加对受害者的压力。” Symantec 表示。 “如果受害者拒绝支付，该组织则威胁在他们的数据泄露网站上发布被盗数据。” 尽管像 RansomHub（又名 Greenbottle 和 Cyclops）、Play（又名 Balloonfly）以及 Qilin（又名 Agenda、Stinkbug 和 Water Galura）这样的勒索软件即服务（RaaS）玩家已经从 LockBit 和 BlackCat 的破坏中受益，但 Medusa 感染事件的激增表明，该威胁行为者也有可能急于填补这两个多产的勒索软件留下的空白。 随着勒索软件的构成继续处于不稳定状态，最近几个月，像 Anubis、CipherLocker、Core、Dange、LCRYX、Loches、Vgod 和 Xelera 这样的新 RaaS 操作不断地出现在网络空间中。 Medusa 有向医疗机构和非营利组织索要 10 万至 1500 万美元赎金的记录，同时还把金融和政府机构作为攻击目标。 该勒索软件的攻击链涉及利用面向公众的应用程序中的已知安全漏洞来获取初始访问权限，主要是 Microsoft Exchange Server。还怀疑该威胁行为者很可能正在利用初始访问代理来突破感兴趣的网络。 一旦成功进入，黑客就会使用 SimpleHelp、AnyDesk 或 MeshAgent 等远程管理和监控（RMM）软件来保持持续访问，并使用经过验证的自带易受攻击驱动程序（BYOVD）技术来终止使用 KillAV 的杀毒进程。值得注意的是，KillAV 之前也被用于 BlackCat 勒索软件攻击。 “使用合法的 RMM 软件 PDQ Deploy 是 Medusa 勒索软件攻击的另一大特征。” Symantec 表示，“攻击者通常会利用它来投放其他工具和文件，并在受害者的网络中横向移动。” 在 Medusa 勒索软件攻击过程中部署的其他工具包括用于访问和运行数据库查询的 Navicat、用于数据泄露的 RoboCopy 和 Rclone。 “与其他针对性勒索软件组织一样，Spearwing 往往会攻击各个行业的大型组织。” Symantec 表示，“勒索软件组织通常完全由利润驱动，而不受任何意识形态或道德观念的约束。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 部署 Black Basta 和 CACTUS 勒索软件家族的威胁行为者被发现依赖相同的 BackConnect（BC）模块来维持对受感染主机的持续控制，这表明以前与 Black Basta 有关联的附属机构可能已经转向 CACTUS。 “一旦渗透，它就授予攻击者广泛的远程控制功能，允许他们在受感染的机器上执行命令，”Trend Micro 在周一的分析中表示，“这使他们能够窃取敏感数据，如登录凭据、财务信息和个人文件。” 值得注意的是，BC 模块的细节，由于其与 QakBot 加载程序的重叠，被网络安全公司跟踪为 QBACKCONNECT，首次于 2025 年 1 月下旬由沃尔玛的网络情报团队和 Sophos 文档，后者将该集群命名为 STAC5777。 在过去的 2024 年，Black Basta 攻击链越来越多地利用电子邮件炸弹战术来诱使潜在目标在联系后安装 Quick Assist，这些威胁行为者以 IT 支持或帮助台人员的身份出现。 访问然后作为渠道，通过 OneDriveStandaloneUpdater.exe 侧载恶意 DLL 加载程序（“winhttp.dll”），这是一个负责更新 Microsoft OneDrive 的合法可执行文件。加载程序最终解密并运行 BC 模块。 CACTUS 勒索软件 Trend Micro 观察到一次 CACTUS 勒索软件攻击，该攻击使用了相同的植入 BackConnect 的方式，但还超越了这一点，进行了各种后期利用操作，如横向移动和数据泄露。然而，加密受害者网络的努力以失败告终。 这种战术的汇聚在最近的 Black Basta 聊天记录泄露的背景下显得尤为重要，这些记录揭示了网络犯罪团伙的内部运作和组织结构。 具体来说，已经发现该团伙的成员共享了有效的凭据，其中一些来自信息窃取日志。其他一些突出的初始访问点是远程桌面协议（RDP）门户和 VPN 端点。 “威胁行为者正在使用这些战术、技术和程序（TTP）—— 电话钓鱼、Quick Assist 作为远程工具，以及 BackConnect—— 来部署 Black Basta 勒索软件，”Trend Micro 表示。 “具体来说，有证据表明，成员已经从 Black Basta 勒索软件团伙转向了 CACTUS 勒索软件团伙。这一结论是通过对 CACTUS 团伙使用的类似战术、技术和程序（TTP）的分析得出的。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正在利用 Paragon 分区管理器的 BioNTdrv.sys 驱动程序中的安全漏洞发动勒索软件攻击，以提升权限并执行任意代码。 这一零日漏洞（CVE-2025-0289）是微软发现的五个漏洞之一，据CERT协调中心（CERT/CC）表示。 “这些漏洞包括任意内核内存映射和写入漏洞、空指针解引用、不安全的内核资源访问以及任意内存移动漏洞。”CERT/CC 说道。 在一种假设的攻击场景中，本地访问 Windows 机器的攻击者可以利用这些漏洞提升权限或通过利用 ‘BioNTdrv.sys’ 由微软签名的事实来引发拒绝服务（DoS）状况。 这还为所谓的自带漏洞驱动程序（BYOVD）攻击铺平了道路，在这些攻击中，驱动程序未安装的系统会受到攻击，从而使威胁行为者能够获得提升的权限并执行恶意代码。 影响 BioNTdrv.sys 1.3.0 和 1.5.1 版本的漏洞列表如下： CVE-2025-0285：由于未验证用户提供的数据长度，7.9.1 版本中存在任意内核内存映射漏洞。攻击者可以利用此漏洞提升权限。 CVE-2025-0286：由于对用户提供的数据长度验证不当，7.9.1 版本中存在任意内核内存写入漏洞。此漏洞允许攻击者在受害者的机器上执行任意代码。 CVE-2025-0287：由于输入缓冲区中缺少有效的 MasterLrp 结构，7.9.1 版本中存在空指针解引用漏洞。这允许攻击者执行任意内核代码，从而提升权限。 CVE-2025-0288：由于 memmove 函数未能净化用户控制的输入，7.9.1 版本中存在任意内核内存漏洞。这允许攻击者写入任意内核内存并实现权限提升。 CVE-2025-0289：由于在将 MappedSystemVa 指针传递给 HalReturnToFirmware 之前未进行验证，17 版本中存在不安全的内核资源访问漏洞。这允许攻击者破坏受影响的服务。 Paragon 软件公司已经通过 2.0.0 版本的驱动程序解决了这些漏洞，易受攻击的驱动程序版本已被添加到微软的驱动程序阻止列表中。 这一事件发生在 Check Point 揭示了一起大规模恶意软件活动的几天后，该活动利用了与 Adlice 产品套件相关的另一个易受攻击的 Windows 驱动程序（“truesight.sys”）来绕过检测并部署 Gh0st RAT 恶意软件。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文