勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 缝隙

首页 > 安全钻研 > 安全传递 > 安全简讯

勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 缝隙

颁布功夫 2025-03-03

1. 勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 缝隙

3月1日，微软近期发现了Paragon Partition Manager中的五个BioNTdrv.sys驱动法式缺点，其中一个已被勒索软件团伙在零日攻击中利用，以获取Windows系统的SYSTEM权限。这些缝隙可被用于“自带易受攻击的驱动法式”（BYOVD）攻击，攻击者通过搁置内核驱动法式在指标系统上提升权限。CERT/CC忠告称，拥有设备本地接见权限的攻击者能利用这些缝隙提升权限或引发回绝服务(DoS)攻击。由于涉及微软署名的驱动法式，即便未装置Paragon Partition Manager，攻击者也能利用BYOVD技术。BioNTdrv.sys作为内核级驱动法式，使威胁行为者能绕过�；ず桶踩砑葱泻帕�。微软已观察到CVE-2025-0289缝隙被用于BYOVD勒索软件攻击中。Paragon Software已建补这些缝隙，微软也将易受攻击的BioNTdrv.sys版本参与阻止列表。建议用户升级到蕴含解决所出缺点的BioNTdrv.sys版本2.0.0的最新软件版本。但需把稳，未装置Paragon Partition Manager的用户也可能受到攻击，由于BYOVD战术不依赖于指标软件。微软已更新易受攻击的驱动法式阻止列表，用户应验证系统�；な欠衿粲�。Paragon Software还忠告用户升级Paragon Hard Disk Manager，因它使用一样驱动法式。

https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/

2. 麒麟勒索软件团伙威胁Lee Enterprises，宣称将公开350GB窃取数据

2月28日，麒麟勒索软件团伙宣称对2月3日针对美国媒体公司Lee Enterprises的网络攻击掌管，这次攻击导致该公司运营中断，并宣称窃取了总计350GB的120,000个文件，蕴含当局身份证扫描件、保密和谈、财政电子表格等机密文件。Lee Enterprises已确认收到这些指控并在调查。麒麟勒索软件团伙威胁称，除非支付赎金，不然将于3月5日公开所有据称被盗的数据。麒麟勒索软件自2022年推出以来，已获得了显著进展，并在技术方面不休演进，推出了Linux变体、自界说Chrome凭证窃取法式以及基于Rust的数据储物柜等。此表，微软汇报称，“散布蜘蛛”黑客集团成员也起头使用麒麟勒索软件进行攻击。这次事务再次提醒企业和幼我加强网络安全防护，防备勒索软件等网络威胁。

https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-at-lee-enterprises-leaks-stolen-data/

3. Skype将于5月关关，微软推动用户迁徙至Teams

2月28日，微软已确认，其视频通话和新闻服务Skype将于2025年5月5日下线。Skype自2011年被微软收购以来，一向作为该公司的沉要通讯工具，但如今微软正推动用户迁徙到其面向消费者的免费Teams利用法式。据BleepingComputer报路，Windows和Mac版的Skype预览版中已出现提醒用户切换到Teams的字符串，一旦用户登录帐户，他们的所有联系人、通话纪录和新闻城市自动迁徙。若是用户不想切换到Teams，他们能够导出谈天纪录和新闻中分享的图像。微软暗示，在过渡期间，Teams用户能够与Skype用户通话和谈天。随着Skype的关关，微软将终场提供付费Skype职能，蕴含Skype点数和语音通话。微软365合作利用与平台总裁Jeff Teper暗示，使用Teams，用户能够接见Skype中的很多主题职能，并获得更多加强职能。Skype最初于2003年颁布，每天有超过3600万人使用它进行电话和谈天联系。

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-its-killing-off-skype-in-may-after-14-years/

4. 大型说话模型训练数据集中惊现万余实时奥秘

2月28日，近期，用于训练大型说话模型（LLM）的数据集被发现蕴含近12,000个可用于身份验证的实时奥秘，这再次凸显了硬编码凭证的安全风险。Truffle Security从Common Crawl的重大数据集中发现了这些奥秘，该数据集蕴含18年来超过2500亿个页面。此表，Lasso Security曾忠告，通过公共源代码存储库泄露的数据可通过AI谈天机械人接见，即便已设为私有，这种攻击步骤发现了多个驰名组织的存储库露出了个人令牌和密钥。新钻研批注，对不安全代码示例进行AI说话模型微调可能导致意表有害行为，称为突发错位。钻研人员指出，模型经过微调后，能够在不泄漏的情况下输出不安全的代码，并与编码无关的宽泛提醒上阐发不一致。这衷欹敌性攻击被称为即时注入，可导致LLM在不知情的情况下天生被不容的内容。Palo Alto Networks Unit 42的调查发现，所有调查的GenAI网络产品都存在肯定水平的易被越狱的风险。此表，大型推理模型的思路链中央推理可能会被劫持，而“logit bias”参数的不当调整也可能导致模型产生不适当或有害的内容。这些发现强调了加强AI安全性的沉要性。

https://thehackernews.com/2025/02/12000-api-keys-and-passwords-found-in.html

5. 美敌灾成功追回Uranium Finance被盗3100万美元加密钱币

2月28日，2021年4月，基于币安智能链的去中心化金融（DeFi）和谈Uranium Finance上线后不久便遭逢了两次沉大网络攻击。该平台作为自动做市商（AMM）运作，类似于Uniswap。黑客利用智能合约中的缝隙，在两次攻击平别离盗走了140万美元和5200万美元的加密钱币，总计造成超过5370万美元的损失。只管黑客在第一次攻击后送还了部门资金，但仍留下了385,500美元，并通过Tornado Cash进行了洗钱。这些被盗资金通从前中心化买卖所转换成炼类加密钱币，并存放在闲置钱包中多年。然而，在区块链谍报公司TRM Labs的协助下，纽约南区（SDNY）和河山安全调查局（HSI）圣地亚哥分局成功追踪并追回了部门被盗资产。TRM Labs与法律部门亲昵合作，详细追踪了多个区块链中被盗资产的流动情况，并提供了可操作的谍报。最终，法律部门于2025年2月成功扣押了3100万美元的未偿还资金，超过了一半的损失得以挽回。目前，纽约州南区警员局正要求黑客攻击的受害者发送电子邮件以领取部门被追回的加密钱币。

https://www.bleepingcomputer.com/news/cryptocurrency/us-recovers-31-million-stolen-in-2021-uranium-finance-hack/

6. 网络垂钓活动利用虚伪CAPTCHA传布Lumma Stealer恶意软件

2月28日，网络安全钻研人员告发了一场大规模网络垂钓活动，该活动利用托管在Webflow CDN上的PDF文档，通过虚伪的CAPTCHA图像传布Lumma Stealer恶意软件。Netskope Threat Labs发现超过260个域名托管了5000个垂钓PDF文件，这些文件将受害者沉定向至恶意网站。攻击者还利用SEO诱骗受害者点击恶意搜索了局，并通过在线图书馆和PDF存储库上传PDF文件以扩大攻击领域。这些PDF蕴含伪造的CAPTCHA，诱骗受害者执行恶意PowerShell号令，最终导致Lumma Stealer的装置。自2024年下半年以来，该活动已影响1150多个组织和7000多名用户，重要集中在北美、亚洲和南欧。此表，Lumma Stealer日志在一个新黑客论坛Leaky[.]pro上免费共享，批注该恶意软件以恶意软件即服务（MaaS）模式销售，为网络犯罪分子提供从受习染Windows主机中获取大量信息的步骤。同时，其他窃取恶意软件如Vidar和Atomic macOS Stealer也选取类似步骤传布，网络垂钓攻击还滥用了一种新的JavaScript混合技术。这些攻击高度个性化，蕴含非公开信息，并尝试通过沉定向至良性网站来遏制攻击，增长了其荫蔽性和复杂性。

https://thehackernews.com/2025/02/5000-phishing-pdfs-on-260-domains.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研