勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞

首页 > 宁静研究 > 宁静通报 > 宁静简讯

勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞

宣布时间 2025-03-03

1. 勒索软件团伙在 BYOVD 攻击中利用 Paragon Partition Manager 漏洞

3月1日，微软近期发现了Paragon Partition Manager中的五个BioNTdrv.sys驱动法式缺陷，其中一个已被勒索软件团伙在零日攻击中利用，以获取Windows系统的SYSTEM权限。这些漏洞可被用于“自带易受攻击的驱动法式”（BYOVD）攻击，攻击者通过放置内核驱动法式在目标系统上提升权限。CERT/CC警告称，具有设备当地访问权限的攻击者能利用这些漏洞提升权限或引发拒绝服务(DoS)攻击。由于涉及微软签名的驱动法式，即使未安装Paragon Partition Manager，攻击者也能利用BYOVD技术。BioNTdrv.sys作为内核级驱动法式，使威胁行为者能绕过�；ず湍踩砑葱忻�。微软已视察到CVE-2025-0289漏洞被用于BYOVD勒索软件攻击中。Paragon Software已修补这些漏洞，微软也将易受攻击的BioNTdrv.sys版本加入阻止列表。建议用户升级到包罗解决所有缺陷的BioNTdrv.sys版本2.0.0的最新软件版本。但需注意，未安装Paragon Partition Manager的用户也可能受到攻击，因为BYOVD计谋不依赖于目标软件。微软已更新易受攻击的驱动法式阻止列表，用户应验证系统�；な欠衿粲�。Paragon Software还警告用户升级Paragon Hard Disk Manager，因它使用相同驱动法式。

https://www.bleepingcomputer.com/news/security/ransomware-gangs-exploit-paragon-partition-manager-bug-in-byovd-attacks/

2. 麒麟勒索软件团伙威胁Lee Enterprises，声称将果然350GB窃取数据

2月28日，麒麟勒索软件团伙声称对2月3日针对美国媒体公司Lee Enterprises的网络攻击卖力，此次攻击导致该公司运营中断，并声称窃取了总计350GB的120,000个文件，包罗政府身份证扫描件、保密协议、财政电子表格等机密文件。Lee Enterprises已确认收到这些指控并正在视察。麒麟勒索软件团伙威胁称，除非支付赎金，否则将于3月5日果然所有据称被盗的数据。麒麟勒索软件自2022年推出以来，已取得了显著进展，并在技术方面不停演进，推出了Linux变体、自界说Chrome凭证窃取法式以及基于Rust的数据储物柜等。此外，微软陈诉称，“散布蜘蛛”黑客集团成员也开始使用麒麟勒索软件进行攻击。此次事件再次提醒企业和个人加强网络宁静防护，防范勒索软件等网络威胁。

https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-at-lee-enterprises-leaks-stolen-data/

3. Skype将于5月关闭，微软推动用户迁移至Teams

2月28日，微软已确认，其视频通话和消息服务Skype将于2025年5月5日下线。Skype自2011年被微软收购以来，一直作为该公司的重要通信工具，但如今微软正推动用户迁移到其面向消费者的免费Teams应用法式。据BleepingComputer报道，Windows和Mac版的Skype预览版中已泛起提示用户切换到Teams的字符串，一旦用户登录帐户，他们的所有联系人、通话记录和消息都市自动迁移。如果用户不想切换到Teams，他们可以导出聊天记录和消息中分享的图像。微软体现，在过渡期间，Teams用户可以与Skype用户通话和聊天。随着Skype的关闭，微软将停止提供付费Skype功效，包罗Skype点数和语音通话。微软365协作应用与平台总裁Jeff Teper体现，使用Teams，用户可以访问Skype中的许多核心功效，并获得更多增强功效。Skype最初于2003年宣布，每天有凌驾3600万人使用它进行电话和聊天联系。

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-its-killing-off-skype-in-may-after-14-years/

4. 大型语言模型训练数据集中惊现万余实时秘密

2月28日，近期，用于训练大型语言模型（LLM）的数据集被发现包罗近12,000个可用于身份验证的实时秘密，这再次凸显了硬编码凭证的宁静风险。Truffle Security从Common Crawl的庞大数据集中发现了这些秘密，该数据集包罗18年来凌驾2500亿个页面。此外，Lasso Security曾警告，通过公共源代码存储库泄露的数据可通过AI聊天机器人访问，即使已设为私有，这种攻击要领发现了多个知名组织的存储库袒露了私人令牌和密钥。新研究表明，对不宁静代码示例进行AI语言模型微调可能导致意外有害行为，称为突发错位。研究人员指出，模型经过微调后，可以在不透露的情况下输出不宁静的代码，并与编码无关的广泛提示上体现纷歧致。这种反抗性攻击被称为即时注入，可导致LLM在不知情的情况下生成被禁止的内容。Palo Alto Networks Unit 42的视察发现，所有视察的GenAI网络产物都存在一定水平的易被越狱的风险。此外，大型推理模型的思路链中间推理可能会被劫持，而“logit bias”参数的不妥调整也可能导致模型发生不适当或有害的内容。这些发现强调了加强AI宁静性的重要性。

https://thehackernews.com/2025/02/12000-api-keys-and-passwords-found-in.html

5. 美政府乐成追回Uranium Finance被盗3100万美元加密货币

2月28日，2021年4月，基于币安智能链的去中心化金融（DeFi）协议Uranium Finance上线后不久便遭遇了两次重大网络攻击。该平台作为自动做市商（AMM）运作，类似于Uniswap。黑客利用智能合约中的漏洞，在两次攻击中分别盗走了140万美元和5200万美元的加密货币，总计造成凌驾5370万美元的损失。尽管黑客在第一次攻击后归还了部门资金，但仍留下了385,500美元，并通过Tornado Cash进行了洗钱。这些被盗资金通过去中心化交易所转换成了种种加密货币，并存放在闲置钱包中多年。然而，在区块链情报公司TRM Labs的协助下，纽约南区（SDNY）和国土宁静视察局（HSI）圣地亚哥分局乐成追踪并追回了部门被盗资产。TRM Labs与执法部门密切合作，细致追踪了多个区块链中被盗资产的流动情况，并提供了可操作的情报。最终，执法部门于2025年2月乐成扣押了3100万美元的未归还资金，凌驾了一半的损失得以挽回。目前，纽约州南区警察局正要求黑客攻击的受害者发送电子邮件以领取部门被追回的加密货币。

https://www.bleepingcomputer.com/news/cryptocurrency/us-recovers-31-million-stolen-in-2021-uranium-finance-hack/

6. 网络钓鱼活动利用虚假CAPTCHA流传Lumma Stealer恶意软件

2月28日，网络宁静研究人员揭露了一场大规模网络钓鱼活动，该活动利用托管在Webflow CDN上的PDF文档，通过虚假的CAPTCHA图像流传Lumma Stealer恶意软件。Netskope Threat Labs发现凌驾260个域名托管了5000个钓鱼PDF文件，这些文件将受害者重定向至恶意网站。攻击者还利用SEO诱骗受害者点击恶意搜索结果，并通过在线图书馆和PDF存储库上传PDF文件以扩大攻击范围。这些PDF包罗伪造的CAPTCHA，诱骗受害者执行恶意PowerShell命令，最终导致Lumma Stealer的安装。自2024年下半年以来，该活动已影响1150多个组织和7000多名用户，主要集中在北美、亚洲和南欧。此外，Lumma Stealer日志在一个新黑客论坛Leaky[.]pro上免费共享，表明该恶意软件以恶意软件即服务（MaaS）模式出售，为网络犯罪分子提供从受熏染Windows主机中获取大量信息的要领。同时，其他窃取恶意软件如Vidar和Atomic macOS Stealer也接纳类似要领流传，网络钓鱼攻击还滥用了一种新的JavaScript混淆技术。这些攻击高度个性化，包罗非果然信息，并实验通过重定向至良性网站来中止攻击，增加了其隐蔽性和庞大性。

https://thehackernews.com/2025/02/5000-phishing-pdfs-on-260-domains.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究