勒索软件团伙正利用Paragon Partition Manager驱动程序缺陷发动零日攻击

微软近日发现，硬盘分区管理软件驱动程序ParagonPartitionManager BioNTdrv.sys(版本低于2.0.0)存在五个安全缺陷。其中，勒索软件团伙利用其中一个缺陷获得超过典型管理员权限的系统级权限提升。这些缺陷还使攻击者能够通过特定设备的输入/输出控制(IOCTL)调用操纵驱动程序，可能导致权限提升或系统崩溃(如蓝屏死机)。

其中，第一个缺陷是7.9.1版本中由于memmove函数未能正确处理用户控制的输入而导致的任意内核内存缺陷，允许攻击者写入任意内核内存并实现权限提升；第二个缺陷是7.9.1版本中由于输入缓冲区中缺少有效MasterLrp结构而导致的空指针解引用缺陷，允许攻击者执行任意内核代码，实现权限提升；第三个缺陷是7.9.1版本中由于未正确验证用户提供的数据长度而导致的任意内核内存写入缺陷，攻击者可利用该缺陷在受害者机器上执行任意代码；第四个缺陷是7.9.1版本中由于未能验证用户提供的数据长度而导致的任意内核内存映射缺陷，攻击者可用来实现权限提升；第四个缺陷也就是已经被利用的缺陷，是17版本中由于在将MappedSystemVa指针传递给HalReturnToFirmware之前未能验证该指针而导致的不安全内核资源访问缺陷，允许攻击者入侵受影响的服务。

2月28日，Qilin勒索软件团伙声称对美国媒体公司李企业(Lee Enterprises)发动了网络攻击，导致该公司于2025年2月3日陷入运营中断。该团伙还泄露了所谓从该公司窃取的部分数据样本，并威胁称如果不支付赎金，将于2025年3月5日泄露所有被盗数据。

李企业是一家媒体公司，拥有并运营着77家日报、350种出版物、数字媒体平台和营销服务。此次攻击造成内部系统和云存储无法访问、企业VPN无法使用等严重问题。Qilin勒索软件团伙在其暗网勒索网站上添加了李企业，并分享了所谓从该公司窃取的数据样本，包括政府身份证扫描件、保密协议、财务电子表格、合同/协议以及其他机密文件。该勒索团伙声称已窃取12万个文件，总大小达350GB。李企业发言人在回应时表示:"我们注意到了这些声明，目前正在调查中。"

Qilin勒索软件自2022年8月以"Agenda"名称首次出现以来，一直在不断发展。该团伙曾声称攻击了数百个受害者，包括汽车制造商延锋、澳大利亚维多利亚法院服务机构，以及伦敦多家重要的NHS医院。

watchTowr实验室安全研究人员近日披露了备份和复制工具Nakivo中的一个严重安全缺陷，并发布了一个概念验证(PoC)漏洞利用代码。该缺陷使系统面临未经身份验证的任意文件读取攻击的风险，攻击者可能利用该缺陷提取备份日志、包含AWS S3存储桶和SSH服务器凭据的数据库文件等敏感数据。

该缺陷位于Nakivo Director网络界面的/c/router端点。攻击者可利用这一端点发送特制的HTTP请求，调用getImageByPath等方法，而这些方法在处理用户提供的文件路径时缺乏适当验证，从而使攻击者能够读取底层系统上的任意文件。由于Nakivo通常以提升的权限运行，访问诸如Linux上的/etc/shadow或Windows上的C:windowswin.ini等关键系统文件，使得风险进一步加剧。

该缺陷影响Nakivo 10.11.3.86570版本及可能更早的版本。据Shadowserver基金会报告，截至2025年2月26日，共发现208个受影响的Nakivo备份和复制软件实例。

3月3日，俄罗斯电信运营商Beeline遭到大规模分布式拒绝服务(DDoS)攻击，导致一些用户网络中断。这已是Beeline在近期遭受的第二起重大网络攻击。

Beeline拥有超过4400万订户。在多个网络监测服务和用户投诉之后，Beeline向当地媒体证实了此次攻击。互联网监测服务Downdetector的数据显示，大多数俄罗斯Beeline用户无法访问公司的移动应用程序，部分用户还反映网站瘫痪、通知失败和网络中断。俄罗斯通信监管机构Roskomnadzor表示，在周一的事件后，莫斯科及周边地区的用户大量投诉连接问题。

上月初，一场类似的DDoS攻击曾导致Beeline遭遇大范围服务中断，公司网站和移动应用程序瘫痪，家庭和移动互联网服务也受到影响。此前1月，俄罗斯电信巨头MegaFon也遭遇类似网络中断，被认为是大规模DDoS攻击所致。一位网络安全人士向媒体表示，2月的Beeline攻击和MegaFon事件是今年针对电信行业最大规模的黑客活动。

美国网络安全与基础设施安全局(CISA)发出紧急警告，思科小型企业RV系列路由器存在一个严重的命令注入漏洞(CVE-2023-20118)，该漏洞正在被活跃利用。

该漏洞存在于思科已停产的RV016、RV042、RV042G、RV082、RV320和RV325路由器的基于Web的管理界面中，源于对HTTP数据包中用户输入的不当验证(CWE-77)，允许经过身份验证的攻击者以root权限执行任意命令。虽然需要管理员凭证才能利用该漏洞，但一旦凭证被泄露或内部威胁存在，攻击者就可能注入恶意负载、绕过授权控制访问未经授权的数据，并在网络中持续活动以实现横向移动或数据窃取。

思科已确认这些路由器由于停产状态将不会获得补丁，导致全球约有5万台设备面临风险。尽管目前尚未发现与该漏洞相关的勒索软件活动，但CISA强调其对关键基础设施构成"重大风险"。为降低攻击面，思科建议立即采取以下缓解措施：对RV320和RV325路由器禁用远程管理；对RV016、RV042、RV042G和RV082型号阻止端口443和60443。

GreyNoise 本周发布的年度"大规模互联网利用报告"披露，去年勒索软件团伙在攻击中利用了美国网络安全与基础设施安全局(CISA)已知漏洞利用目录（KEV）中28%的安全漏洞。KEV 计划旨在改善美国公共部门的补丁管理，但数据显示它也在无意中影响了私营部门。攻击者将KEV作为有用工具来规划攻击，是因为该目录记录了他人成功利用的漏洞，显示它们是否被用于勒索软件攻击，并通常提供相关文档解释利用方式。

GreyNoise的一份报告发现，虽然部分漏洞，如Cleo Harmony远程代码执行漏洞(CVE-2024-50623)和Progress Kemp LoadMaster命令执行漏洞(CVE-2024-1212)，是在大规模利用后才被添加到目录；但在大多数情况下，一旦发现确认的利用行为，漏洞通常会在一两周内被列入 CISA 目录。

报告发现，至少 40%去年被利用的漏洞存在至少四年，部分漏洞可追溯至 20 世纪 90 年代。研究人员呼吁立即采取具体措施应对这些持续威胁。同时，报告建议用户考虑更换Ivanti、D-Link和VMware等产品的供应商，因为这些产品存在较高的零日漏洞利用风险，且供应商处理安全补丁的做法令人失望。

互联网连接设备遭受漏洞扫描攻击的情况在过去一年中急剧上升。根据F5实验室在2025年2月的“传感器情报系列”报告中汇总的最新数据，2024年针对漏洞的扫描活动比前一年增长了高达91%，这是近年来观察到的最大同比增幅，远远超过2022年至2023年仅5%的增长。

这一前所未有的激增并非局限于某个特定漏洞或攻击向量。尽管F5实验室的研究人员最初怀疑大规模扫描CVE-2023-1389可能会扭曲数据，但进一步分析发现,即使排除这一特定威胁，总体流量仍显示出91%的增长。2025年初的数据也没有显示出放缓的迹象，这可能意味着互联网连接设备面临的威胁水平进入了一个新常态。

令家庭用户和企业同样担忧的是，攻击集中针对物联网设备和消费级路由器。报告显示，42%的与CVE相关流量专门针对这些设备。TP-Link Archer AX21路由器漏洞(CVE-2023-1389)连续第六个月主导扫描活动。

研究人员近日揭示，一场新发现的网络钓鱼活动正利用ClickFix手法，诱骗受害者执行恶意PowerShell命令，从而在入侵设备上部署Havoc后渗透框架，实现远程访问控制。

攻击者发送钓鱼邮件，声称有"限制通知"需要查看，诱使收件人打开附件HTML文档，并诱导用户手动更新DNS缓存。点击“修复方法”按钮会自动复制一段PowerShell命令到剪贴板，并显示执行说明。该命令会尝试启动攻击者SharePoint服务器上的另一PowerShell脚本。该脚本会检查设备是否在沙箱环境中运行。如果不是，它会修改Windows注册表，标记脚本已在设备上运行，并检查Python是否已安装，如果没有则安装解释器。最后，脚本会从同一SharePoint站点下载并执行Python脚本，以注入DLL的方式部署Havoc后渗透命令与控制框架。

Havoc是一款类似Cobalt Strike的开源后渗透框架，允许攻击者远程控制入侵设备。Havoc被配置通过微软Graph API与攻击者服务器通信，将恶意流量隐藏在合法云服务中，从而规避检测。恶意软件利用SharePoint API在Graph上发送和接收命令，实际上将攻击者的SharePoint账户变成了数据交换系统。

近日，英国隐私监管机构英国信息专员办公室(ICO)宣布对TikTok、Reddit和Imgur三家社交媒体平台展开调查，原因是这些平台的"推荐系统"可能导致未成年用户接触不当或有害内容。ICO表示，将审查这些平台如何使用儿童个人信息，以及它们采取何种年龄核实措施，以确保向儿童用户提供适龄内容。

据悉，ICO 在 2021 年通过了一项儿童行为准则要求平台采取“年龄保证措施”，包括估算儿童的年龄并保护他们免受潜在有害内容侵害的工具。ICO强调,这是一个隐私保护的优先领域，将继续采取行动确保儿童信息权利得到维护，并将就进一步行动提供更新。据悉，监管机构将与通信监管机构Ofcom密切合作,后者负责执行《在线安全法案》。

ICO 正在寻找任何违反数据保护法的行为。去年4月，ICO曾因TikTok未经父母同意收集13岁以下儿童信息，对其处以1270万英镑的罚款。

3月2日，安恒信息发布恒脑・DeepSeek 安全垂域一体机。该产品深度融合恒脑安全垂域特性和DeepSeek深度思考能力，实现从“开箱即用”跃迁到“场景落地”，加速行业智能化进程。

根据安恒信息的新闻稿，依托恒脑开放且高度灵活的智能体框架，安恒信息成功打造了业内首个深度融合DeepSeek技术的安全智能体体系。截止发布会当天，恒脑智能体商城已上线功能丰富且实用的50+基于DeepSeek的安全智能体，涵盖安全运营、数据安全、日常办公、IT运维、智能客服及知识搜索等多个场景。

恒脑・DeepSeek 安全垂域一体机包含入门版、标准版、旗舰版三个规格型号，适配不同企业规模、不同行业场景的多样化安全需求。除硬件一体机解决方案，本次发布会还同步发布了软件交付和SaaS化交付方案，全面支持国产化环境，形成了一个全系列、多形态、云地协同、支持异构的全能AI+安全解决方案。据悉，恒脑・DeepSeek安全垂域一体机的应用成效已得到充分验证。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除