Xeno RAT成为GitHub上的严重威胁；黑客组织Lazarus利用Windows内核0day漏洞；五眼联盟警告 Ivanti漏洞被广泛利用 | 安全周报 0301

1. 微软为所有美国联邦机构提供免费日志记录功能

在一场针对 24 个组织的中国网络间谍活动曝光六个多月后，微软已向所有使用 Microsoft Purview Audit 的美国联邦机构提供免费日志记录功能，且不限制许可级别。

美国网络安全和基础设施安全局 (CISA) 表示：“微软将在客户账户中自动启用日志，并将默认的日志保留期从 90 天增加到 180 天。”

“此外，这些数据还将提供新的遥测信息，帮助更多联邦机构满足 [行政管理和预算局] M-21-31 备忘录规定的日志记录要求。”

来源：https://thehackernews.com/2024/02/microsoft-expands-free-logging.html

2. 开源的 Xeno RAT 特洛伊木马在 GitHub 上成为严重威胁

一个名为 Xeno RAT 的“设计复杂”的远程访问特洛伊木马 (RAT) 已在 GitHub 上发布，使其他用户无需额外费用即可轻松访问。
据名为 moom825 的开发者称，这款开源 RAT 是用 C# 编写的，与 Windows 10 和 Windows 11 操作系统兼容，并“配备了一套全面的远程系统管理功能”。

它包括 SOCKS5 反向代理和实时音频录制功能，以及类似 DarkVNC 的隐藏虚拟网络计算 (hVNC) 模块，使攻击者能够远程访问受感染的计算机。

开发者在项目描述中表示：“Xeno RAT 完全是从头开始开发的，确保采用独特且量身定制的方法来开发远程访问工具。”另一个值得注意的方面是，它有一个生成器，可以创建该恶意软件的定制变体。

来源：https://thehackernews.com/2024/02/open-source-xeno-rat-trojan-emerges-as.html

3. 黑客组织Lazarus在最近的攻击中利用Windows内核漏洞作为0day漏洞

黑客组织Lazarus利用了一个最近才修复的Windows内核的权限提升漏洞作为“0day”漏洞，来获得内核级别的访问权限并禁用被攻击主机上的安全软件。

这个漏洞是CVE-2024-21338（CVSS评分：7.8），它可以让攻击者获得SYSTEM权限。微软在本月初的Patch Tuesday更新中已经修复了这个漏洞。

“要利用此漏洞，攻击者必须首先登录到系统，”微软表示。“然后，攻击者可以运行一个特制的应用程序，该程序可以利用该漏洞并控制受影响的系统。”

来源：https://thehackernews.com/2024/02/lazarus-hackers-exploited-windows.html

4. 美国联邦调查局警告美国医疗保健部门注意针对性BlackCat勒索软件攻击

美国政府发出警告，称本月BlackCat（又名ALPHV）勒索软件攻击再次出现，医疗保健部门成为攻击目标。“自2023年12月中旬以来，在近70名信息泄露的受害者中，医疗保健部门是最常见的受害群体，”政府在最新发布的咨询中表示。

“这可能是对ALPHV/黑猫管理员帖子的回应，该帖子鼓励其附属机构在2023年12月初对该组织及其基础设施采取行动后，将医院作为攻击目标。”

此次警报由美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)以及卫生与公众服务部(HHS)联合发布。

去年年底，在一次协调的执法行动导致黑猫勒索软件的暗网泄露站点被查封后，该勒索软件行动遭受了重大打击。但事实证明，这次打击行动以失败告终，因为该组织重新控制了这些网站，并转到了一个新的TOR数据泄露门户，该门户至今仍在活跃中。
最近几周，它还加强了对关键基础设施组织的攻击，声称对保诚金融、LoanDepot、Trans-Northern管道和联合健康集团子公司Optum等公司的攻击负责。

事态的发展促使美国政府宣布，对提供能够确认该网络犯罪集团关键成员及附属机构的信息的人，将提供最高1500万美元的奖金。

来源：https://thehackernews.com/2024/02/fbi-warns-us-healthcare-sector-of.html

5. 五眼联盟机构警告称 Ivanti 网关漏洞正被广泛利用

五眼联盟（FVEY）情报机构发布了一项新的网络安全咨询，警告称网络威胁行为者正在利用 Ivanti Connect Secure 和 Ivanti Policy Secure 网关中已知的安全漏洞，并指出完整性检查工具 (ICT) 可能会被欺骗，从而提供一种虚假的安全感。
这些机构表示：“Ivanti ICT 不足以检测到妥协情况，而且网络威胁行为者可能能够在发出恢复出厂设置后获得 root 级别的持久性。”

迄今为止，自 2024 年 1 月 10 日以来，Ivanti 已经披露了影响其产品的五个安全漏洞，其中四个漏洞已经被多个威胁行为者积极利用来部署恶意软件，包括：

• CVE-2023-46805（CVSS 评分：8.2）- Web 组件中的身份验证绕过漏洞
• CVE-2024-21887（CVSS 评分：9.1）- Web 组件中的命令注入漏洞
• CVE-2024-21888（CVSS 评分：8.8）- Web 组件中的权限提升漏洞
• CVE-2024-21893（CVSS 评分：8.2）- SAML 组件中的 SSRF 漏洞
• CVE-2024-22024（CVSS 评分：8.3）- SAML 组件中的 XXE 漏洞

Mandiant 在本周发布的一份分析中描述了如何将一种名为 BUSHWALK 的恶意软件的加密版本放置在 ICT 排除的目录 /data/runtime/cockpit/diskAnalysis 中。

来源：https://thehackernews.com/2024/03/five-eyes-agencies-warn-of-active.html