BLACKBASTA 团伙声称对 SYNLAB ITALIA 攻击事件负责
发布时间 2024-05-061. BLACKBASTA 团伙声称对 SYNLAB ITALIA 攻击事件负责
5月4日,近期医疗诊断服务提供商 Synlab Italia 一直因网络攻击而遭受中断。该公司最初将技术问题列为导致计算机和电话系统及相关服务暂时中断的原因。Ransomfeed.it平台的研究人员透露,犯罪组织Blackbasta声称对 Synlab 的勒索软件攻击负责。该组织声称盗窃了 1.5 TB 数据,包括公司数据、员工个人文档、客户个人数据、医学分析(精子图、毒理学、解剖学……)等等。作为数据泄露的证据,该组织公布了护照、身份证和医学分析的图像。该组织发布的其中一张图像列出了被窃取的文件夹,其中一些包含医疗检查的名称,而另一些则包含位于坎帕尼亚地区的中心名称,尽管这次袭击影响了整个意大利的采样点。BlackBasta 勒索软件组织将于 2024 年 5 月 11 日公布被盗数据。Black Basta 自 2022 年 4 月以来一直活跃,与其他勒索软件操作一样,它实施了双重勒索攻击模型。 2022 年 11 月,Sentinel Labs 研究人员报告称 ,他们发现了 Black Basta 勒索软件团伙与出于经济动机的黑客组织 FIN7 之间的联系的证据。
https://securityaffairs.com/162741/security/blackbasta-gang-claimed-responsibility-for-synlab-italia-attack.html
2. APT42使用社交工程攻击侵入西方和中东目标
5月4日,APT42首次被Mandiant于2022年9月记录,报告称这些威胁行为者自2015年以来一直活跃,已在14个国家进行了至少30次操作。已被观察到针对非政府组织、媒体机构、教育机构、活动人士和法律服务。APT42的攻击依赖于社交工程和钓鱼,其最终目标是通过定制的后门感染目标设备,从而使威胁行为者获得对组织网络的初始访问权限。攻击从冒充记者、非政府组织代表或活动组织者的在线身份发送的电子邮件开始,这些电子邮件的域名“typosquat”(使用类似的URL)与合法组织的域名相似。攻击者与受害者进行足够的沟通以建立信任后,会向受害者发送与会议或新闻文章相关的文档链接,具体取决于所选的诱饵主题。点击这些链接会将目标重定向到模仿知名服务(如Google和Microsoft)或与受害者工作领域相关的专业平台的虚假登录页面。APT42使用两个定制的后门恶意软件,分别命名为Nicecurl和Tamecat,每个后门都针对网络间谍活动中的特定功能。Nicecurl是基于VBScript的后门,能够执行命令、下载和执行其他载荷,或在被感染的主机上进行数据挖掘。Tamecat是一个更复杂的PowerShell后门,可以执行任意PS代码或C#脚本,使APT42在执行数据盗窃和广泛的系统操作时具有更大的操作灵活性。与Nicecurl相比,Tamecat使用base64混淆其C2通信,可以动态更新其配置,并在外部执行之前评估被感染的环境。
https://www.bleepingcomputer.com/news/security/iranian-hackers-pose-as-journalists-to-push-backdoor-malware/
3. 俄罗斯 APT28 利用 Outlook 漏洞攻击捷克和德国
5月4日,捷克和德国透露,它们是与俄罗斯有联系的民族国家组织APT28进行的长期网络间谍活动的目标,此举引起了欧盟 (EU)、北大西洋公约组织 (NATO) 的谴责。捷克共和国外交部 (MFA) 在一份声明中表示,该国一些未透露姓名的实体因去年初曝光的 Microsoft Outlook 安全漏洞而遭到攻击。外交部表示针对政治实体、国家机构和关键基础设施的网络攻击不仅对国家安全构成威胁,而且破坏了我们自由社会所依赖的民主进程。所涉及的安全漏洞是CVE-2023-23397,这是 Outlook 中现已修补的一个关键权限升级漏洞,可能允许攻击者访问 Net-NTLMv2 哈希值,然后使用它们通过中继攻击来验证自己的身份。德国联邦政府(又名 Bundesregierung)将威胁行为者归咎于针对社会民主党执行委员会的网络攻击,该攻击在“相对较长的时间内”使用相同的 Outlook 漏洞,使其能够“危害大量电子邮件帐户”。该活动针对的一些垂直行业包括位于德国、乌克兰和欧洲的物流、军备、航空航天工业、IT 服务、基金会和协会,联邦监管机构还暗示该组织参与了 2015 年对德国联邦议会(Bundestag)。APT28 经评估与俄罗斯联邦军事情报机构 GRU 的军事单位 26165 有联系,也被更广泛的网络安全社区以 BlueDelta、Fancy Bear、Forest Blizzard(以前称为 Strontium)、FROZENLAKE、Iron Twilight、Pawn Storm、 Sednit、Sofacy 和 TA422。
https://thehackernews.com/2024/05/microsoft-outlook-flaw-exploited-by.html
4. 乌克兰记录俄罗斯黑客出于经济动机的攻击有所增加
5月3日,乌克兰政府报告称,与俄罗斯有关的先前身份不明的黑客出于经济动机发起的网络攻击有所增加。根据最近的一份报告,这些组织在 2023 年下半年在乌克兰网络中变得更加活跃,导致之前由克里姆林宫支持的著名黑客组织(如“Sandworm”和“Armageddon”)主导的持续网络战争发生了转变。乌克兰计算机应急响应小组 (CERT-UA) 负责人 Yevheniia Volivnyk 表示新参与者的出现表明俄罗斯有意使其网络战武器库多样化。这些团体可能拥有独特的技能或专注于特定的运营目标。乌克兰网络研究人员表示,这些新组织通过使用经过深思熟虑的网络钓鱼攻击而脱颖而出。主要目标是分发恶意远程访问软件(例如RemcosRAT和 RemoteUtilities)或数据盗窃程序(包括 LummaStealer 和 MeduzaStealer)。在 CERT-UA 分析期间,近 40% 的报告事件与金融盗窃有关。CERT-UA 表示,包括电信行业在内的乌克兰关键基础设施仍然是俄罗斯黑客的最优先目标,而且这种趋势可能会持续下去。俄罗斯针对乌克兰关键基础设施的许多行动被描述为“混合”行动。例如,乌克兰最大的移动运营商 Kyivstar(为 2500 万用户提供服务)遭到攻击,恰逢对乌克兰进行大规模导弹袭击。
https://therecord.media/ukraine-russia-increase-financially-motivated-cyberattacks?&web_view=true
5. Goldoon 僵尸网络利用 9 年前的漏洞瞄准 D-Link 设备
5月4日,Fortinet 的 FortiGuard 实验室的网络安全研究人员发现了一种名为“Goldoon”的新僵尸网络威胁,专门针对D-Link 路由器和网络附加存储 (NAS) 设备。该恶意软件利用CVE-2015-2051(CVSS评分:10.0)漏洞感染设备,可能使用户数据和网络安全面临风险。值得注意的是, 2015 年 2 月发现的安全漏洞CVE-2015-2051已有近十年的历史。此漏洞主要影响报废设备。2022 年 9 月,Palo Alto Networks 的 Unit 42发现臭名昭著的 Mirai 僵尸网络的变体(称为 MooBot)正在利用相同的漏洞,针对 D-Link 设备。D-Link 于 2015 年解决了该问题。根据 Fortinet 报告,Goldoon 利用暴力攻击来获取对 D-Link 设备的访问权限。暴力攻击涉及系统地尝试不同的用户名和密码组合,直到获得未经授权的访问。该报告表明,这些攻击利用了目标设备上较弱的默认凭据或过时的固件。
https://www.hackread.com/goldoon-botnet-targeting-d-link-devices/
6. LOCKBIT 公布了从戛纳 SIMONE VEIL 医院窃取的数据
5月3日,LockBit 勒索软件运营商公布了据称从戛纳 Simone Veil 医院窃取的敏感数据。4 月,戛纳 Simone Veil 医院(CHC-SV) 遭受网络攻击,迫使工作人员重新使用笔和纸。医院被迫关闭所有计算机,但电话线未受影响。医院正在 ANSSI、Cert Santé、Orange Cyber Défense 和 GHT06 的帮助下调查这一事件。戛纳西蒙娜·维尔医院是一家位于法国戛纳的公立医院。医院为当地社区及周边地区提供一系列医疗服务和保健设施。CHC-SV拥有2000多名员工,可容纳800多张床位。LockBit勒索软件组织声称对此次攻击负责,并在医院拒绝支付赎金后于 5 月 1 日公布了被盗的机密数据。戛纳西蒙娜·韦伊医院中心在其网站上发表声明,确认勒索软件组织发布的数据属于其所有。过去,法国其他医院也是网络攻击的受害者。2022 年 12 月, 凡尔赛医院中心 遭受网络攻击 ,被迫取消运营并将部分患者转移到其他医院。
https://securityaffairs.com/162721/cyber-crime/lockbit-published-simone-veil-hospital-data.html
京公网安备11010802024551号