首頁 > 安全研究 > 安全通報 > 安全簡訊

Rhysida團伙攻擊美國醫療機構PMH并勒索130萬美元

發布時間 2023-08-29
1、Rhysida團伙攻擊美國醫療機構PMH并勒索130萬美元


據媒體8月27日報道,美國醫療保健公司Prospect Medical Holdings(PMH)遭到了勒索團伙Rhysida的攻擊。攻擊發生在8月3日,PMH員工稱在電腦上發現勒索信。之后該醫院關閉了IT系統以防止攻擊在內網橫向移動,并被迫使用紙質病例。Rhysida表示對此事負責,并稱他們獲得了1TB的文檔和一個1.3TB的SQL數據庫,其中包含500000個社會安全號碼、護照、駕駛執照、公司文件和患者的記錄,還威脅要以50個比特幣(價值130萬美元)的價格出售被盜數據。


https://www.bleepingcomputer.com/news/security/rhysida-claims-ransomware-attack-on-prospect-medical-threatens-to-sell-data/


2、某供應商遭到攻擊導致倫敦警局近5萬員工的信息泄露


據8月27日報道,倫敦大都會警察局正在調查關于其47000名警官和工作人員的信息泄露事件。泄露數據包括姓名、照片、軍銜、審查級別和身份證號等。此次數據泄露是由于負責打印授權卡和員工通行證的承包商的IT系統遭到攻擊導致的。目前尚不清楚攻擊者是出于經濟動機,還是專門竊取警察和工作人員的信息。由于擔心泄露數據被有組織的攻擊團伙利用,國家犯罪局(NCA)已被要求調查此次數據泄露事件。


https://therecord.media/metropolitan-police-data-leak-hackers-uk


3、微軟披露Flax Typhoon針對中國臺灣企業的攻擊活動


8月24日,微軟披露了Flax Typhoon針對中國臺灣地區的攻擊活動。Flax Typhoon自2021年中期以來一直活躍,主要針對中國臺灣的政府機構以及教育、關鍵制造和信息技術相關企業。攻擊者首先通過面向公眾的服務器(包括VPN、Web、Java和SQL應用)中的漏洞和China Chopper等Web shell獲得初步訪問權限。然后使用命令行工具建立持久訪問,部署VPN連接到攻擊者的基礎設施,最后從目標系統收集憑據。微軟稱,Flax Typhoon主要依賴于離地攻擊技術(living-off-the-land)和鍵盤攻擊。


https://www.microsoft.com/en-us/security/blog/2023/08/24/flax-typhoon-using-legitimate-software-to-quietly-access-taiwanese-organizations/


4、Lazarus利用ManageEngine中漏洞攻擊醫療保健等行業


8月24日,Cisco Talos稱其發現了Lazarus Group的攻擊活動,利用了Zoho ManageEngine ServiceDesk漏洞(CVE-2022-47966)。研究人員表示,Lazarus在PoC公開披露僅5天后就開始使用該漏洞。攻擊活動始于今年年初,主要針對歐洲和美國的關鍵基礎設施組織和醫療保健機構,旨在分發惡意軟件QuiteRAT和CollectionRAT。QuiteRAT似乎是Lazarus在2022年使用的MagicRAT的升級版,而CollectionRAT似乎與Andariel的EarlyRAT有關,Andariel被認為是Lazarus的一個子機構。


https://blog.talosintelligence.com/lazarus-quiterat/


5、Cl0p大規模攻擊活動已經影響至少1000個企業和6000萬人


媒體8月28日稱,Emsisoft分享了關于勒索團伙Cl0p針對MOVEit Transfer文件傳輸平臺攻擊活動的細節。截至8月25日,此次大規模攻擊活動已影響約1007個企業和60144069個人。其中,美國占比83.9%,其次是德國(3.6%)、加拿大(2.6%)和英國(2.1%)。受影響最嚴重的是金融與服務行業和教育行業,分別占事件總數的24.3%和26.0%。根據IBM的2023年數據泄露成本報告中的數據估算,該事件造成的成本為9923771385美元。


https://securityaffairs.com/149921/hacking/massive-moveit-campaign-campaign.html


6、研究人員發布針對Juniper SRX防火墻漏洞的PoC


8月28日報道稱,研究人員發布了Juniper SRX防火墻中漏洞的PoC。8月中旬,Juniper修復了影響EX交換機和SRX防火墻的四個漏洞(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847)。watchTowr發布的PoC利用了身份驗證上傳漏洞(CVE-2023-36846)將任意PHP文件上傳到具有隨機文件名的受限目錄,還上傳了PHP配置文件。然后利用PHP外部變量修改漏洞(CVE- 2023-36845)覆蓋環境變量PHPRC并加載PHP配置文件,以觸發執行最初上傳的PHP文件。


https://securityaffairs.com/149990/hacking/poc-exploit-juniper-srx-firewall-flaws.html

上一篇 下一篇