首頁 > 安全研究 > 安全通報 > 安全簡訊

安大略醫療機構BORN遭到攻擊約340萬人的數據泄露

發布時間 2023-09-27

1、安大略醫療機構BORN遭到攻擊約340萬人的數據泄露


據9月25日報道,安大略的醫療保健機構Better Outcomes Registration & Network(BORN)約340萬人的數據泄露。該事件源于Clop利用Progress MOVEit Transfer軟件中漏洞(CVE-2023-34362)的攻擊活動。BORN于5月31日首次意識到該問題,之后的調查顯示,攻擊者已竊取包含約340萬人信息的文件,其中主要是新生兒和懷孕護理患者,這些人在2010年1月至2023年5月期間使用了BORN服務。


https://www.bleepingcomputer.com/news/security/born-ontario-child-registry-data-breach-affects-34-million-people/


2、RansomedVC聲稱已入侵索尼的系統并將出售其數據


據媒體9月26日稱,RansomedVC聲稱已入侵索尼集團的系統,并表示將出售其數據和訪問權限,因為索尼不想交贖金。RansomedVC發布的樣本很小,約2MB,包括PPT演示文稿、一些Java源代碼文件和Eclipse IDE截圖等。該團伙稱竊取了260 GB數據,并試圖以250萬美元出售這些數據。另一個黑客團伙MajorNelson稱RansomedVC是騙子,并表示他們對此次攻擊負責。該團伙發布了2.4 GB的壓縮文件作為樣本,其中包含RansomedVC的樣本中的所有文件。索尼目前正在調查此次攻擊事件。


https://www.bleepingcomputer.com/news/security/sony-investigates-cyberattack-as-hackers-fight-over-whos-responsible/


3、Progressive Leasing遭到攻擊大量客戶的信息泄露


媒體9月26日稱,Progressive Leasing遭到攻擊導致大量客戶的信息泄露。這是一家價值數十億美元的公司,允許人們租賃消費品。發言人稱,此次安全事件影響了Progressive Leasing的部分系統,但未對其運營造成重大影響,目前時間仍在調查中。據悉,AlphV聲稱對周五的攻擊負責,已將該公司添加到其網站,并表示已竊取超過4000萬客戶的個人信息。


https://therecord.media/product-leasing-giant-progressive-ransomware


4、Rhysida團伙聲稱對科威特財政部遭到的攻擊負責


9月26日報道稱,勒索團伙Rhysida對科威特財政部遭到的攻擊負責。攻擊發生在9月18日,科威特財政部在當天發帖稱已關閉受影響的系統,以防止進一步的攻擊。該部還確認,薪資系統不會受到此次攻擊的影響,因為政府的財務系統是獨立的。目前,該部尚未從勒索攻擊中完全恢復,他們仍在調查此次事件。Rhysida在本周將該機構添加到其網站中,還發布了一組文件作為攻擊的證據。


https://securityaffairs.com/151501/cyber-crime/rhysida-ransomware-kuwait-ministry-of-finance.html


5、ThreatFabric披露主要針對美國金融機構的Xenomorph活動


ThreatFabric在9月25日披露了針對超過30家美國金融機構分發Xenomorph的活動。Xenomorph于2022年初首次出現,針對56家歐洲的銀行。在最新的活動中,通過Chrome瀏覽器誘使目標下載惡意APK。每個Xenomorph樣本都加載了大約一百個覆蓋層,針對不同的銀行和加密應用程序。ThreatFabric還訪問了托管payload的基礎設施,發現了其它惡意軟件,包括Medusa、Cabassous、RisePro、LummaC2以及Private Loader。


https://www.threatfabric.com/blogs/xenomorph


6、研究人員詳述針對烏克蘭分發MerlinAgent的釣魚攻擊


9月25日,Securonix發布報告詳述了針對烏克蘭軍事機構的釣魚攻擊活動。該活動的代號為STARK#VORTEX,以PIC無人機手冊文檔作為誘餌分發MerlinAgent,CERT-UA將該活動歸因于UAC-0154。MerlinAgent是一個Go開發的開源C2工具包,類似于Cobalt Strike或Sliver。誘餌是Microsoft幫助文件(.chm),打開后會運行嵌入的惡意JavaScript,以執行PowerShell代碼,該代碼從遠程服務器獲取混淆的二進制文件。payload會下載Merlin Agent,而Merlin Agent又被配置為與C2服務器通信,以執行攻擊后的活動,從而有效地奪取主機的控制權。


https://www.securonix.com/blog/threat-labs-security-advisory-new-starkvortex-attack-campaign-threat-actors-use-drone-manual-lures-to-deliver-merlinagent-payloads/

上一篇 下一篇