首頁 > 安全研究 > 安全通報 > 安全簡訊

美國Welltok透露攻擊導致近850萬名患者的信息泄露

發布時間 2023-11-23
1、美國Welltok透露攻擊導致近850萬名患者的信息泄露


據媒體11月22日報道,美國醫療保健SaaS提供商Welltok透露,其使用的文件傳輸應用遭到攻擊,導致近850萬名患者的個人數據泄露。今年早些時候,Clop利用MOVEit中的漏洞入侵了全球數千個企業。Welltok在10月底發布了一份通知,稱其MOVEit Transfer服務器于7月26日遭到入侵。該公司在22日透露,已確認此次泄露事件影響了8493379人。這是MOVEit漏洞導致的第二大數據泄露事件,僅次于泄露了1100萬人數據的服務承包商Maximus。


https://www.bleepingcomputer.com/news/security/welltok-data-breach-exposes-data-of-85-million-us-patients/


2、Cofense稱QakBot被搗毀后DarkGate和PikaBot激增


Cofense在11月20日稱,QakBot被搗毀后DarkGate和PikaBot的活動激增。今年8月份,執法機構查獲了QakBot的基礎設施。新一輪釣魚活動于9月份開始傳播DarkGate,后來又開始傳播PikaBot。研究人員發現,DarkGate和Pikabot分發活動使用的策略和技術與之前的Qakbot活動類似,包括劫持電子郵件線程作為初始感染載體、具有限制用戶訪問的獨特模式的URL以及與QakBot幾乎相同的感染鏈。攻擊者還嘗試了多個初始惡意軟件植入程序,包括JS Dropper、Excel-DNA Loader、VBS Downloaders和LNK Downloader。


https://cofense.com/blog/are-darkgate-and-pikabot-the-new-qakbot/


3、ActiveMQ漏洞CVE-2023-46604被用來分發Kinsing


11月20日,TrendMicro稱,攻擊者利用Apache ActiveMQ漏洞(CVE-2023-46604)安裝Kinsing(也稱h2miner)和惡意礦工。這是一個遠程代碼執行漏洞,已于10月底被修復。該惡意軟件使用“ProcessBuilder”方法在新創建的系統級進程中執行惡意bash腳本,并在被感染設備上下載其它payload。Kinsing還會在相關進程、crontab和活躍網絡連接中主動查找競爭關系的礦工,并終止它們。


https://www.trendmicro.com/en_us/research/23/k/cve-2023-46604-exploited-by-kinsing.html


4、VMware披露NetSupport RAT針對教育等行業的攻擊


VMware在11月20日透露NetSupport RAT攻擊活動激增,研究人員在過去幾周內觀察到超過15起與之相關的新感染。受影響最嚴重的是教育和商業服務行業,以及政府機構。最近的攻擊中,NetSupport RAT通過偽造的網站和虛假瀏覽器更新進行分發,這些惡意網站托管著看似是更新的PHP腳本,當目標擊下載鏈接時,會下載額外的Javascript payload。Javascript會從外部域下載并執行Powershell,Powershell用于檢索包含NetSupport RAT的ZIP文檔。


https://blogs.vmware.com/security/2023/11/netsupport-rat-the-rat-king-returns.html


5、Atomic Stealer利用偽造的瀏覽器更新進行傳播


11月21日,Malwarebytes披露了Atomic Stealer(也稱AMOS)針對Mac系統的分發活動。研究人員稱,AMOS現在正通過一個名為"ClearFake"的虛假瀏覽器更新鏈進行分發,這很可能是第一次發現社工攻擊(以前只針對Windows)在地理位置和目標系統方面都有所擴展。惡意軟件payload是一個自稱為Safari或Chrome更新的DMG文件,查看惡意應用中的字符串可以看到這些命令包含密碼和文件抓取功能,在同一個文件中還可以找到惡意軟件的C2服務器。


https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates


6、微軟發布針對印度的Android木馬活動的分析報告


11月20日,微軟發布了針對印度的Android木馬活動的分析報告。攻擊者使用WhatsApp和Telegram等社交媒體平臺發送消息,旨在通過冒充銀行、政府服務和公用事業等合法機構來誘使目標在其移動設備上安裝惡意應用。一旦安裝,這些惡意應用就會從用戶那里竊取各種類型的信息,其中可能包括個人信息、銀行詳細信息、支付卡信息和帳戶憑據等。本報告通過分析兩個針對印度銀行客戶的欺詐性應用程序的攻擊,揭示了影響各個行業的移動銀行木馬攻擊活動。


https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans/

上一篇 下一篇