首頁 > 安全研究 > 安全通報 > 安全簡訊

BLACKBASTA 團伙聲稱對 SYNLAB ITALIA 攻擊事件負責

發布時間 2024-05-06

1. BLACKBASTA 團伙聲稱對 SYNLAB ITALIA 攻擊事件負責


5月4日,近期醫療診斷服務提供商 Synlab Italia 一直因網絡攻擊而遭受中斷。該公司最初將技術問題列為導致計算機和電話系統及相關服務暫時中斷的原因。Ransomfeed.it平臺的研究人員透露,犯罪組織Blackbasta聲稱對 Synlab 的勒索軟件攻擊負責。該組織聲稱盜竊了 1.5 TB 數據,包括公司數據、員工個人文檔、客戶個人數據、醫學分析(精子圖、毒理學、解剖學……)等等。作為數據泄露的證據,該組織公布了護照、身份證和醫學分析的圖像。該組織發布的其中一張圖像列出了被竊取的文件夾,其中一些包含醫療檢查的名稱,而另一些則包含位于坎帕尼亞地區的中心名稱,盡管這次襲擊影響了整個意大利的采樣點。BlackBasta 勒索軟件組織將于 2024 年 5 月 11 日公布被盜數據。Black Basta 自 2022 年 4 月以來一直活躍,與其他勒索軟件操作一樣,它實施了雙重勒索攻擊模型。  2022 年 11 月,Sentinel Labs 研究人員報告稱 ,他們發現了 Black Basta 勒索軟件團伙與出于經濟動機的黑客組織 FIN7 之間的聯系的證據。


https://securityaffairs.com/162741/security/blackbasta-gang-claimed-responsibility-for-synlab-italia-attack.html


2. APT42使用社交工程攻擊侵入西方和中東目標


5月4日,APT42首次被Mandiant于2022年9月記錄,報告稱這些威脅行為者自2015年以來一直活躍,已在14個國家進行了至少30次操作。已被觀察到針對非政府組織、媒體機構、教育機構、活動人士和法律服務。APT42的攻擊依賴于社交工程和釣魚,其最終目標是通過定制的后門感染目標設備,從而使威脅行為者獲得對組織網絡的初始訪問權限。攻擊從冒充記者、非政府組織代表或活動組織者的在線身份發送的電子郵件開始,這些電子郵件的域名“typosquat”(使用類似的URL)與合法組織的域名相似。攻擊者與受害者進行足夠的溝通以建立信任后,會向受害者發送與會議或新聞文章相關的文檔鏈接,具體取決于所選的誘餌主題。點擊這些鏈接會將目標重定向到模仿知名服務(如Google和Microsoft)或與受害者工作領域相關的專業平臺的虛假登錄頁面。APT42使用兩個定制的后門惡意軟件,分別命名為Nicecurl和Tamecat,每個后門都針對網絡間諜活動中的特定功能。Nicecurl是基于VBScript的后門,能夠執行命令、下載和執行其他載荷,或在被感染的主機上進行數據挖掘。Tamecat是一個更復雜的PowerShell后門,可以執行任意PS代碼或C#腳本,使APT42在執行數據盜竊和廣泛的系統操作時具有更大的操作靈活性。與Nicecurl相比,Tamecat使用base64混淆其C2通信,可以動態更新其配置,并在外部執行之前評估被感染的環境。


https://www.bleepingcomputer.com/news/security/iranian-hackers-pose-as-journalists-to-push-backdoor-malware/


3. 俄羅斯 APT28 利用 Outlook 漏洞攻擊捷克和德國


5月4日,捷克和德國透露,它們是與俄羅斯有聯系的民族國家組織APT28進行的長期網絡間諜活動的目標,此舉引起了歐盟 (EU)、北大西洋公約組織 (NATO) 的譴責。捷克共和國外交部 (MFA) 在一份聲明中表示,該國一些未透露姓名的實體因去年初曝光的 Microsoft Outlook 安全漏洞而遭到攻擊。外交部表示針對政治實體、國家機構和關鍵基礎設施的網絡攻擊不僅對國家安全構成威脅,而且破壞了我們自由社會所依賴的民主進程。所涉及的安全漏洞是CVE-2023-23397,這是 Outlook 中現已修補的一個關鍵權限升級漏洞,可能允許攻擊者訪問 Net-NTLMv2 哈希值,然后使用它們通過中繼攻擊來驗證自己的身份。德國聯邦政府(又名 Bundesregierung)將威脅行為者歸咎于針對社會民主黨執行委員會的網絡攻擊,該攻擊在“相對較長的時間內”使用相同的 Outlook 漏洞,使其能夠“危害大量電子郵件帳戶”。該活動針對的一些垂直行業包括位于德國、烏克蘭和歐洲的物流、軍備、航空航天工業、IT 服務、基金會和協會,聯邦監管機構還暗示該組織參與了 2015 年對德國聯邦議會(Bundestag)。APT28 經評估與俄羅斯聯邦軍事情報機構 GRU 的軍事單位 26165 有聯系,也被更廣泛的網絡安全社區以 BlueDelta、Fancy Bear、Forest Blizzard(以前稱為 Strontium)、FROZENLAKE、Iron Twilight、Pawn Storm、 Sednit、Sofacy 和 TA422。


https://thehackernews.com/2024/05/microsoft-outlook-flaw-exploited-by.html


4. 烏克蘭記錄俄羅斯黑客出于經濟動機的攻擊有所增加


5月3日,烏克蘭政府報告稱,與俄羅斯有關的先前身份不明的黑客出于經濟動機發起的網絡攻擊有所增加。根據最近的一份報告,這些組織在 2023 年下半年在烏克蘭網絡中變得更加活躍,導致之前由克里姆林宮支持的著名黑客組織(如“Sandworm”和“Armageddon”)主導的持續網絡戰爭發生了轉變。烏克蘭計算機應急響應小組 (CERT-UA) 負責人 Yevheniia Volivnyk 表示新參與者的出現表明俄羅斯有意使其網絡戰武器庫多樣化。這些團體可能擁有獨特的技能或專注于特定的運營目標。烏克蘭網絡研究人員表示,這些新組織通過使用經過深思熟慮的網絡釣魚攻擊而脫穎而出。主要目標是分發惡意遠程訪問軟件(例如RemcosRAT和 RemoteUtilities)或數據盜竊程序(包括 LummaStealer 和 MeduzaStealer)。在 CERT-UA 分析期間,近 40% 的報告事件與金融盜竊有關。CERT-UA 表示,包括電信行業在內的烏克蘭關鍵基礎設施仍然是俄羅斯黑客的最優先目標,而且這種趨勢可能會持續下去。俄羅斯針對烏克蘭關鍵基礎設施的許多行動被描述為“混合”行動。例如,烏克蘭最大的移動運營商 Kyivstar(為 2500 萬用戶提供服務)遭到攻擊,恰逢對烏克蘭進行大規模導彈襲擊。


https://therecord.media/ukraine-russia-increase-financially-motivated-cyberattacks?&web_view=true


5. Goldoon 僵尸網絡利用 9 年前的漏洞瞄準 D-Link 設備


5月4日,Fortinet 的 FortiGuard 實驗室的網絡安全研究人員發現了一種名為“Goldoon”的新僵尸網絡威脅,專門針對D-Link 路由器和網絡附加存儲 (NAS) 設備。該惡意軟件利用CVE-2015-2051(CVSS評分:10.0)漏洞感染設備,可能使用戶數據和網絡安全面臨風險。值得注意的是, 2015 年 2 月發現的安全漏洞CVE-2015-2051已有近十年的歷史。此漏洞主要影響報廢設備。2022 年 9 月,Palo Alto Networks 的 Unit 42發現臭名昭著的 Mirai 僵尸網絡的變體(稱為 MooBot)正在利用相同的漏洞,針對 D-Link 設備。D-Link 于 2015 年解決了該問題。根據 Fortinet 報告,Goldoon 利用暴力攻擊來獲取對 D-Link 設備的訪問權限。暴力攻擊涉及系統地嘗試不同的用戶名和密碼組合,直到獲得未經授權的訪問。該報告表明,這些攻擊利用了目標設備上較弱的默認憑據或過時的固件。


https://www.hackread.com/goldoon-botnet-targeting-d-link-devices/


6. LOCKBIT 公布了從戛納 SIMONE VEIL 醫院竊取的數據


5月3日,LockBit 勒索軟件運營商公布了據稱從戛納 Simone Veil 醫院竊取的敏感數據。4 月,戛納 Simone Veil 醫院(CHC-SV) 遭受網絡攻擊,迫使工作人員重新使用筆和紙。醫院被迫關閉所有計算機,但電話線未受影響。醫院正在 ANSSI、Cert Santé、Orange Cyber Défense 和 GHT06 的幫助下調查這一事件。戛納西蒙娜·維爾醫院是一家位于法國戛納的公立醫院。醫院為當地社區及周邊地區提供一系列醫療服務和保健設施。CHC-SV擁有2000多名員工,可容納800多張床位。LockBit勒索軟件組織聲稱對此次攻擊負責,并在醫院拒絕支付贖金后于 5 月 1 日公布了被盜的機密數據。戛納西蒙娜·韋伊醫院中心在其網站上發表聲明,確認勒索軟件組織發布的數據屬于其所有。過去,法國其他醫院也是網絡攻擊的受害者。2022 年 12 月, 凡爾賽醫院中心 遭受網絡攻擊 ,被迫取消運營并將部分患者轉移到其他醫院。


https://securityaffairs.com/162721/cyber-crime/lockbit-published-simone-veil-hospital-data.html

上一篇 下一篇