首頁 > 安全研究 > 安全通報 > 安全簡訊

RedLine瞄準俄羅斯盜版企業軟件用戶進行信息竊取

發布時間 2024-12-10

1. RedLine瞄準俄羅斯盜版企業軟件用戶進行信息竊取


12月8日,自2024年1月起,RedLine信息竊取活動開始針對使用盜版企業軟件的俄羅斯企業。這些盜版軟件通過俄羅斯在線論壇分發,攻擊者巧妙地將惡意軟件偽裝成可繞過業務自動化軟件許可的工具,特別是通過分發惡意版本的HPDxLIB激活器。與合法版本不同,惡意版本在.NET中構建,并使用自簽名證書??ò退够鶊蟾嬷赋?,這些未經授權的企業業務流程自動化軟件用戶成為攻擊目標,攻擊者在會計論壇上分發含有RedLine竊取程序的惡意激活程序。該程序使用.NET Reactor進行混淆,惡意代碼經過多層壓縮和加密,隱藏方式非常不尋常。攻擊者在相關論壇上發布惡意激活器鏈接,并提供禁用安全軟件以運行激活器的詳細說明,以逃避檢測。用戶被誘騙用激活器中的惡意庫替換合法的techsys.dll庫,從而在執行軟件時通過合法進程加載惡意庫,運行竊取程序。RedLine竊取程序自2020年初便活躍,能從系統中竊取敏感信息,包括憑據、cookie、瀏覽器歷史記錄、信用卡數據和加密錢包等。


https://securityaffairs.com/171771/cyber-crime/redline-info-stealer-campaign-targets-russian-businesses.html


2. 安娜雅克醫院遭勒索軟件攻擊,31萬余患者數據泄露


12月7日,安娜雅克醫院是一家位于馬薩諸塞州的非營利性社區醫院,擁有83張床位、200名醫師和1200名工作人員,為當地居民提供基本醫療服務。2023年12月25日,該醫院遭受了勒索軟件攻擊,導致超過310,000名患者的敏感健康數據被泄露。醫院立即采取行動,下線系統并向執法部門發出警報。2024年1月19日,“Money Message”勒索軟件團伙開始公開勒索該醫院,并在其暗網勒索網站上泄露了據稱從醫院竊取的數據樣本。醫院管理人員并未與威脅行為者交涉,最終于1月26日公布了所有數據。經過徹底的取證調查,醫院于2024年11月5日完成了對泄露數據的審查,并通知了受影響的個人。泄露的信息包括人口統計信息、醫療信息、健康保險信息、社會安全號碼、駕駛執照號碼、財務信息等。盡管醫院沒有跡象表明這起事件導致了任何欺詐行為,但還是提醒員工和患者要保持警惕,并提供了為期24個月的身份保護和信用監控服務。


https://www.bleepingcomputer.com/news/security/anna-jaques-hospital-ransomware-breach-exposed-data-of-300k-patients/


3. 羅馬尼亞能源供應商Electrica Group遭受勒索軟件攻擊


12月10日,羅馬尼亞能源供應商Electrica Group正面臨一起持續的勒索軟件攻擊,但該公司已向投資者保證,其關鍵系統并未受到影響。為了保障運營和個人數據的安全,Electrica已啟動內部網絡安全協議,并與國家網絡安全機構合作,旨在識別攻擊源并控制其影響。Electrica是羅馬尼亞電力配送和供應市場的主要參與者,為超過380萬客戶提供服務,并在布加勒斯特和倫敦證券交易所上市。本周早些時候,該公司發布通知,告知投資者正在發生的網絡攻擊,并強調所有特定的響應協議已根據內部程序和現行法規啟動。羅馬尼亞能源部證實該公司確實遭受了勒索軟件攻擊,但攻擊并未影響該公司的SCADA系統。情報分析人士認為,此次襲擊可能是親俄團體發動的,旨在報復羅馬尼亞因俄羅斯涉嫌干預而取消總統選舉。羅馬尼亞情報局透露,超過85,000次網絡攻擊針對該國選舉系統,但莫斯科否認對此進行任何攻擊。Electrica Group建議客戶對潛在的網絡釣魚嘗試和可疑通信保持警惕。


https://securityaffairs.com/171832/hacking/electrica-group-ransomware-attack.html


4. 心臟外科醫療設備制造商Artivion遭勒索軟件攻擊


12月9日,心臟外科醫療設備制造商Artivion在11月21日遭受了勒索軟件攻擊,該攻擊擾亂了其運營并導致部分系統關閉。Artivion總部位于亞特蘭大,全球員工超過1,250名,在100多個國家設有銷售代表,并在亞特蘭大、奧斯汀和黑欣根設有制造工廠。據Artivion向美國證券交易委員會提交的報告,攻擊者加密了其部分系統并竊取了數據,但公司運營、訂單處理和運輸中斷問題已基本得到解決。雖然尚未有勒索軟件組織聲稱對此次攻擊負責,但Artivion認為可能會產生保險未涵蓋的額外費用。近期,美國醫療保健行業也遭遇了多起勒索軟件攻擊,包括Boston Children's Health Physicians和UMC醫療系統,以及去年圣誕節遭受攻擊的安娜雅克醫院,這些攻擊都導致了敏感數據的泄露和運營的中斷。


https://www.bleepingcomputer.com/news/security/ransomware-attack-hits-leading-heart-surgery-device-maker/


5. 微軟解除對Ubisoft游戲Windows 24H2更新限制


12月9日,微軟已部分解除了對Windows 24H2更新與某些Ubisoft游戲系統兼容性的限制。此前,由于《刺客信條》、《星球大戰:法外狂徒》和《阿凡達:潘多拉邊疆》等游戲在Windows 11 24H2預覽版中出現崩潰、死機和音頻問題,微軟阻止了裝有這些游戲的PC進行Windows 24H2升級。用戶反饋顯示,游戲存在不穩定情況,如啟動后立即崩潰或加載保存游戲后幾分鐘內崩潰、凍結或黑屏。為防止問題擴散,微軟采取了保護措施?,F在,在Ubisoft發布臨時修補程序緩解崩潰問題后,微軟解除了對《星球大戰:法外狂徒》和《阿凡達:潘多拉邊疆》的升級限制,但建議玩家在問題解決前不要使用Windows 11安裝助手或媒體創建工具升級受影響PC。同時,微軟還宣布阻止安裝了過時Google Workspace Sync的系統和具有不兼容英特爾智能聲音技術音頻驅動程序的設備進行Windows 11 24H2更新,因為這些會導致Outlook啟動問題和藍屏死機問題。


https://www.bleepingcomputer.com/news/microsoft/ubisoft-fixes-windows-11-24h2-conflicts-causing-game-crashes/


6. 朝鮮黑客Citrine Sleet盜取Radiant Capital 5000萬美元加密貨幣


12月9日,去中心化金融(DeFi)平臺Radiant Capital在10月16日宣布其系統遭受網絡攻擊,導致5000萬美元加密貨幣被盜。在Mandiant網絡安全專家的協助下,Radiant對此次攻擊進行了深入調查,并確定幕后黑手為朝鮮國家附屬黑客組織Citrine Sleet(又名“UNC4736”和“AppleJeus”)。此次攻擊始于9月11日,黑客通過Telegram發送冒充前承包商的惡意消息,誘騙開發人員下載包含“InletDrift”macOS惡意軟件負載的ZIP文件,從而在受感染的設備上建立后門。黑客利用常規的多重簽名流程,以交易錯誤的名義收集有效簽名,并從Arbitrum和幣安智能鏈(BSC)市場竊取資金。此次攻擊設計精良,繞過了硬件錢包安全和多層驗證,交易在手動和模擬檢查中看起來都很正常,顯示出極高的復雜性。Radiant正在與美國執法部門和zeroShadow合作,追回盡可能多的被盜資金,并強調需要更強大的設備級解決方案來增強交易安全性。


https://www.bleepingcomputer.com/news/security/radiant-links-50-million-crypto-heist-to-north-korean-hackers

上一篇 下一篇