首頁 > 安全研究 > 安全通報 > 安全簡訊

黑暗風暴黑客組織聲稱對全球DDoS攻擊負責

發布時間 2025-03-11

1. 黑暗風暴黑客組織聲稱對全球DDoS攻擊負責


3月10日,黑暗風暴(Dark Storm)黑客組織聲稱對周一引發全球多起服務中斷的DDoS攻擊負責,此次攻擊迫使受害公司啟用Cloudflare的DDoS保護服務。盡管X公司所有者埃隆·馬斯克未直接指明DDoS攻擊為中斷原因,但他確認這是由“大規模網絡攻擊”所致,并暗示攻擊者可能是一個大型有組織團體或某個國家。黑暗風暴是一個親巴勒斯坦的黑客組織,成立于2023年,曾針對以色列、歐洲和美國的多家組織發起攻擊。該組織在Telegram頻道上發帖聲稱正在對Twitter進行DDoS攻擊,并分享了check-host.net網站的截圖作為證據。X公司目前受Cloudflare DDoS保護服務保障,可疑IP地址訪問時會顯示驗證碼。黑客活動分子不斷證明其利用僵尸網絡等資源破壞大型技術平臺的能力。近期,美國起訴了兩名涉嫌參與匿名蘇丹黑客組織活動的蘇丹兄弟,該組織曾成功關閉包括Cloudflare、微軟和OpenAI在內的一些最大科技公司的網站和API,對全球眾多公司的服務造成擾亂。


https://www.bleepingcomputer.com/news/security/x-hit-by-massive-cyberattack-amid-dark-storms-ddos-claims/


2. 向日葵醫療集團遭勒索攻擊,近22萬患者敏感信息泄露


3月11日,堪薩斯州的向日葵醫療集團遭受了一次網絡攻擊,導致近221,000名患者的敏感信息可能泄露。向日葵醫療集團經營著四個緊急護理地點和多個設施,涵蓋初級護理、產科和實驗室測試。該攻擊發生在12月15日,黑客入侵了向日葵醫療集團的系統并復制了文件。受影響的信息包括姓名、地址、出生日期、社會安全號碼、駕駛執照號碼、醫療信息和健康保險信息。公司最初在1月7日發現漏洞,并聘請網絡安全公司進行調查,發現黑客自12月中旬以來一直在入侵系統。向日葵醫療集團已向緬因州、佛蒙特州和加利福尼亞州的監管機構報告此事,并在其網站上發布通知。公司向所有擁有有效地址的受害者發送了信件,并提供一年的信用監控服務。雖然公司未透露是否正在應對勒索軟件攻擊,但Rhysida勒索軟件團伙已承認對此次攻擊負責,并威脅稱如果不支付約80萬美元的贖金,將泄露被盜數據。


https://therecord.media/kansas-healthcare-provider-data-breach


3. 南美APT組織“盲鷹”利用高感染率漏洞攻擊哥倫比亞機構


3月11日,Check Point的研究揭示,一個名為“盲鷹”(Blind Eagle)的APT組織正在南美地區活躍,特別是針對哥倫比亞的機構和政府實體進行網絡攻擊。該組織自2018年以來一直活躍,主要利用復雜的社會工程策略,如網絡釣魚郵件攜帶惡意附件或鏈接,來獲取對目標系統的初始訪問權限。最近,盲鷹被發現使用了一種高感染率的漏洞——CVE-2024-43451的變體,該漏洞由微軟在11月修復,但盲鷹在補丁發布六天后就利用了該漏洞的一個變體進行攻擊,該變體不直接暴露用戶的Windows NTLMv2哈希,但仍能通知威脅行為者文件已被下載。在此次攻擊中,受害者會收到包含惡意.url文件的釣魚郵件,該文件會觸發攻擊鏈,下載并執行多個惡意可執行文件,如.NET RAT和Remcos RAT,后者與命令和控制服務器以及僵尸網絡一起執行。Check Point指出,盲鷹能夠利用合法的文件共享平臺繞過傳統安全措施并秘密傳播惡意軟件,是其成功的一個關鍵因素。Check Point建議組織通過主動威脅情報、高級安全防御和持續監控來緩解此類威脅。


https://www.darkreading.com/cyberattacks-data-breaches/apt-blind-eagle-targets-colombian-government


4. PHP高危漏洞CVE-2024-4577遭全球大規模利用


3月10日,GreyNoise研究人員警告,PHP中的嚴重漏洞CVE-2024-4577(CVSS評分9.8)正遭受大規模利用。該漏洞是PHP-CGI OS命令注入漏洞,存在于Windows操作系統編碼轉換的Best-Fit功能中,攻擊者可利用特定字符序列繞過先前保護,實現遠程代碼執行,控制存在漏洞的服務器。自漏洞披露以來,多個參與者試圖利用它,包括傳播Gh0st RAT、RedTail加密礦工和XMRig等惡意軟件家族。Akamai、GreyNoise等安全團隊均報告了利用該漏洞的惡意嘗試,并觀察到DDoS僵尸網絡Muhstik背后的威脅行為者也利用了此漏洞。思科Talos研究人員還發現,早在2025年1月就有未知威脅行為者利用該漏洞針對日本組織。GreyNoise確認,CVE-2024-4577已被大規模利用,攻擊范圍已超出最初報告,涉及美國、英國、新加坡、印度尼西亞、臺灣、香港、印度和西班牙等多個地區。該公司敦促使用PHP-CGI的Windows系統組織盡快更新安裝,并遵循指導進行追溯搜索以識別類似的利用模式,識別并阻止針對CVE-2024-4577的惡意IP。


https://securityaffairs.com/175198/hacking/experts-warn-of-mass-exploitation-of-critical-php-flaw-cve-2024-4577.html


5. RansomHouse入侵芝加哥洛雷托醫院,竊取1.5TB敏感數據


3月10日,RansomHouse團伙宣布入侵了芝加哥洛雷托醫院,這是一家成立于1939年的非營利性社區醫療保健提供商,提供包括初級保健、老年醫學、視力保健等多種服務。該團伙聲稱已竊取1.5TB的敏感數據,但尚未公布任何證據。RansomHouse是一個自2021年12月以來一直活躍的數據勒索組織,他們不加密數據,而是專注于數據盜竊,通過泄露數據羞辱不付款的受害者,其中包括AMD和Keralty等公司。美國醫院因管理大量敏感數據而成為威脅行為者的優先目標。2024年,針對美國醫療保健提供商的勒索軟件攻擊激增,其中98次攻擊泄露了1.17億條記錄。洛雷托醫院在2023年也曾發生過一起數據安全事件,一名前員工盜用了少數患者的安全攝像頭錄像并發布在Facebook上,隨后錄像被刪除,受影響的患者也收到了通知。這些事件再次提醒人們數據安全的重要性。


https://securityaffairs.com/175187/cyber-crime/ransomhouse-gang-claims-the-hack-of-the-loretto-hospital-in-chicago.html


6. 中東北非遭遇AsyncRAT惡意軟件新攻擊


3月10日,自2024年9月起,中東和北非地區成為傳播AsyncRAT惡意軟件修改版本的新目標。據Positive Technologies研究人員分析,此次活動與該地區地緣政治氣候緊密相關,攻擊者通過Facebook等社交媒體平臺創建臨時帳戶和新聞頻道,發布含有惡意軟件鏈接的廣告,誘導用戶下載并感染設備。該惡意軟件被托管在合法的在線文件共享帳戶或Telegram頻道中,自2024年秋季以來已造成約900名受害者,主要分布在利比亞、沙特阿拉伯、埃及等國家。名為Desert Dexter的威脅行為者于2025年2月被揭露,其使用的惡意軟件包含離線鍵盤記錄器、加密貨幣錢包搜索功能,并能與Telegram機器人通信。盡管幕后黑手身份尚不明朗,但JavaScript文件中的阿拉伯語注釋暗示了可能的來源。對Telegram機器人消息的進一步分析揭示了攻擊者桌面的屏幕截圖和使用的工具,以及一個可能指向利比亞的Telegram頻道鏈接。研究人員指出,盡管Desert Dexter使用的工具并不復雜,但Facebook廣告與合法服務的結合以及對地緣政治局勢的利用,導致了大量設備受到感染,對網絡安全構成嚴重威脅。


https://thehackernews.com/2025/03/desert-dexter-targets-900-victims-using.html

上一篇 下一篇