首頁 > 安全研究 > 安全通報 > 安全簡訊

ResolverRAT惡意軟件攻擊全球制藥和醫療保健機構

發布時間 2025-04-16

1. ResolverRAT惡意軟件攻擊全球制藥和醫療保健機構


4月14日,近日,一種名為“ResolverRAT”的新型遠程訪問木馬(RAT)在全球范圍內肆虐,成為組織信息安全的一大威脅,尤其對醫療保健和制藥行業構成了嚴重挑戰。ResolverRAT通過精心設計的網絡釣魚電子郵件進行傳播,這些郵件偽裝成針對目標國家/地區語言的合法內容或涉及版權侵犯的警告,誘使用戶點擊鏈接下載看似合法的可執行文件“hpreader.exe”。實際上,該文件利用反射DLL加載技術,將ResolverRAT悄然注入內存,為后續的惡意活動鋪平道路。Morphisec公司率先發現了這一未被記錄的惡意軟件,并指出Check Point和Cisco Talos的近期報告中也提及了相同的網絡釣魚基礎設施,但未能捕捉到ResolverRAT這一獨特有效載荷。ResolverRAT以其高度隱蔽性和強大的規避能力著稱,完全在內存中運行,濫用.NET“ResourceResolve”事件加載惡意程序集,有效規避了傳統安全監控。該木馬采用復雜的狀態機技術混淆控制流,使得靜態分析變得異常困難,并通過指紋資源請求檢測沙盒和分析工具,進一步增強了其隱蔽性。此外,ResolverRAT還具備強大的數據泄露功能,通過分塊機制傳輸大數據,將大于1MB的文件分割成16KB的塊,以逃避檢測。


https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/


2. 勒索軟件擾亂了腎透析公司DaVita的部分運營


4月14日,腎透析巨頭DaVita遭遇勒索軟件攻擊,部分運營受影響。該公司于周六遭受攻擊,部分網絡被加密,周一向美國證券交易委員會通報此事。DaVita立即啟動響應程序,實施遏制措施,包括隔離受影響系統,并已實施臨時措施以恢復某些功能,但無法估計中斷的持續時間或程度。目前判斷此次襲擊對公司造成的總體影響還為時過早。DaVita作為全球最大的腎臟護理提供商之一,在全球擁有3166家門診透析中心,約有28.11萬名患者,此次攻擊對其運營造成了一定影響。截至周一上午,尚無勒索軟件團伙承認負責。網絡安全專家追蹤到2025年針對醫療保健組織的100多起勒索軟件攻擊,醫療保健機構面臨嚴峻挑戰。微軟上個月也警告稱,勒索軟件攻擊是農村醫院面臨的主要問題,可能帶來危及生命的后果。DaVita尚未回應關于攻擊組織及是否會支付贖金的置評請求。


https://therecord.media/davita-kidney-dialysis-company-ransomware-attack


3. Study Hotels遭遇Play勒索軟件團伙雙重勒索威脅


4月14日,一家主要服務于常春藤盟校的精品住宿品牌Study Hotels遭遇了勒索軟件攻擊。該連鎖酒店在耶魯大學、賓夕法尼亞大學、約翰·霍普金斯大學和芝加哥大學等校區經營豪華住宿,其客戶群包括客座教授、高凈值家長和會議參與者。此次攻擊的幕后黑手Play勒索軟件團伙,威脅稱若不支付贖金,將泄露員工工資單、身份證件和機密文件等高度敏感數據。泄密通知于2025年4月11日發布,距離威脅者設定的最后期限僅剩一天。該團伙已泄露部分數據,并繼續威脅將全部數據公開。勒索軟件團伙通常將受害者名單列在其暗網泄密網站上,以此迫使組織支付贖金。他們采用雙重勒索模式,在竊取數據后加密系統,并已影響到廣泛的企業和關鍵基礎設施。目前尚不清楚Study Hotels是否已對此次威脅做出回應。


https://cybernews.com/security/yale-university-hotel-chain-ransomware-attack/


4. APT29利用GrapeLoader與WineLoader變種攻擊歐洲外交網絡


4月15日,俄羅斯政府支持的間諜組織午夜暴雪(Midnight Blizzard,又名“Cozy Bear”或“APT29”)發起了一項針對歐洲外交實體(包括大使館)的新魚叉式網絡釣魚活動。此次活動于2025年1月啟動,通過偽裝成外交部的電子郵件,誘導收件人點擊惡意鏈接,下載包含GrapeLoader惡意軟件加載器和WineLoader后門新變種的ZIP壓縮包。GrapeLoader通過DLL側加載執行,收集主機信息,建立持久性,并聯系命令與控制(C2)服務器接收shellcode。該加載器旨在取代之前使用的第一階段HTA裝載機“RootSaw”,因其更加隱蔽和復雜。GrapeLoader利用“PAGE_NOACCESS”內存保護和10秒延遲技術,通過“ResumeThread”運行shellcode,以規避防病毒和EDR掃描。WineLoader作為模塊化后門,負責收集詳細的主機信息,包括IP地址、運行進程名稱、Windows用戶名等,以促進間諜活動。新變體采用RVA復制、導出表不匹配和垃圾指令進行嚴重混淆,提高了逆向工程難度。


https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/


5. 4chan論壇疑遭Soyjak.party黑客攻擊而被關閉


4月15日,知名在線論壇4chan疑似遭受嚴重黑客攻擊而下線,此后加載斷斷續續。隨后,Soyjak.party圖片論壇成員聲稱是此次攻擊的幕后黑手,并泄露了管理面板截圖及一份據稱屬于4chan管理員、版主的電子郵件列表。一名黑客(用戶名為Chud)在4chan關閉后發帖稱,黑客已潛入4chan系統一年多,執行了攻擊行動,泄露了員工個人信息和網站代碼。為控制損失,4chan管理員已將所有服務器下線,但有報告稱服務器已被完全攻破,可能無法迅速恢復。Chud分享的截圖顯示,黑客可訪問4chan的員工管理面板和維護工具,這些工具功能強大,可訪問用戶位置和IP地址、重建或重新啟動板塊、查看日志和站點統計信息以及管理數據庫。雖然攻擊者未透露入侵方式,但有人認為,這可能是因為4chan使用了嚴重過時的PHP版本,未修補許多安全漏洞。當天晚些時候,4chan的PHP源代碼在匿名論壇Kiwi Farms上被泄露。4chan自2003年創立以來,已上線二十多年,多年來一直被用來泄露據稱從多家知名公司竊取的文件。


https://www.bleepingcomputer.com/news/security/infamous-message-board-4chan-taken-down-following-major-hack/


6. Lemonade保險公司通報19萬用戶駕照號泄露事件


4月15日,Lemonade成立于2015年,自稱“全棧保險公司”,在美國和歐洲提供租房、房主、汽車、寵物及人壽保險產品。該公司以利用人工智能技術激活保單及處理索賠而聞名。該公司近日通知約19萬名客戶,其駕照號碼可能因技術故障遭泄露。該事件涉及一款在線汽車保險應用,該應用允許用戶獲取保險報價及購買保單。據公司披露,汽車保險報價流程中存在安全漏洞,導致部分用戶的駕照號碼暴露。Lemonade表示已修復此漏洞。在2023年4月至2024年9月期間,該平臺曾以未加密方式傳輸信息,致使駕駛執照號碼面臨未經授權的訪問風險。公司雖稱無證據表明駕照號碼被盜用,但為預防潛在風險,已向受影響個體發出通知,并提供12個月免費信用監控及身份保護服務。Lemonade已向美國證券交易委員會報告,此次事故影響約19萬人。公司強調,根據當前掌握的事實與情況,此次事件未影響其運營,客戶數據亦未遭攻擊,且公司判定該事件不構成重大風險。


https://www.securityweek.com/insurance-firm-lemonade-says-api-glitch-exposed-some-drivers-license-numbers/

上一篇 下一篇