首頁 > 安全研究 > 安全通報 > 安全簡訊

KeePass木馬版本分發長達八月,竊密并部署勒索軟件

發布時間 2025-05-20

1. KeePass木馬版本分發長達八月,竊密并部署勒索軟件


5月19日,WithSecure威脅情報團隊調查發現,威脅行為者至少八個月來一直在分發KeePass密碼管理器的木馬版本KeeLoader,以實施惡意活動。KeePass作為開源軟件,其源代碼被威脅行為者修改,構建了包含常規密碼管理功能的木馬化版本。該版本不僅能安裝Cobalt Strike信標,還能將KeePass密碼數據庫導出為明文并通過信標竊取。此次活動中使用的Cobalt Strike水印與初始訪問代理(IAB)相關聯,該代理被認為與過去的Black Basta勒索軟件攻擊有關。Cobalt Strike水印是嵌入在信標中的唯一標識符,通常與Black Basta勒索軟件相關。KeeLoader有多種變種,使用合法證書簽名,并通過域名搶注進行傳播。這些被木馬感染的程序不僅具有密碼竊取功能,還能在用戶打開KeePass數據庫時,將數據導出為CSV格式,便于威脅行為者竊取。最終,WithSecure調查的攻擊導致公司VMware ESXi服務器被勒索軟件加密。進一步調查發現,該活動已建立龐大基礎設施,用于分發偽裝成合法工具的惡意程序和旨在竊取憑證的網絡釣魚頁面。WithSecure將此活動歸咎于UNC4696組織,該組織此前與Nitrogen Loader活動有關,而Nitrogen活動又與BlackCat/ALPHV勒索軟件有關。


https://www.bleepingcomputer.com/news/security/fake-keepass-password-manager-leads-to-esxi-ransomware-attack/


2. Serviceaid配置錯誤致Catholic Health近50萬患者信息泄露


5月19日,企業IT提供商Serviceaide因數據庫配置錯誤,導致與紐約非營利性醫療保健系統Catholic Health相關的約483,126名患者敏感健康和個人信息泄露。此次泄露源于一個Elasticsearch數據庫被無意中公開,發生在2024年9月19日至11月5日期間,于11月15日被發現,全面審查才剛完成。盡管無確鑿證據表明數據被下載或濫用,但公司不能排除這種可能性。泄露的數據庫包含大量敏感信息,如全名、出生日期、處方數據、社會安全號碼、健康保險詳情、醫療保健提供者信息、治療和臨床信息、醫療記錄和賬號以及電子郵件地址、用戶名和密碼等。Serviceaide正通知受影響個人,并采取措施保護暴露的數據庫,添加新的安全協議以降低未來風險。該公司還與聯邦監管機構合作,美國衛生與公眾服務部已在其民權辦公室違規門戶網站上公開了此次數據泄露事件。Serviceaide建議受影響用戶關注信用報告、更改與醫療賬戶關聯的密碼,并考慮凍結信用。


https://hackread.com/serviceaide-leak-catholic-health-patients-records/


3. Arla Foods德國工廠遭網絡攻擊致生產中斷


5月19日,Arla Foods證實,其位于德國烏帕爾的生產部門遭受了網絡攻擊,導致生產運營中斷。這家丹麥食品巨頭表示,此次攻擊僅影響了該生產部門,但預計將引發產品交付延遲甚至取消。Arla發言人稱,在烏帕爾的乳品廠發現了可疑活動,影響了當地的IT網絡,出于安全考慮,生產暫時受到影響。Arla Foods作為國際乳制品生產商和農民合作社,擁有7600名成員,在全球39個國家設有分支機構,員工達23000人,年收入高達138億歐元,產品銷往全球140個國家。公司正努力恢復受影響工廠的運營,并預計將在本周末前取得成果,其他工廠的生產則未受影響。由于生產中斷的消息在周五曝光,預計某些情況下將出現產品短缺。Arla已通知受影響的客戶可能出現交貨延遲或取消的情況。當被問及此次攻擊是否涉及數據盜竊或加密時,Arla拒絕分享更多信息。目前,勒索軟件敲詐門戶網站上尚未發布關于Arla的公告,因此攻擊類型和實施者仍然未知。


https://www.bleepingcomputer.com/news/security/arla-foods-confirms-cyberattack-disrupts-production-causes-delays/


4. 英國法律援助機構遭網絡攻擊致敏感數據泄露


5月19日,英國法律援助機構(LAA)確認,近期遭遇的網絡攻擊遠比最初預想的嚴重,黑客竊取了大量敏感的申請人數據。LAA作為英國司法部下屬的執行機構,負責為經濟困難者提供法律援助,此次數據泄露事件涉及眾多敏感信息。本月早些時候,LAA曾披露發生安全事件,稱有限財務信息可能泄露,但最新消息顯示,情況更為嚴峻,大量自2010年起的數據可能已被黑客獲取。英國政府已確認數據泄露,并參與調查。公告指出,黑客組織獲取了大量與法律援助申請人相關的信息,包括聯系方式、出生日期、國民身份證號碼、犯罪史、就業狀況及財務細節等。英國政府建議所有申請人保持警惕,謹防詐騙,并在共享敏感信息前核實通信內容。LAA首席執行官簡·哈博特爾對此表示歉意,并承諾將盡快提供更多最新消息。目前,所有LAA系統在國家網絡安全中心(NCSC)的協助下已得到保護,在線申請服務暫時下線。


https://www.bleepingcomputer.com/news/security/uk-legal-aid-agency-confirms-applicant-data-stolen-in-data-breach/


5. NRS數據泄露事件影響Harbin診所超20萬患者


5月19日,佐治亞州醫療保健提供商Harbin診所近日通知超過20萬人,稱其個人信息在2024年7月債務催收公司Nationwide Recovery Services(NRS)的數據泄露事件中被盜。此次事件源于NRS內部系統出現可疑活動,導致網絡中斷。第三方催收機構調查發現,攻擊者在7月5日至11日期間訪問了NRS網絡并竊取了部分數據。2025年2月,債務催收服務提供商(ACCSCIENT子公司)通知Harbin診所,部分被盜數據涉及其患者,并于3月提供了可能受影響的個人名單。泄露信息包括姓名、地址、出生日期、社會保險號、金融賬戶詳細信息、擔保人詳細信息及醫療信息等。Harbin診所在通知信中稱,NRS報告未發現身份盜竊或欺詐行為證據。該診所已向緬因州總檢察長辦公室報告,有210,140人受影響,并為他們提供24個月免費身份監控服務。然而,潛在受影響人數可能更高,因事件還波及NRS其他客戶,包括佐治亞州和田納西州多家醫療機構,且NRS在美國50個州均有債務催收執照。目前,NRS尚未公開披露受影響客戶及人數,也未有勒索軟件組織聲稱對此次攻擊負責。


https://www.securityweek.com/200000-harbin-clinic-patients-impacted-by-nrs-data-breach/


6. 瑞士當局警告DDoS攻擊歐洲歌唱大賽相關網站


5月16日,瑞士當局近日發出警告,網絡犯罪分子針對與歐洲歌唱大賽相關的瑞士境內多個網站發動了多起分布式拒絕服務(DDoS)攻擊。盡管這些攻擊在意料之中,但并未對歐洲歌唱大賽的正常運營造成干擾。瑞士國家網絡安全中心(NCSC)向各組織發出警報,指出可能還會有進一步的攻擊,其目的主要是吸引媒體關注。NCSC表示,在歐洲歌唱大賽決賽前,相關機構已開始遭受此類攻擊,攻擊者通過發送大量定向請求使網站和應用程序超載,導致其無法訪問或僅部分可訪問。不過,此次攻擊符合預期,目前尚未對歐洲歌唱大賽造成實質性影響。瑞士當局預計,DDoS攻擊將持續到歐洲歌唱大賽結束,總決賽定于5月17日舉行。歐洲歌唱大賽是一項年度國際音樂比賽,吸引了來自歐洲和其他國家的參賽者。NCSC指出,DDoS攻擊是攻擊者吸引注意力的一種常用手段,并已向關鍵基礎設施運營商和參與組織歐洲歌唱大賽的組織發出警告,呼吁他們采取適當措施防范此類攻擊。


https://cybernews.com/security/ddos-attacks-target-eurovision-ncsc-says/

上一篇 下一篇