首頁 > 安全研究 > 安全通報 > 安全簡訊

Freedman Healthcare遭World Leaks勒索軟件攻擊

發布時間 2025-06-19

1. Freedman Healthcare遭World Leaks勒索軟件攻擊


6月17日,美國健康數據管理軟件公司Freedman Healthcare遭受了World Leaks的勒索軟件攻擊,該攻擊是由Hunter's International開發的勒索軟件項目。該勒索軟件集團周一在其受害者頁面上宣稱攻擊了位于馬薩諸塞州的Freedman Healthcare。Freedman Healthcare與二十多個州政府、多個非營利組織和保險公司合作,為多個州的州立公共衛生部門和其他公共資助項目設計、實施和維護綜合數據系統,數百萬美國人的個人健康信息由其綜合數據管理平臺處理。World Leaks聲稱從該公司服務器竊取約52.4GB數據,約42204個文件,但截至周一晚上尚未上傳文件樣本。其網站倒計時鐘顯示最后期限不到半天,疑似為支付贖金要求。若Freedman Healthcare不付款,World Leaks可能像之前對不愿談判的受害者一樣,在其泄密網站公布被盜數據。


https://cybernews.com/news/freedman-healthcare-ransomware-attack-data-27-state-public-health-departments/


2. 醫療服務公司Episource數據泄露影響540萬人


6月18日,醫療保健公司Episource遭受網絡攻擊,導致數據泄露,超過540萬人的個人和健康數據泄露。Episource是一家美國醫療服務和技術公司,主要為在Medicare Advantage、Medicaid和ACA市場運營的健康計劃和醫療保健組織提供風險調整服務、臨床數據分析和醫療記錄審查解決方案。2025年2月6日,Episource檢測到其系統中存在可疑活動,經調查發現,在1月27日至2月6日期間,一名威脅行為者訪問并復制了數據。為應對此次安全漏洞,Episource迅速關閉系統,聘請專家團隊協助調查,并聯系了執法部門。截至目前,尚未發現數據被濫用的報告。此次泄露的數據因人而異,可能涵蓋聯系方式(如姓名、地址、電話號碼和電子郵件)、健康保險信息(如健康計劃/保單、保險公司、會員/團體ID號等)、醫療記錄(如病歷號、醫生、診斷、藥物等),在有限情況下還包括社會安全號碼或出生日期。Episource自4月23日起開始通知客戶可能受影響的個人和具體數據。盡管財務數據基本未受影響,但Episource仍建議個人監控健康、財務和稅務記錄中的可疑活動,并及時向相關機構報告異常情況。


https://securityaffairs.com/179115/data-breach/healthcare-services-company-episource-data-breach-impacts-5-4-million-people.html


3. 親以黑客“掠食麻雀”竊取并燒毀Nobitex超9000萬美元加密貨幣


6月18日,親以色列的“掠食麻雀”(Predatory Sparrow)黑客組織對伊朗最大的加密貨幣交易所Nobitex發動了一次出于政治動機的網絡攻擊。Nobitex于美國東部時間凌晨2:24首次在X上報告了此次攻擊,其技術團隊檢測到部分報告基礎設施和熱錢包被未經授權訪問,隨即暫停所有訪問,內部安全團隊展開調查。不久后,Predatory Sparrow通過其Gonjeshke Darande X賬戶宣稱對此次攻擊負責,并威脅公布Nobitex被盜的源代碼和內部信息。據區塊鏈分析公司Elliptic報告,超過9000萬美元的加密貨幣從Nobitex錢包中被盜,但黑客并未試圖據為己有,而是將幾乎所有加密貨幣發送到嵌入了反伊斯蘭共和國衛隊(IRGC)信息的虛榮地址,這些地址需要大量計算能力才能生成,且創建如此長的字符串名稱在計算上不可行,意味著黑客故意燒毀了加密貨幣,使其無法被再次訪問。Elliptic指出,此次黑客攻擊并非出于經濟動機。此外,Elliptic的調查顯示Nobitex與伊朗革命衛隊和伊朗領導層有聯系,其他研究人員也曾將該交易所與伊朗最高領袖親屬、革命衛隊附屬商業利益集團及受制裁個人聯系起來,這些人據報道使用Nobitex轉移勒索軟件操作產生的資金。


https://www.bleepingcomputer.com/news/security/pro-israel-hackers-hit-irans-nobitex-exchange-burn-90m-in-crypto/


4. 俄現首例本土化NFC數據竊取攻擊,SuperCard惡意軟件現身


6月17日,俄羅斯網絡安全研究人員發現首例本土化數據竊取攻擊,攻擊者利用經篡改的近場通信(NFC)合法軟件實施犯罪,這或為更廣泛攻擊活動的測試階段。此次攻擊涉及的惡意軟件為SuperCard,它是此前已知合法軟件NFCGate的變種。NFCGate原本用于在鄰近設備間中繼傳輸NFC數據,但常被網絡犯罪分子濫用以盜取銀行資金。在先前針對歐洲銀行的SuperCard攻擊中,黑客通過被入侵的安卓手機,將受害者實體支付卡數據中繼傳輸至攻擊者控制的設備,進而實施ATM交易或直接轉移賬戶資金。莫斯科網絡安全公司F6在6月17日的報告中指出,SuperCard于2025年5月首次在俄羅斯境內針對安卓用戶部署,而該惡意軟件最初于同年4月在意大利被發現,當時意大利安全公司Cleafy披露其以惡意軟件即服務(MaaS)形式分發,由“中文使用者”操作。攻擊者通過社會工程手段誘騙受害者下載偽裝成合法應用的SuperCard,該惡意軟件能識別受害者使用的支付系統,進而支持犯罪分子實施欺詐交易。與以往基于NFCGate的惡意軟件不同,SuperCard采用商業化分發策略,首次通過Telegram中文頻道公開推廣,采用訂閱制銷售并提供客戶支持,廣告宣稱可針對美國、澳大利亞及歐洲主要銀行的客戶。


https://therecord.media/supercard-nfc-banking-malware-russia


5. 朝鮮BlueNoroff組織借Zoom深度偽造傳播macOS惡意軟件


6月18日,Huntress研究人員在調查合作伙伴網絡可能遭受的入侵時,發現朝鮮高級持續性威脅組織BlueNoroff(又名Sapphire Sleet或TA444)發起的一次新攻擊。該組織以使用Windows和Mac惡意軟件進行加密貨幣盜竊攻擊著稱,此次攻擊目標很可能是盜竊加密貨幣。攻擊者通過Telegram假扮外部專業人士,向一家科技公司員工發送包含虛假Zoom域的Calendly鏈接,誘使其參加會議。會議中包含深度偽造的公司高層領導和外部參與者視頻,以增加可信度。期間,攻擊者以麥克風故障為由,引導受害者下載所謂的Zoom擴展程序,實為惡意AppleScript文件。該文件在解析大量空白行后,執行惡意命令,從外部來源下載并執行輔助有效載荷。Huntress在調查時發現,最終有效載荷雖已被提取,但在VirusTotal上找到了一個版本,提供了線索。該腳本會禁用bash歷史記錄,檢查并安裝Rosetta 2以確保x86_64負載運行,還會創建隱藏文件并下載負載。研究人員在被入侵主機上發現了八個不同的惡意二進制文件。此次攻擊反映了BlueNoroff日益增長的復雜性,利用AI深度偽造進行社會工程和定制macOS惡意軟件。


https://www.bleepingcomputer.com/news/security/north-korean-hackers-deepfake-execs-in-zoom-call-to-spread-mac-malware/


6. GitHub惡意模組滲透《我的世界》,超1500名玩家中招


6月18日,Check Point公司研究人員發現一場針對《我的世界》玩家的多階段惡意軟件活動,該活動利用“Stargazers Ghost Network”這一分發即服務(DaaS)平臺,使用基于Java的惡意軟件傳播。惡意軟件假冒“腳本和宏工具”(作弊工具)Oringo和Taunahi,第一和第二階段惡意程序均用Java開發,需在安裝《我的世界》運行環境的主機上執行。攻擊最終目的是誘騙玩家從GitHub下載《我的世界》模組,進而投放具有全面數據竊取能力的.NET信息竊取程序。該活動利用數千個GitHub帳戶建立被污染的代碼倉庫,偽裝成破解軟件和游戲作弊工具。研究人員標記約500個GitHub倉庫,觀察到約70個帳戶產生700個點贊。偽裝成模組的惡意倉庫會投放未被防病毒引擎檢測到的Java加載器,實施反虛擬機和反分析技術,主要目的是下載并運行第二階段竊取程序,最終獲取并執行.NET竊取程序作為有效載荷。.NET竊取程序能從瀏覽器竊取憑證,收集文件、加密貨幣錢包等信息,并截取屏幕截圖等,捕獲信息通過Discord的Webhook傳輸回攻擊者。研究人員懷疑活動由俄語威脅行為者發起,估計超1500臺設備受害。


https://thehackernews.com/2025/06/1500-minecraft-players-infected-by-java.html

上一篇