EmCare遭黑客入侵;勒索软件CryptoMix和Inpivx;攻击活动Aggah

发布时间 2019-04-22

1.EmCare遭黑客入侵,约6万名患者及员工的信息泄露



根据EmCare公司发布的公告,该公司于2月19日遭到黑客攻击,部分员工的邮箱账户遭到第三方未授权访问,约6万名员工、患者及承包商的个人信息泄露,包括姓名、出生日期、年龄以及一些患者的临床信息等。某些情况下,也包括社会安全号码和驾驶执照号码。受影响的患者数量约为3.1万人。该公司表示已为社会安全号码和驾驶执照号码泄露的患者和员工提供了身份保护和信用监控服务。


原文链接:

https://www.bloomberg.com/news/articles/2019-04-20/kkr-s-emcare-says-patient-employee-personal-data-was-accessed-jupwipt7

2.勒索软件CryptoMix新变体,主要通过远程桌面服务分发


勒索软件CryptoMix的新变体DLL正在野外积极传播,该变体通过入侵远程桌面服务进行分发,还会启用默认管理员账户并修改密码。该变体会在加密的文件后附加.DLL扩展名,其特征包括赎金票据文件名为_HELP_INSTRUCTIONS_.TXT,并且使用dllteam@protonmail.com、dllteam1@protonmail.com等邮件地址。该勒索软件尚无公开的解密工具发布。


原文链接:

https://www.bleepingcomputer.com/news/security/dll-cryptomix-ransomware-variant-installed-via-remote-desktop/

3.新勒索软件Inpivx,售价500美元和提供相关教程


新勒索软件Inpivx正在Tor网络上出售,售价为500美元,套餐内还包含解密工具和详细的教程。该勒索软件是用C++编写的,支持从Windows XP到Windows 10等Windows版本,其仪表板则使用PHP编码。Inpivx不提供托管服务,但它提供勒索软件和管理面板的源代码,这使得攻击者可以很容易地定制自己的勒索软件。Inpivx进一步推动了勒索软件即服务的概念,使得没有技术的犯罪分子可以轻易构造自己的恶意软件和仪表板。


原文链接:

https://securityaffairs.co/wordpress/84273/breaking-news/inpivx-ransomware-service.html

4.新恶意攻击活动Aggah,主要分发RevengeRAT


Palo Alto Networks的Unit 42研究团队发现新恶意攻击活动Aggah,Aggah利用Bit.ly、BlogSpot和Pastebin等合法服务来构建C2基础设施,以逃避安全解决方案的检测。该攻击活动主要针对北美、欧洲、亚洲和中东的组织,目标行业包括技术、零售、制造、政府机构、医院、制药等。攻击者主要释放RevengeRAT,该木马可打开远程shell,管理系统文件、进程和服务,编辑注册表,键盘记录及访问摄像头等。


原文链接:

https://www.bleepingcomputer.com/news/security/revengerat-distributed-via-bitly-blogspot-and-pastebin-c2-infrastructure/

5.研究团队发布Ocean Lotus恶意软件格式的分析报告



Malwarebytes Labs发布Ocean Lotus使用的非典型恶意软件格式的分析报告。Ocean Lotus又称APT32,是一个与越南有关的犯罪团伙,其使用自定义的恶意软件格式以逃避静态检测和分析。该样本包含两个未知格式的可执行文件(.BLOB和.CAB),文件格式是从PE格式转换而来,但标题是完全自定义的,加载方式与PE也没有相似之处。BLOB和CAB文件使用XOR进行模糊处理,并通过hp6000.dll加载,加载函数在执行DllMain时,会修补DLL中的main模块。


原文链接:

https://blog.malwarebytes.com/threat-analysis/2019/04/funky-malware-format-found-in-ocean-lotus-sample/

6.新报告称Wipro攻击者针对另外七家解决方案供应商



根据KrebsOnSecurity的报告,在3月份针对Wipro发起攻击的钓鱼攻击者似乎也针对另外七家解决方案供应商发起攻击,包括Avanade、Capgemini、Cognizant、Infosys、PCM、Rackspace和Slalom。Avanade证实该公司的34名员工在2月份遭到攻击,Rackspace和Infosys发布的声明则未证实也未否认该公司是否成为目标,其余公司并未进行回应。


原文链接:

https://www.crn.com/news/security/wipro-hackers-also-went-after-seven-other-solution-provider-giants-report