ResolverRAT恶意软件攻击全球制药和医疗保健机构
发布时间 2025-04-161. ResolverRAT恶意软件攻击全球制药和医疗保健机构
4月14日,近日,一种名为“ResolverRAT”的新型远程访问木马(RAT)在全球范围内肆虐,成为组织信息安全的一大威胁,尤其对医疗保健和制药行业构成了严重挑战。ResolverRAT通过精心设计的网络钓鱼电子邮件进行传播,这些邮件伪装成针对目标国家/地区语言的合法内容或涉及版权侵犯的警告,诱使用户点击链接下载看似合法的可执行文件“hpreader.exe”。实际上,该文件利用反射DLL加载技术,将ResolverRAT悄然注入内存,为后续的恶意活动铺平道路。Morphisec公司率先发现了这一未被记录的恶意软件,并指出Check Point和Cisco Talos的近期报告中也提及了相同的网络钓鱼基础设施,但未能捕捉到ResolverRAT这一独特有效载荷。ResolverRAT以其高度隐蔽性和强大的规避能力著称,完全在内存中运行,滥用.NET“ResourceResolve”事件加载恶意程序集,有效规避了传统安全监控。该木马采用复杂的状态机技术混淆控制流,使得静态分析变得异常困难,并通过指纹资源请求检测沙盒和分析工具,进一步增强了其隐蔽性。此外,ResolverRAT还具备强大的数据泄露功能,通过分块机制传输大数据,将大于1MB的文件分割成16KB的块,以逃避检测。
https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/
2. 勒索软件扰乱了肾透析公司DaVita的部分运营
4月14日,肾透析巨头DaVita遭遇勒索软件攻击,部分运营受影响。该公司于周六遭受攻击,部分网络被加密,周一向美国证券交易委员会通报此事。DaVita立即启动响应程序,实施遏制措施,包括隔离受影响系统,并已实施临时措施以恢复某些功能,但无法估计中断的持续时间或程度。目前判断此次袭击对公司造成的总体影响还为时过早。DaVita作为全球最大的肾脏护理提供商之一,在全球拥有3166家门诊透析中心,约有28.11万名患者,此次攻击对其运营造成了一定影响。截至周一上午,尚无勒索软件团伙承认负责。网络安全专家追踪到2025年针对医疗保健组织的100多起勒索软件攻击,医疗保健机构面临严峻挑战。微软上个月也警告称,勒索软件攻击是农村医院面临的主要问题,可能带来危及生命的后果。DaVita尚未回应关于攻击组织及是否会支付赎金的置评请求。
https://therecord.media/davita-kidney-dialysis-company-ransomware-attack
3. Study Hotels遭遇Play勒索软件团伙双重勒索威胁
4月14日,一家主要服务于常春藤盟校的精品住宿品牌Study Hotels遭遇了勒索软件攻击。该连锁酒店在耶鲁大学、宾夕法尼亚大学、约翰·霍普金斯大学和芝加哥大学等校区经营豪华住宿,其客户群包括客座教授、高净值家长和会议参与者。此次攻击的幕后黑手Play勒索软件团伙,威胁称若不支付赎金,将泄露员工工资单、身份证件和机密文件等高度敏感数据。泄密通知于2025年4月11日发布,距离威胁者设定的最后期限仅剩一天。该团伙已泄露部分数据,并继续威胁将全部数据公开。勒索软件团伙通常将受害者名单列在其暗网泄密网站上,以此迫使组织支付赎金。他们采用双重勒索模式,在窃取数据后加密系统,并已影响到广泛的企业和关键基础设施。目前尚不清楚Study Hotels是否已对此次威胁做出回应。
https://cybernews.com/security/yale-university-hotel-chain-ransomware-attack/
4. APT29利用GrapeLoader与WineLoader变种攻击欧洲外交网络
4月15日,俄罗斯政府支持的间谍组织午夜暴雪(Midnight Blizzard,又名“Cozy Bear”或“APT29”)发起了一项针对欧洲外交实体(包括大使馆)的新鱼叉式网络钓鱼活动。此次活动于2025年1月启动,通过伪装成外交部的电子邮件,诱导收件人点击恶意链接,下载包含GrapeLoader恶意软件加载器和WineLoader后门新变种的ZIP压缩包。GrapeLoader通过DLL侧加载执行,收集主机信息,建立持久性,并联系命令与控制(C2)服务器接收shellcode。该加载器旨在取代之前使用的第一阶段HTA装载机“RootSaw”,因其更加隐蔽和复杂。GrapeLoader利用“PAGE_NOACCESS”内存保护和10秒延迟技术,通过“ResumeThread”运行shellcode,以规避防病毒和EDR扫描。WineLoader作为模块化后门,负责收集详细的主机信息,包括IP地址、运行进程名称、Windows用户名等,以促进间谍活动。新变体采用RVA复制、导出表不匹配和垃圾指令进行严重混淆,提高了逆向工程难度。
https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/
5. 4chan论坛疑遭Soyjak.party黑客攻击而被关闭
4月15日,知名在线论坛4chan疑似遭受严重黑客攻击而下线,此后加载断断续续。随后,Soyjak.party图片论坛成员声称是此次攻击的幕后黑手,并泄露了管理面板截图及一份据称属于4chan管理员、版主的电子邮件列表。一名黑客(用户名为Chud)在4chan关闭后发帖称,黑客已潜入4chan系统一年多,执行了攻击行动,泄露了员工个人信息和网站代码。为控制损失,4chan管理员已将所有服务器下线,但有报告称服务器已被完全攻破,可能无法迅速恢复。Chud分享的截图显示,黑客可访问4chan的员工管理面板和维护工具,这些工具功能强大,可访问用户位置和IP地址、重建或重新启动板块、查看日志和站点统计信息以及管理数据库。虽然攻击者未透露入侵方式,但有人认为,这可能是因为4chan使用了严重过时的PHP版本,未修补许多安全漏洞。当天晚些时候,4chan的PHP源代码在匿名论坛Kiwi Farms上被泄露。4chan自2003年创立以来,已上线二十多年,多年来一直被用来泄露据称从多家知名公司窃取的文件。
https://www.bleepingcomputer.com/news/security/infamous-message-board-4chan-taken-down-following-major-hack/
6. Lemonade保险公司通报19万用户驾照号泄露事件
4月15日,Lemonade成立于2015年,自称“全栈保险公司”,在美国和欧洲提供租房、房主、汽车、宠物及人寿保险产品。该公司以利用人工智能技术激活保单及处理索赔而闻名。该公司近日通知约19万名客户,其驾照号码可能因技术故障遭泄露。该事件涉及一款在线汽车保险应用,该应用允许用户获取保险报价及购买保单。据公司披露,汽车保险报价流程中存在安全漏洞,导致部分用户的驾照号码暴露。Lemonade表示已修复此漏洞。在2023年4月至2024年9月期间,该平台曾以未加密方式传输信息,致使驾驶执照号码面临未经授权的访问风险。公司虽称无证据表明驾照号码被盗用,但为预防潜在风险,已向受影响个体发出通知,并提供12个月免费信用监控及身份保护服务。Lemonade已向美国证券交易委员会报告,此次事故影响约19万人。公司强调,根据当前掌握的事实与情况,此次事件未影响其运营,客户数据亦未遭攻击,且公司判定该事件不构成重大风险。
https://www.securityweek.com/insurance-firm-lemonade-says-api-glitch-exposed-some-drivers-license-numbers/
京公网安备11010802024551号