KeePass木马版本分发长达八月,窃密并部署勒索软件
发布时间 2025-05-201. KeePass木马版本分发长达八月,窃密并部署勒索软件
5月19日,WithSecure威胁情报团队调查发现,威胁行为者至少八个月来一直在分发KeePass密码管理器的木马版本KeeLoader,以实施恶意活动。KeePass作为开源软件,其源代码被威胁行为者修改,构建了包含常规密码管理功能的木马化版本。该版本不仅能安装Cobalt Strike信标,还能将KeePass密码数据库导出为明文并通过信标窃取。此次活动中使用的Cobalt Strike水印与初始访问代理(IAB)相关联,该代理被认为与过去的Black Basta勒索软件攻击有关。Cobalt Strike水印是嵌入在信标中的唯一标识符,通常与Black Basta勒索软件相关。KeeLoader有多种变种,使用合法证书签名,并通过域名抢注进行传播。这些被木马感染的程序不仅具有密码窃取功能,还能在用户打开KeePass数据库时,将数据导出为CSV格式,便于威胁行为者窃取。最终,WithSecure调查的攻击导致公司VMware ESXi服务器被勒索软件加密。进一步调查发现,该活动已建立庞大基础设施,用于分发伪装成合法工具的恶意程序和旨在窃取凭证的网络钓鱼页面。WithSecure将此活动归咎于UNC4696组织,该组织此前与Nitrogen Loader活动有关,而Nitrogen活动又与BlackCat/ALPHV勒索软件有关。
https://www.bleepingcomputer.com/news/security/fake-keepass-password-manager-leads-to-esxi-ransomware-attack/
2. Serviceaid配置错误致Catholic Health近50万患者信息泄露
5月19日,企业IT提供商Serviceaide因数据库配置错误,导致与纽约非营利性医疗保健系统Catholic Health相关的约483,126名患者敏感健康和个人信息泄露。此次泄露源于一个Elasticsearch数据库被无意中公开,发生在2024年9月19日至11月5日期间,于11月15日被发现,全面审查才刚完成。尽管无确凿证据表明数据被下载或滥用,但公司不能排除这种可能性。泄露的数据库包含大量敏感信息,如全名、出生日期、处方数据、社会安全号码、健康保险详情、医疗保健提供者信息、治疗和临床信息、医疗记录和账号以及电子邮件地址、用户名和密码等。Serviceaide正通知受影响个人,并采取措施保护暴露的数据库,添加新的安全协议以降低未来风险。该公司还与联邦监管机构合作,美国卫生与公众服务部已在其民权办公室违规门户网站上公开了此次数据泄露事件。Serviceaide建议受影响用户关注信用报告、更改与医疗账户关联的密码,并考虑冻结信用。
https://hackread.com/serviceaide-leak-catholic-health-patients-records/
3. Arla Foods德国工厂遭网络攻击致生产中断
5月19日,Arla Foods证实,其位于德国乌帕尔的生产部门遭受了网络攻击,导致生产运营中断。这家丹麦食品巨头表示,此次攻击仅影响了该生产部门,但预计将引发产品交付延迟甚至取消。Arla发言人称,在乌帕尔的乳品厂发现了可疑活动,影响了当地的IT网络,出于安全考虑,生产暂时受到影响。Arla Foods作为国际乳制品生产商和农民合作社,拥有7600名成员,在全球39个国家设有分支机构,员工达23000人,年收入高达138亿欧元,产品销往全球140个国家。公司正努力恢复受影响工厂的运营,并预计将在本周末前取得成果,其他工厂的生产则未受影响。由于生产中断的消息在周五曝光,预计某些情况下将出现产品短缺。Arla已通知受影响的客户可能出现交货延迟或取消的情况。当被问及此次攻击是否涉及数据盗窃或加密时,Arla拒绝分享更多信息。目前,勒索软件敲诈门户网站上尚未发布关于Arla的公告,因此攻击类型和实施者仍然未知。
https://www.bleepingcomputer.com/news/security/arla-foods-confirms-cyberattack-disrupts-production-causes-delays/
4. 英国法律援助机构遭网络攻击致敏感数据泄露
5月19日,英国法律援助机构(LAA)确认,近期遭遇的网络攻击远比最初预想的严重,黑客窃取了大量敏感的申请人数据。LAA作为英国司法部下属的执行机构,负责为经济困难者提供法律援助,此次数据泄露事件涉及众多敏感信息。本月早些时候,LAA曾披露发生安全事件,称有限财务信息可能泄露,但最新消息显示,情况更为严峻,大量自2010年起的数据可能已被黑客获取。英国政府已确认数据泄露,并参与调查。公告指出,黑客组织获取了大量与法律援助申请人相关的信息,包括联系方式、出生日期、国民身份证号码、犯罪史、就业状况及财务细节等。英国政府建议所有申请人保持警惕,谨防诈骗,并在共享敏感信息前核实通信内容。LAA首席执行官简·哈博特尔对此表示歉意,并承诺将尽快提供更多最新消息。目前,所有LAA系统在国家网络安全中心(NCSC)的协助下已得到保护,在线申请服务暂时下线。
https://www.bleepingcomputer.com/news/security/uk-legal-aid-agency-confirms-applicant-data-stolen-in-data-breach/
5. NRS数据泄露事件影响Harbin诊所超20万患者
5月19日,佐治亚州医疗保健提供商Harbin诊所近日通知超过20万人,称其个人信息在2024年7月债务催收公司Nationwide Recovery Services(NRS)的数据泄露事件中被盗。此次事件源于NRS内部系统出现可疑活动,导致网络中断。第三方催收机构调查发现,攻击者在7月5日至11日期间访问了NRS网络并窃取了部分数据。2025年2月,债务催收服务提供商(ACCSCIENT子公司)通知Harbin诊所,部分被盗数据涉及其患者,并于3月提供了可能受影响的个人名单。泄露信息包括姓名、地址、出生日期、社会保险号、金融账户详细信息、担保人详细信息及医疗信息等。Harbin诊所在通知信中称,NRS报告未发现身份盗窃或欺诈行为证据。该诊所已向缅因州总检察长办公室报告,有210,140人受影响,并为他们提供24个月免费身份监控服务。然而,潜在受影响人数可能更高,因事件还波及NRS其他客户,包括佐治亚州和田纳西州多家医疗机构,且NRS在美国50个州均有债务催收执照。目前,NRS尚未公开披露受影响客户及人数,也未有勒索软件组织声称对此次攻击负责。
https://www.securityweek.com/200000-harbin-clinic-patients-impacted-by-nrs-data-breach/
6. 瑞士当局警告DDoS攻击欧洲歌唱大赛相关网站
5月16日,瑞士当局近日发出警告,网络犯罪分子针对与欧洲歌唱大赛相关的瑞士境内多个网站发动了多起分布式拒绝服务(DDoS)攻击。尽管这些攻击在意料之中,但并未对欧洲歌唱大赛的正常运营造成干扰。瑞士国家网络安全中心(NCSC)向各组织发出警报,指出可能还会有进一步的攻击,其目的主要是吸引媒体关注。NCSC表示,在欧洲歌唱大赛决赛前,相关机构已开始遭受此类攻击,攻击者通过发送大量定向请求使网站和应用程序超载,导致其无法访问或仅部分可访问。不过,此次攻击符合预期,目前尚未对欧洲歌唱大赛造成实质性影响。瑞士当局预计,DDoS攻击将持续到欧洲歌唱大赛结束,总决赛定于5月17日举行。欧洲歌唱大赛是一项年度国际音乐比赛,吸引了来自欧洲和其他国家的参赛者。NCSC指出,DDoS攻击是攻击者吸引注意力的一种常用手段,并已向关键基础设施运营商和参与组织欧洲歌唱大赛的组织发出警告,呼吁他们采取适当措施防范此类攻击。
https://cybernews.com/security/ddos-attacks-target-eurovision-ncsc-says/
京公网安备11010802024551号