Freedman Healthcare遭World Leaks勒索软件攻击
发布时间 2025-06-191. Freedman Healthcare遭World Leaks勒索软件攻击
6月17日,美国健康数据管理软件公司Freedman Healthcare遭受了World Leaks的勒索软件攻击,该攻击是由Hunter's International开发的勒索软件项目。该勒索软件集团周一在其受害者页面上宣称攻击了位于马萨诸塞州的Freedman Healthcare。Freedman Healthcare与二十多个州政府、多个非营利组织和保险公司合作,为多个州的州立公共卫生部门和其他公共资助项目设计、实施和维护综合数据系统,数百万美国人的个人健康信息由其综合数据管理平台处理。World Leaks声称从该公司服务器窃取约52.4GB数据,约42204个文件,但截至周一晚上尚未上传文件样本。其网站倒计时钟显示最后期限不到半天,疑似为支付赎金要求。若Freedman Healthcare不付款,World Leaks可能像之前对不愿谈判的受害者一样,在其泄密网站公布被盗数据。
https://cybernews.com/news/freedman-healthcare-ransomware-attack-data-27-state-public-health-departments/
2. 医疗服务公司Episource数据泄露影响540万人
6月18日,医疗保健公司Episource遭受网络攻击,导致数据泄露,超过540万人的个人和健康数据泄露。Episource是一家美国医疗服务和技术公司,主要为在Medicare Advantage、Medicaid和ACA市场运营的健康计划和医疗保健组织提供风险调整服务、临床数据分析和医疗记录审查解决方案。2025年2月6日,Episource检测到其系统中存在可疑活动,经调查发现,在1月27日至2月6日期间,一名威胁行为者访问并复制了数据。为应对此次安全漏洞,Episource迅速关闭系统,聘请专家团队协助调查,并联系了执法部门。截至目前,尚未发现数据被滥用的报告。此次泄露的数据因人而异,可能涵盖联系方式(如姓名、地址、电话号码和电子邮件)、健康保险信息(如健康计划/保单、保险公司、会员/团体ID号等)、医疗记录(如病历号、医生、诊断、药物等),在有限情况下还包括社会安全号码或出生日期。Episource自4月23日起开始通知客户可能受影响的个人和具体数据。尽管财务数据基本未受影响,但Episource仍建议个人监控健康、财务和税务记录中的可疑活动,并及时向相关机构报告异常情况。
https://securityaffairs.com/179115/data-breach/healthcare-services-company-episource-data-breach-impacts-5-4-million-people.html
3. 亲以黑客“掠食麻雀”窃取并烧毁Nobitex超9000万美元加密货币
6月18日,亲以色列的“掠食麻雀”(Predatory Sparrow)黑客组织对伊朗最大的加密货币交易所Nobitex发动了一次出于政治动机的网络攻击。Nobitex于美国东部时间凌晨2:24首次在X上报告了此次攻击,其技术团队检测到部分报告基础设施和热钱包被未经授权访问,随即暂停所有访问,内部安全团队展开调查。不久后,Predatory Sparrow通过其Gonjeshke Darande X账户宣称对此次攻击负责,并威胁公布Nobitex被盗的源代码和内部信息。据区块链分析公司Elliptic报告,超过9000万美元的加密货币从Nobitex钱包中被盗,但黑客并未试图据为己有,而是将几乎所有加密货币发送到嵌入了反伊斯兰共和国卫队(IRGC)信息的虚荣地址,这些地址需要大量计算能力才能生成,且创建如此长的字符串名称在计算上不可行,意味着黑客故意烧毁了加密货币,使其无法被再次访问。Elliptic指出,此次黑客攻击并非出于经济动机。此外,Elliptic的调查显示Nobitex与伊朗革命卫队和伊朗领导层有联系,其他研究人员也曾将该交易所与伊朗最高领袖亲属、革命卫队附属商业利益集团及受制裁个人联系起来,这些人据报道使用Nobitex转移勒索软件操作产生的资金。
https://www.bleepingcomputer.com/news/security/pro-israel-hackers-hit-irans-nobitex-exchange-burn-90m-in-crypto/
4. 俄现首例本土化NFC数据窃取攻击,SuperCard恶意软件现身
6月17日,俄罗斯网络安全研究人员发现首例本土化数据窃取攻击,攻击者利用经篡改的近场通信(NFC)合法软件实施犯罪,这或为更广泛攻击活动的测试阶段。此次攻击涉及的恶意软件为SuperCard,它是此前已知合法软件NFCGate的变种。NFCGate原本用于在邻近设备间中继传输NFC数据,但常被网络犯罪分子滥用以盗取银行资金。在先前针对欧洲银行的SuperCard攻击中,黑客通过被入侵的安卓手机,将受害者实体支付卡数据中继传输至攻击者控制的设备,进而实施ATM交易或直接转移账户资金。莫斯科网络安全公司F6在6月17日的报告中指出,SuperCard于2025年5月首次在俄罗斯境内针对安卓用户部署,而该恶意软件最初于同年4月在意大利被发现,当时意大利安全公司Cleafy披露其以恶意软件即服务(MaaS)形式分发,由“中文使用者”操作。攻击者通过社会工程手段诱骗受害者下载伪装成合法应用的SuperCard,该恶意软件能识别受害者使用的支付系统,进而支持犯罪分子实施欺诈交易。与以往基于NFCGate的恶意软件不同,SuperCard采用商业化分发策略,首次通过Telegram中文频道公开推广,采用订阅制销售并提供客户支持,广告宣称可针对美国、澳大利亚及欧洲主要银行的客户。
https://therecord.media/supercard-nfc-banking-malware-russia
5. 朝鲜BlueNoroff组织借Zoom深度伪造传播macOS恶意软件
6月18日,Huntress研究人员在调查合作伙伴网络可能遭受的入侵时,发现朝鲜高级持续性威胁组织BlueNoroff(又名Sapphire Sleet或TA444)发起的一次新攻击。该组织以使用Windows和Mac恶意软件进行加密货币盗窃攻击著称,此次攻击目标很可能是盗窃加密货币。攻击者通过Telegram假扮外部专业人士,向一家科技公司员工发送包含虚假Zoom域的Calendly链接,诱使其参加会议。会议中包含深度伪造的公司高层领导和外部参与者视频,以增加可信度。期间,攻击者以麦克风故障为由,引导受害者下载所谓的Zoom扩展程序,实为恶意AppleScript文件。该文件在解析大量空白行后,执行恶意命令,从外部来源下载并执行辅助有效载荷。Huntress在调查时发现,最终有效载荷虽已被提取,但在VirusTotal上找到了一个版本,提供了线索。该脚本会禁用bash历史记录,检查并安装Rosetta 2以确保x86_64负载运行,还会创建隐藏文件并下载负载。研究人员在被入侵主机上发现了八个不同的恶意二进制文件。此次攻击反映了BlueNoroff日益增长的复杂性,利用AI深度伪造进行社会工程和定制macOS恶意软件。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-deepfake-execs-in-zoom-call-to-spread-mac-malware/
6. GitHub恶意模组渗透《我的世界》,超1500名玩家中招
6月18日,Check Point公司研究人员发现一场针对《我的世界》玩家的多阶段恶意软件活动,该活动利用“Stargazers Ghost Network”这一分发即服务(DaaS)平台,使用基于Java的恶意软件传播。恶意软件假冒“脚本和宏工具”(作弊工具)Oringo和Taunahi,第一和第二阶段恶意程序均用Java开发,需在安装《我的世界》运行环境的主机上执行。攻击最终目的是诱骗玩家从GitHub下载《我的世界》模组,进而投放具有全面数据窃取能力的.NET信息窃取程序。该活动利用数千个GitHub帐户建立被污染的代码仓库,伪装成破解软件和游戏作弊工具。研究人员标记约500个GitHub仓库,观察到约70个帐户产生700个点赞。伪装成模组的恶意仓库会投放未被防病毒引擎检测到的Java加载器,实施反虚拟机和反分析技术,主要目的是下载并运行第二阶段窃取程序,最终获取并执行.NET窃取程序作为有效载荷。.NET窃取程序能从浏览器窃取凭证,收集文件、加密货币钱包等信息,并截取屏幕截图等,捕获信息通过Discord的Webhook传输回攻击者。研究人员怀疑活动由俄语威胁行为者发起,估计超1500台设备受害。
https://thehackernews.com/2025/06/1500-minecraft-players-infected-by-java.html
京公网安备11010802024551号