Clop勒索软件组织攻击哈佛大学并威胁泄露数据
发布时间 2025-10-141. Clop勒索软件组织攻击哈佛大学并威胁泄露数据
10月12日,Clop勒索软件组织在其Tor数据泄露网站为哈佛大学创建专属页面,宣称将泄露窃取的数据,并声称“数据存档进行中,种子链接即将推出”,同时指责哈佛忽视客户安全。该组织作为俄语勒索软件即服务(RaaS)的代表,自2019年2月首次出现以来,凭借其源自TA505犯罪集团(活跃自2014年)的背景,专注于“大型猎物”攻击与双重勒索策略,成为全球网络安全重大威胁。Clop的运作模式极具系统性:先通过零日漏洞或易受攻击的第三方软件(如MOVEit、GoAnywhere、Oracle EBS)侵入目标网络,窃取敏感数据并加密系统;随后将数据发布至暗网泄露网站,逼迫受害者支付赎金。其技术手段包括利用初始访问代理、自动化工具及复杂横向移动技术扩大攻击范围,同时规避俄语系统以避免本土执法打击。值得注意的是,该组织长期避开前苏联国家目标,且其恶意软件在俄语计算机上无法激活。
https://securityaffairs.com/183282/cyber-crime/clop-ransomware-group-claims-the-hack-of-harvard-university.html
2. 大规模跨国僵尸网络瞄准美国RDP服务
10月13日,近日,一个由超过10万IP地址组成的跨多国僵尸网络正对美国远程桌面协议(RDP)服务发起大规模攻击。该活动自10月8日启动,研究人员通过IP来源分析确认攻击源自多国僵尸网络集群。RDP作为Windows系统远程连接的核心协议,常被管理员、服务台及远程工作者使用,但开放端口易成为攻击目标。攻击者通常通过扫描开放端口、强制登录、利用漏洞或执行定时攻击实施入侵。本次攻击中,威胁监控平台GreyNoise发现僵尸网络主要采用两种RDP相关攻击手段:其一为“RD Web访问计时攻击”,通过探测RD Web端点并测量匿名认证流程的响应时间差异,推断有效用户名;其二为“RDP Web客户端登录枚举”,通过观察服务器行为及响应差异枚举用户账户。活动最初在巴西出现异常流量激增,随后迅速扩散至阿根廷、伊朗、中国、墨西哥、俄罗斯、南非、厄瓜多尔等全球多国,涉及设备受损国家已超100个。值得注意的是,几乎所有攻击IP地址均共享通用TCP指纹,尽管最大段大小(MSS)存在差异,但研究人员认为这源于僵尸网络集群的构成特性。
https://www.bleepingcomputer.com/news/security/massive-multi-country-botnet-targets-rdp-services-in-the-us/
3. 美国医学成像巨头SimonMed遭Medusa勒索软件攻击
10月13日,美国医学成像提供商SimonMed Imaging近日向超120万名个人发出数据泄露通知,揭示其遭遇的严重网络安全事件。该公司作为美国11个州约170家医疗中心的运营方,年收入超5亿美元,提供MRI、CT、X射线等全系列医学影像服务。事件始于2025年1月21日至2月5日期间,黑客入侵SimonMed系统并访问公司网络。1月27日,其供应商首先报告安全事件,次日SimonMed确认网络存在可疑活动。公司随即启动应急响应,包括重置密码、部署多因素认证(MFA)、添加端点检测与响应(EDR)监控、限制第三方访问权限,并限制网络流量至可信连接。同时,公司向执法部门及数据安全专家通报情况。据Medusa勒索软件声明,其窃取了212GB数据,包含身份证扫描件、患者详细信息、付款记录、账户余额、医疗报告及原始扫描件等敏感内容。该团伙要求支付100万美元赎金及每日1万美元延期费,否则将公开全部数据。
https://www.bleepingcomputer.com/news/security/simonmed-says-12-million-patients-impacted-in-january-data-breach/
4. Unity Technologies SpeedTree网站遭恶意代码攻击
10月13日,视频游戏软件开发公司Unity Technologies披露其SpeedTree网站结账页面存在恶意代码,导致数百名客户敏感信息泄露。经调查,该恶意代码自2025年3月13日起便被植入网站,直至8月26日被发现后立即删除,期间持续窃取用户在购买过程中输入的敏感数据。此次事件影响范围明确,涉及2025年3月13日至8月26日期间通过SpeedTree网站购物的428名客户。泄露信息包括客户姓名、地址、电子邮件、信用卡号及访问代码等高度敏感数据。根据Unity Technologies向缅因州总检察长提交的数据泄露通知,该恶意代码未经授权,可能允许攻击者获取用户在结账页面输入的上述信息。为应对此次安全事件,Unity Technologies迅速采取多项措施:关闭受感染的SpeedTree网站以阻断攻击路径,全面审查受影响文件以评估损失范围,并主动通知受影响客户及监管部门。同时,公司加强了网络安全防护措施,以防止类似事件再次发生。作为补救措施,Unity Technologies通过Equifax为受影响个人提供为期12个月的免费信用监控和身份保护服务,以降低身份盗窃和欺诈风险。
https://securityaffairs.com/183349/data-breach/customer-payment-data-stolen-in-unity-technologiess-speedtree-website-compromise.html
5. SonicWall SSLVPN账户遭大规模凭证窃取攻击
10月13日,研究人员近日警告,威胁行为者通过窃取的有效凭证发起大规模攻击,入侵了超过100个SonicWall SSLVPN账户。此次攻击活动自10月4日起在托管网络安全平台Huntress监测的16个客户环境中集中爆发,至10月10日仍持续进行,涉及100余个账户的异常访问。攻击者利用窃取的凭证快速验证多个账户身份,在部分案例中会进一步执行网络扫描并尝试访问本地Windows账户,实施横向渗透。Huntress研究人员指出,攻击的速度与规模表明攻击者掌握的是有效凭证而非通过暴力破解获取。尽管攻击者可能解码了SonicWall云备份中加密的防火墙配置文件,但实际获取的凭证和密钥仍以AES-256加密形式存在,直接利用价值受限。此次事件与SonicWall近期暴露的云备份漏洞无直接关联,该漏洞虽导致防火墙配置文件泄露,但其中凭证已单独加密。然而,攻击仍暴露出SSLVPN账户的安全隐患。
https://www.bleepingcomputer.com/news/security/sonicwall-vpn-accounts-breached-using-stolen-creds-in-widespread-attacks/
6. NPM基础设施遭滥用引发大规模网络钓鱼攻击
10月13日,网络安全研究人员近日揭露,威胁行为者正通过滥用合法的NPM软件包基础设施发起新型网络钓鱼攻击,该活动突破传统供应链攻击模式,已波及全球135个能源、工业设备及技术领域组织。此次攻击以“Beamglea”活动为核心,恶意软件包采用“redirect-[a-z0-9]{6}”格式命名,通过NPM发布后,由CDN服务unpkg.com提供恶意HTML文件分发。攻击链条设计精密:威胁行为者首先向目标受害者发送伪装成采购订单、技术文档的HTML附件,当受害者在浏览器中打开文件时,内嵌的恶意JavaScript代码会从unpkg.com加载,并立即将用户重定向至钓鱼页面。该页面会预先填写受害者邮箱地址,营造“合法登录门户”假象以诱骗凭证输入。安全公司Socket监测显示,此类恶意软件包数量已超175个,累计下载量超26,000次,尽管部分下载来自安全研究人员或自动化扫描工具。目标组织包括ArcelorMittal、ThyssenKrupp Nucera、D-Link等跨国企业,攻击范围集中在西欧国家,同时延伸至北欧和亚太地区。
https://www.securityweek.com/npm-infrastructure-abused-in-phishing-campaign-aimed-at-industrial-and-electronics-firms/
京公网安备11010802024551号