医疗科技公司Doctor Alliance遭勒索攻击
发布时间 2025-11-121. 医疗科技公司Doctor Alliance遭勒索攻击
11月10日,近日,一家为医生提供计费服务的医疗技术公司Doctor Alliance遭遇网络犯罪分子勒索攻击。攻击者在热门数据泄露论坛上宣称,已窃取该公司超过120万条敏感医疗记录,并威胁若不支付赎金将公开这些数据。被盗数据涵盖诊断结果、体检总结、处方、治疗方案、医院医嘱等核心医疗信息,同时包含患者姓名、家庭住址、电话号码、健康保险索赔记录、医生姓名等个人身份信息。安全研究团队对攻击者提供的200MB数据样本进行分析后确认,其中充斥着大量无法恢复的医疗和生物识别数据。此类数据泄露将带来多重风险:攻击者可利用患者身份信息进行医疗身份盗窃,冒充受害者获取处方药或医疗服务,甚至通过社交工程攻击医生和患者;若涉及患者病史,还可能引发敲诈勒索。与密码或信用卡不同,医疗记录一旦泄露无法通过更改恢复,导致风险长期存在。
https://cybernews.com/security/doctor-alliance-breach-allegedly-exposes-patients-health-data/
2. Triofox高危漏洞被利用实现全链攻击与权限提升
11月11日,谷歌Mandiant团队披露,Triofox平台存在严重漏洞CVE-2025-12480(CVSS评分9.1),攻击者通过该漏洞绕过身份验证,利用防病毒功能上传并执行远程访问工具。Mandiant追踪发现,威胁集群UNC6485早在2025年8月24日便利用此漏洞,结合防病毒功能实现代码执行,形成“身份绕过-账户创建-脚本执行-权限提升”的完整攻击链。技术细节显示,攻击者通过伪造HTTP主机头为“localhost”,绕过Triofox对AdminAccount.aspx等管理页面的访问控制,利用GladPageUILib.dll中CanRunCriticalPage()函数的逻辑缺陷,在安装过程中创建“集群管理员”账户。随后,通过防病毒功能上传恶意批处理文件,该文件在文件上传至共享文件夹时被触发,以SYSTEM权限执行PowerShell下载器,下载伪装成SAgentInstaller的恶意程序,静默安装Zoho UEMS,并部署Zoho Assist和AnyDesk实现远程访问。攻击者进一步枚举SMB会话和用户账户,尝试修改密码并提升权限至本地/域管理员,同时通过端口443建立SSH反向隧道,将本地RDP服务转发至攻击者控制主机,形成持久化访问通道。Mandiant强调,尽管修复版本16.7.10368.56560已发布,但建议用户升级至最新版本,并审核管理员账户以检测异常创建。
https://securityaffairs.com/184439/hacking/critical-triofox-bug-exploited-to-run-malicious-payloads-via-av-configuration.html
3. ClickFix网络钓鱼攻击利用PureRAT瞄准酒店系统
11月10日,网络安全研究人员近日披露,一场针对酒店业的大规模钓鱼攻击活动自2025年4月持续至10月初,由法国安全公司Sekoia深度分析。攻击者通过入侵合法邮箱账户,向酒店经理发送仿冒Booking.com的钓鱼邮件,诱导其点击伪装成reCAPTCHA验证的ClickFix社交工程页面。该页面采用复杂重定向机制,最终触发恶意PowerShell命令,下载含DLL旁加载技术的ZIP压缩包,激活模块化木马PureRAT。PureRAT具备全方位监控功能,包括键盘记录、远程控制、摄像头捕获及文件窃取,并通过.NET Reactor混淆保护,利用注册表实现持久化驻留。攻击得手后,犯罪分子进一步利用窃取的酒店预订平台账户,通过WhatsApp或邮件联系真实客户,以“确认预订信息”为名诱导其进入仿冒的Booking.com或Expedia页面,窃取银行卡信息。调查发现,犯罪团伙从LolzTeam等黑客论坛购买Booking.com管理员账户信息,甚至按利润分成招募分销专家。Sekoia观察到专门交易预订平台日志的Telegram机器人及提供人工验号服务的黑产供应链。
https://thehackernews.com/2025/11/large-scale-clickfix-phishing-attacks.html
4. Maverick恶意软件劫持浏览器会话,瞄准巴西最大银行
11月11日,安全研究员发现,两款针对巴西银行用户的.NET恶意软件Coyote与Maverick存在显著关联性。CyberProof报告显示,二者均具备银行URL定向、应用监控及WhatsApp网页版传播能力。Maverick由趋势科技首次记录的"水萨西"(Water Saci)攻击活动推出,包含自传播组件SORVEPOTEL,通过WhatsApp桌面版扩散含恶意ZIP包。该木马监控浏览器标签页,识别拉丁美洲金融机构URL后连接远程服务器,推送钓鱼页面窃取凭证。Sophos分析指出,Maverick可能是Coyote的升级版,卡巴斯基则发现二者存在大量代码重叠,但将其视为巴西新威胁。CyberProof最新调查揭示,ZIP文件中的LNK文件启动后会连接外部服务器下载有效载荷,禁用微软Defender和UAC,加载具备反分析技术的.NET加载器,最终部署SORVEPOTEL和Maverick。值得注意的是,Maverick仅在确认受害者位于巴西后安装,且攻击目标已扩展至巴西酒店。
https://thehackernews.com/2025/11/whatsapp-malware-maverick-hijacks.html
5. Rhadamanthys信息窃取行动遭执法中断
11月11日,近日,网络安全研究人员g0njxa和Gi7w0rm监测到,名为Rhadamanthys的信息窃取恶意软件即服务(MaaS)行动已遭中断,其"客户"普遍报告无法访问服务器。该恶意软件通过订阅模式运营,网络犯罪分子需每月向开发者支付费用以获取软件、技术支持及用于收集被盗数据的网络面板访问权限。其传播途径包括伪装成软件破解程序、YouTube视频或恶意搜索广告,主要窃取浏览器、电子邮件客户端等应用程序的凭据和身份验证cookie。据黑客论坛用户反馈,部分客户发现Rhadamanthys网络面板的SSH访问权限被改为证书登录模式,需重新安装服务器并清除痕迹,德国警方已介入调查。开发者推测德国执法部门为幕后黑手,因网络面板在中断前曾有德国IP地址登录记录。同时,该行动的Tor洋葱网站也已离线,但未显示警方查封横幅,具体幕后操纵者仍待确认。此次中断可能与"终局行动"(Operation Endgame)有关。该执法行动自启动以来,已对多个恶意软件基础设施造成破坏。
https://www.bleepingcomputer.com/news/security/rhadamanthys-infostealer-disrupted-as-cybercriminals-lose-server-access/
6. 英国国民医疗服务体系NHS UK遭Clop勒索攻击
11月11日,勒索软件组织Clop在其暗网网站宣称对英国国家医疗服务体系(NHS UK)数据泄露负责,指责其“漠视客户安全”。该组织利用Oracle E-Business Suite(EBS)中的CVE-2025-61882漏洞(CVSS评分9.8)实施攻击,该漏洞于2025年10月4日由Oracle发布紧急补丁修复,但利用行为早于补丁发布,自2025年8月起,攻击者便针对EBS 12.2.3至12.2.14版本中的BI Publisher模块发起攻击,通过未经身份验证的远程访问窃取数据。漏洞传播因2025年10月3日Scattered Lapsus$ Hunters泄露概念验证代码而加速,促使Cl0p、FIN11等威胁行为者扩大攻击范围。建议受影响组织立即安装2025年10月补丁,追溯至8月的取证审查,并监控可疑IP。此次攻击波及哈佛大学、美国航空子公司Envoy等机构,目标直指依赖EBS进行财务、人力资源及供应链管理的企业。
https://hackread.com/cl0p-ransomware-nhs-uk-washington-post-breach/
京公网安备11010802024551号