維他命每日安全簡訊(2023.08.29)

1、Rhysida團伙攻擊美國醫療機構PMH並勒索130萬美元

據媒體8月27日報道,美國醫療保健公司Prospect Medical Holdings(PMH)遭到了勒索團伙Rhysida的攻擊。攻擊發生在8月3日,PMH員工稱在電腦上發現勒索信。之後該醫院關閉了IT系統以防止攻擊在內網橫向移動,並被迫使用紙質病例。Rhysida表示對此事負責,並稱他們獲得了1TB的文件和一個1.3TB的SQL資料庫,其中包含500000個社會安全號碼、護照、駕駛執照、公司檔案和患者的記錄,還威脅要以50個比特幣(價值130萬美元)的價格出售被盜資料。

https://www.bleepingcomputer.com/news/security/rhysida-claims-ransomware-attack-on-prospect-medical-threatens-to-sell-data/

2、某供應商遭到攻擊導致倫敦警局近5萬員工的資訊洩露

據8月27日報道,倫敦大都會警察局正在調查關於其47000名警官和工作人員的資訊洩露事件。洩露資料包括姓名、照片、軍銜、審查級別和身份證號等。此次資料洩露是由於負責列印授權卡和員工通行證的承包商的IT系統遭到攻擊導致的。目前尚不清楚攻擊者是出於經濟動機,還是專門竊取警察和工作人員的資訊。由於擔心洩露資料被有組織的攻擊團伙利用,國家犯罪局(NCA)已被要求調查此次資料洩露事件。

https://therecord.media/metropolitan-police-data-leak-hackers-uk

3、微軟披露Flax Typhoon針對台灣企業的攻擊活動

8月24日,微軟披露了Flax Typhoon針對台灣的攻擊活動。Flax Typhoon自2021年中期以來一直活躍,主要針對台灣的政府機構以及教育、關鍵製造和資訊技術相關企業。攻擊者首先通過面向公眾的伺服器(包括VPN、Web、Java和SQL應用)中的漏洞和China Chopper等Web shell獲得初步訪問許可權。然後使用命令列工具建立持久訪問,部署VPN連接到攻擊者的基礎設施,最後從目標系統收集憑據。微軟稱,Flax Typhoon主要依賴於離地攻擊技術(living-off-the-land)和鍵盤攻擊。

https://www.microsoft.com/en-us/security/blog/2023/08/24/flax-typhoon-using-legitimate-software-to-quietly-access-taiwanese-organizations/

4、Lazarus利用ManageEngine中漏洞攻擊醫療保健等行業

8月24日,Cisco Talos稱其發現了Lazarus Group的攻擊活動,利用了Zoho ManageEngine ServiceDesk漏洞(CVE-2022-47966)。研究人員表示,Lazarus在PoC公開披露僅5天后就開始使用該漏洞。攻擊活動始於今年年初,主要針對歐洲和美國的關鍵基礎設施組織和醫療保健機構,旨在分發惡意軟體QuiteRAT和CollectionRAT。QuiteRAT似乎是Lazarus在2022年使用的MagicRAT的升級版,而CollectionRAT似乎與Andariel的EarlyRAT有關,Andariel被認為是Lazarus的一個子機構。

https://blog.talosintelligence.com/lazarus-quiterat/

5、Cl0p大規模攻擊活動已經影響至少1000個企業和6000萬人

媒體8月28日稱,Emsisoft分享了關於勒索團伙Cl0p針對MOVEit Transfer檔案傳輸平臺攻擊活動的細節。截至8月25日,此次大規模攻擊活動已影響約1007個企業和60144069個人。其中,美國佔比83.9%,其次是德國(3.6%)、加拿大(2.6%)和英國(2.1%)。受影響最嚴重的是金融與服務行業和教育行業,分別佔事件總數的24.3%和26.0%。根據IBM的2023年資料洩露成本報告中的資料估算,該事件造成的成本為9923771385美元。

https://securityaffairs.com/149921/hacking/massive-moveit-campaign-campaign.html

6、研究人員發佈針對Juniper SRX防火牆漏洞的PoC

8月28日報道稱,研究人員發佈了Juniper SRX防火牆中漏洞的PoC。8月中旬,Juniper修復了影響EX交換機和SRX防火牆的四個漏洞(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847)。watchTowr發佈的PoC利用了身份驗證上傳漏洞(CVE-2023-36846)將任意PHP檔案上傳到具有隨機檔案名的受限目錄,還上傳了PHP配置檔案。然後利用PHP外部變數修改漏洞(CVE- 2023-36845)覆蓋環境變數PHPRC並載入PHP配置檔案,以觸發執行最初上傳的PHP檔案。

https://securityaffairs.com/149990/hacking/poc-exploit-juniper-srx-firewall-flaws.html

安全動態

Rackspace應對勒索軟體攻擊的成本高達1000萬美元

https://www.databreaches.net/rackspaces-costs-to-deal-with-ransomware-attack-top-10-million/

間諜軟體WebDetetive被黑並將受害者的設備從伺服器刪除

https://techcrunch.com/2023/08/26/brazil-webdetetive-spyware-deleted/

解碼最新的Linux和ESXi勒索軟體系列

https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families/

思科修復NX-OS和FXOS軟體中的3個漏洞

https://securityaffairs.com/149906/security/cisco-nx-os-and-fxos-software-flaws.html

數百個利用洩露的LockBit構建器的變體

https://thehackernews.com/2023/08/lockbit-30-ransomware-builder-leak.html

Rockwell ThinManager漏洞可能使工業HMI遭受攻擊

https://www.securityweek.com/rockwell-thinmanager-vulnerabilities-could-expose-industrial-hmis-to-attacks/

ADHUBLLKA勒索軟體家族

https://netenrich.com/blog/discovering-the-adhubllka-ransomware-family

新的Telegram機器人Telekopye

https://thehackernews.com/2023/08/new-telegram-bot-telekopye-powering.html

web check – 分析網站的一體化OSINT工具

https://github.com/Lissy93/web-check

ICO呼籲社交媒體公司保護使用者資料

https://www.bleepingcomputer.com/news/security/ico-calls-on-social-media-firms-to-protect-users-data-from-scraping/

相關文章

CNNVD 通報微軟多個安全漏洞

CNNVD 通報微軟多個安全漏洞

近日,CNNVD(國家資訊安全漏洞庫)正式通報微軟多個安全漏洞,其中微軟產品本身漏洞77個,影響到微軟產品的其他廠商漏洞8個。包括Micro...

CNNVD通報Oracle多個安全漏洞

CNNVD通報Oracle多個安全漏洞

近日,CNNVD通報Oracle多個安全漏洞,其中Oracle產品本身漏洞60個,影響到Oracle產品的其他廠商漏洞247個。包括Orac...

維他命每日安全簡訊(2023.06.25)

維他命每日安全簡訊(2023.06.25)

1、Pilot Credentials被黑洩露美國航空和西南航空部分資訊 據媒體6月24日報道,全球最大的兩家航空公司美國航空和西南航空披露...