印度Sree Saran医疗中心超过15万患者的数据被出售

发布时间 2022-12-06
1、印度Sree Saran医疗中心超过15万患者的数据被出售

媒体12月2日称,某黑客正在出售印度泰米尔纳德邦Sree Saran医疗中心的患者数据。研究人员透露,此事件源于供应链攻击,医院的IT供应商Three Cube IT Lab首先遭到攻击。攻击者利用对供应商系统的访问权限,入侵医院的系统并窃取患者的PII和PHI信息。目前,这些数据在Telegram上出售。卖家发布的样本显示数据来自2007-2011年,其中包括15万条患者信息记录。

https://www.databreaches.net/in-hackers-selling-personal-data-of-150000-patients-from-a-tamil-nadu-hospital-in-supply-chain-attack/

2、AMI MegaRAC BMC中多个漏洞影响AMD和戴尔等厂商

据12月5日报道,American Megatrends MegaRAC Baseboard Management Controller(BMC)中的3个漏洞影响多个云服务和数据中心提供商使用的服务器。其中最严重的是Redfish API的任意代码执行漏洞(CVE-2022-40259),CVSS评分为9.9,但需要事先至少访问一个低权限帐户才能执行API回调。其次为可获得管理shell访问权限的漏洞(CVE-2022-40242)和枚举用户名并确定帐户是否存在的漏洞(CVE-2022-2827)。MegaRAC BMC固件被至少15家服务器制造商使用,包括AMD、Asus、ARM、Dell EMC、Huawei、Inspur和Lenovo等。

https://www.bleepingcomputer.com/news/security/severe-ami-megarac-flaws-impact-servers-from-amd-arm-hpe-dell-others/

3、巴西追债公司已向黑客组织Hive付50万美元的赎金

据媒体12月1日报道,总部位于巴西包鲁的一家追债公司已向黑客组织Hive付50万美元的赎金。该公司在巴西的马里利亚、阿古多斯和里贝朗普雷图设有另外3个办事处。SuspectFile的报告记录了该公司和攻击者的谈判过程。最初的赎金金额为700000美元,公司首先提出5万美元的报价,遭到断然拒绝。令人惊讶的是,仅仅9分钟后,该追债公司就同意支付50万美元。这家公司表示他不会通知执法部门,但尚不清楚其是否会通知受影响的人。

https://www.suspectfile.com/brazil-debt-collection-company-pays-500000-ransom-to-hacker-group-hive/

4、Lazarus团伙使用伪造的加密货币应用分发AppleJeus

12月3日报道称,Volexity观察到朝鲜黑客团伙Lazarus新一轮的攻击活动。该活动始于2022年6月,并至少持续到2022年10月。攻击者注册了域名bloxholder[.]com并建立了一个网站,该网站是合法的HaasOnline自动加密货币交易平台的克隆。攻击者使用该网站分发伪装成BloxHolder应用的Windows MSI安装程序,它实际上是与QTBitcoinTrader应用捆绑在一起的恶意软件AppleJeus。该活动还通过链式DLL侧加载,以从受信任的进程中加载恶意软件,从而绕过AV的检测。

https://securityaffairs.co/wordpress/139290/apt/lazarus-apt-bloxholder-campaign.html

5、HP Wolf Security发布2022年Q3威胁态势的分析报告

HP Wolf Security在12月1日发布了2022年Q3威胁态势的分析报告。报告指出,Q3有44%的恶意软件是通过存档文件分发的,比上一季度增长了11%,远高于通过Office文件分发的32%。该团队在这一季度发现了几个将存档文件与新的HTML走私技术相结合的攻击活动。此外,报告还描述了攻击者如何针对拉丁美洲的酒店行业分发隐蔽的恶意软件OpenDocument,并对最近的Magniber勒索软件活动进行了分析。

https://threatresearch.ext.hp.com/wp-content/uploads/2022/11/HP-Wolf-Security-Threat-Insights-Report-Q3-2022.pdf

6、AquaSec发布关于新恶意软件Redigo的分析报告

12月1日,AquaSec发布了关于新Redis后门恶意软件Redigo的分析报告。Redigo是基于Go的恶意软件,主要攻击存在漏洞(CVE-2022-0543)的Redis服务器。该漏洞与Lua脚本引擎中的沙箱逃逸有关,可用于远程执行代码,于2022年2月被发现并修复。攻击者通过扫描端口6379,来定位暴露的Redis服务器以建立初始访问,然后执行命令。恶意软件通过6379端口模拟正常的Redis通信,以绕过网络分析工具的检测,同时试图隐藏来自Redigo的C2服务器的流量。

https://blog.aquasec.com/redigo-redis-backdoor-malware