Rhysida团伙攻击美国医疗机构PMH并勒索130万美元
发布时间 2023-08-29据媒体8月27日报道,美国医疗保健公司Prospect Medical Holdings(PMH)遭到了勒索团伙Rhysida的攻击。攻击发生在8月3日,PMH员工称在电脑上发现勒索信。之后该医院关闭了IT系统以防止攻击在内网横向移动,并被迫使用纸质病例。Rhysida表示对此事负责,并称他们获得了1TB的文档和一个1.3TB的SQL数据库,其中包含500000个社会安全号码、护照、驾驶执照、公司文件和患者的记录,还威胁要以50个比特币(价值130万美元)的价格出售被盗数据。
https://www.bleepingcomputer.com/news/security/rhysida-claims-ransomware-attack-on-prospect-medical-threatens-to-sell-data/
2、某供应商遭到攻击导致伦敦警局近5万员工的信息泄露
据8月27日报道,伦敦大都会警察局正在调查关于其47000名警官和工作人员的信息泄露事件。泄露数据包括姓名、照片、军衔、审查级别和身份证号等。此次数据泄露是由于负责打印授权卡和员工通行证的承包商的IT系统遭到攻击导致的。目前尚不清楚攻击者是出于经济动机,还是专门窃取警察和工作人员的信息。由于担心泄露数据被有组织的攻击团伙利用,国家犯罪局(NCA)已被要求调查此次数据泄露事件。
https://therecord.media/metropolitan-police-data-leak-hackers-uk
3、微软披露Flax Typhoon针对中国台湾企业的攻击活动
8月24日,微软披露了Flax Typhoon针对中国台湾地区的攻击活动。Flax Typhoon自2021年中期以来一直活跃,主要针对中国台湾的政府机构以及教育、关键制造和信息技术相关企业。攻击者首先通过面向公众的服务器(包括VPN、Web、Java和SQL应用)中的漏洞和China Chopper等Web shell获得初步访问权限。然后使用命令行工具建立持久访问,部署VPN连接到攻击者的基础设施,最后从目标系统收集凭据。微软称,Flax Typhoon主要依赖于离地攻击技术(living-off-the-land)和键盘攻击。
https://www.microsoft.com/en-us/security/blog/2023/08/24/flax-typhoon-using-legitimate-software-to-quietly-access-taiwanese-organizations/
4、Lazarus利用ManageEngine中漏洞攻击医疗保健等行业
8月24日,Cisco Talos称其发现了Lazarus Group的攻击活动,利用了Zoho ManageEngine ServiceDesk漏洞(CVE-2022-47966)。研究人员表示,Lazarus在PoC公开披露仅5天后就开始使用该漏洞。攻击活动始于今年年初,主要针对欧洲和美国的关键基础设施组织和医疗保健机构,旨在分发恶意软件QuiteRAT和CollectionRAT。QuiteRAT似乎是Lazarus在2022年使用的MagicRAT的升级版,而CollectionRAT似乎与Andariel的EarlyRAT有关,Andariel被认为是Lazarus的一个子机构。
https://blog.talosintelligence.com/lazarus-quiterat/
5、Cl0p大规模攻击活动已经影响至少1000个企业和6000万人
媒体8月28日称,Emsisoft分享了关于勒索团伙Cl0p针对MOVEit Transfer文件传输平台攻击活动的细节。截至8月25日,此次大规模攻击活动已影响约1007个企业和60144069个人。其中,美国占比83.9%,其次是德国(3.6%)、加拿大(2.6%)和英国(2.1%)。受影响最严重的是金融与服务行业和教育行业,分别占事件总数的24.3%和26.0%。根据IBM的2023年数据泄露成本报告中的数据估算,该事件造成的成本为9923771385美元。
https://securityaffairs.com/149921/hacking/massive-moveit-campaign-campaign.html
6、研究人员发布针对Juniper SRX防火墙漏洞的PoC
8月28日报道称,研究人员发布了Juniper SRX防火墙中漏洞的PoC。8月中旬,Juniper修复了影响EX交换机和SRX防火墙的四个漏洞(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847)。watchTowr发布的PoC利用了身份验证上传漏洞(CVE-2023-36846)将任意PHP文件上传到具有随机文件名的受限目录,还上传了PHP配置文件。然后利用PHP外部变量修改漏洞(CVE- 2023-36845)覆盖环境变量PHPRC并加载PHP配置文件,以触发执行最初上传的PHP文件。
https://securityaffairs.com/149990/hacking/poc-exploit-juniper-srx-firewall-flaws.html
京公网安备11010802024551号