一、 威胁通告
- 微软7月安全更新多个产品高危漏洞通告(CVE-2022-22047、CVE-2022-22038、CVE-2022-22029)
【发布时间】2022-07-14 00:00:00 GMT
【概述】
7月13日,绿盟科技CERT监测到微软发布7月安全更新补丁,修复了84个安全问题,涉及Windows、Microsoft Office、Windows Print Spooler Components、Windows Hyper-V、Azure Site Recovery等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有4个,重要(Important)漏洞有80个,其中包括1个0day漏洞.请相关用户尽快更新补丁进行防护,完整漏洞列表请参考附录。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
- PFC遭勒索软件攻击导致191万患者信息被泄露
【概述】
PFC(Professional Finance Company,Inc.)是一家总部位于美国科罗拉多州的债务催收公司,和“数千家”机构合作处理客户和病人的未付账单和未偿余额。在 7 月 1 日,官方发布新闻稿承认过去数月持续遭到勒索软件,最早可以追溯到今年 2 月。PFC 虽然在美国的知名度并不高,但它服务于数百家美国医院和医疗机构,因此本次勒索攻击可能成为今年美国历史上最大规模的私人和健康信息泄露事件。PFC 表示本次数据泄漏将影响 650 家医疗提供商,黑客获取了患者名称、家庭住址、尚未偿还的结算金额和其他金融信息。PFC 表示部分数据还涉及患者的出生日期、身份证号码、医疗保险、药物救治等信息。在提交给美国卫生与公众服务部的文件中,PFC 确认本次勒索软件攻击至少影响了 191 万患者。至少两家采用 PFC 系统的医疗机构出现了数据泄露,位于美国 Delaware 的 Bayhealth Medical Center 有 17481 名患者数据泄漏,在 Texas 的 Bayhealth Medical Center 有 1159 名患者信息被泄漏。
【参考链接】
https://ti.nsfocus.com/security-news/IlNFP
- 巴基斯坦黑客利用最新的恶意软件对印度学生发起网络攻击
【概述】
至少自 2021 年 12 月以来,名为透明部落的高级持续性威胁 (APT) 组织被归因于针对印度各教育机构学生的新的持续网络钓鱼活动。研究人员的一份报告中说道这项新活动还表明 APT 正在积极扩大其受害者网络,以包括平民用户。还以 APT36、C-Major 行动、PROJECTM、Mythic Leopard 的绰号进行追踪,透明部落演员被怀疑是巴基斯坦血统,并且已知会使用 CrimsonRAT、ObliqueRAT 等自定义恶意软件袭击印度和阿富汗的政府实体和智囊团和 CapraRAT。但是,总部位于印度的 K7 Labs 于 2022 年 5 月首次观察到针对教育机构和学生的攻击,表明它偏离了对手的典型重点。针对教育部门的最新目标可能与民族国家间谍活动的战略目标一致,APT 将经常针对大学和技术研究组织的个人,以便建立长期访问与正在进行的研究项目相关的数据的访问权限。这家网络安全公司记录的攻击链涉及通过鱼叉式网络钓鱼电子邮件将恶意文档作为附件或指向远程位置的链接发送给目标,最终导致部署 CrimsonRAT。
【参考链接】
https://ti.nsfocus.com/security-news/IlNFM
- 黑客组织对医疗保健与公卫组织进行Maui勒索软件攻击
【概述】
近年来,医疗系统遭遇网络攻击的事件时有发生,勒索软件攻击屡见不鲜。以2020年为例,医疗卫生行业遭受网络攻击数量同比增长5倍,占据全球APT活动事件的23.7%,医疗行业网络安全建设长期面临挑战。上周四(7月7日),美国网络安全及基础设施安全局(CISA)、联邦调查局(FBI)与美国财政部于发布了联合网路安全通报(Joint Cybersecurity Advisory),警告自去年5月以来就发现由朝鲜政府支持的黑客集团,正锁定医疗保健与公卫(Healthcare and Public Health,HPH)组织发动Maui勒索软件攻击。研究人员表示,黑客集团利用Maui来加密HPH组织各项服务的伺服器,涵盖电子病历服务、诊断服务、影像服务,以及内部网路服务等,某些案例甚至让受到攻击的服务很久才复原。网络安全公司也在本周公布了Maui勒索软件的研究报告,表示这是个少见的勒索软件家族,缺乏一般勒索软件即服务(RaaS)所应具备的工具,例如在勒索信中嵌入复原指示,或是可自动将加密金钥传给骇客的工具等。相反的,研究人员相信骇客是手动执行Maui攻击,指定了攻击时所要加密的档案。
【参考链接】
https://ti.nsfocus.com/security-news/IlNF5
- 迪肯大学学生遭受Smishing攻击导致数据泄露
【概述】
维多利亚州迪肯大学的官员表示,他们将事件的起源追溯到一名工作人员的被黑账户。被盗数据包括学生姓名、身份证、手机号码和大学电子邮件地址。近 10,000 名学生还收到了带有链接的欺诈性短信,该链接要求提供信用卡信息,据称是为了支付包裹的海关费用。已经通知了占学生人数约 15% 的 smishing 袭击的受害者。周日,黑客入侵了该大学第三方 SMS 解决方案提供商的员工登录凭证,迪肯在一次在线疏忽中表示。该大学表示,它阻止了更多学生的攻击,但尚不清楚威胁行为者可以访问第三方系统多长时间,或者他们如何破坏工作人员的登录凭据。该大学表示,维州信息专员办公室和第三方网络安全提供商正在协助调查。它还增强了安全协议以防止再次发生。
【参考链接】
https://ti.nsfocus.com/security-news/IlNFL
- 攻击者利用新的勒索软件Lilith泄露用户数据
【概述】
Lilith 病毒是勒索软件威胁的名称。这种恶意软件的主要目标是访问您的计算机,以便它可以开始加密您的信息。这样做是为了让病毒通过勒索信勒索您,以便从您那里获得金钱。如果 Lilith 病毒的受害者希望重新访问他们的数据,他们需要以比特币的形式支付一大笔钱。研究人员发现 Lilith是一种基于控制台的勒索软件,用 C/C++ 编写,用于 64 位版本的 Windows。研究人员表示就像今天启动的大多数勒索软件操作一样,从事双重勒索攻击。这是指威胁参与者在加密设备之前获取数据的做法。一个名为“Lilith”的新勒索软件活动已经启动,它已经在一个数据泄露网站上发布了第一个受害者的信息,该网站旨在促进双重勒索攻击。
【参考链接】
https://ti.nsfocus.com/security-news/IlNFN
- 北美IT服务巨头遭恶意软件攻击,官网等多个系统下线
【概述】
总部位于新泽西州的信息技术 (IT) 产品和服务提供商已证实,在上周末,其网络遭受到恶意软件攻击。提供商声称是北美最大的IT解决方案提供商之一,2021年的收入为123亿美元,在美国、英国和荷兰的运营中心在全球拥有 5,000 名员工。它还表示,它为全球超过 15,000 家企业、企业、公共部门和学术客户组织提供服务。针对本次专业恶意软件攻击事件,提供商在一份声明中讲道,在7月4日美国国庆日假期的周末,SHI 成为了专业恶意软件协同攻击的目标。由于 SHI 的安全性和 IT 团队的快速反应,该事件被迅速发现并采取了相应的措施,从而将本次攻击对 SHI 系统和运营的影响降到了最低。攻击发生后,SHI 还在其网站上添加了一条消息,警告客户和访问者,由于“持续中断”,其信息系统正在进行维护。该消息后来被公司博客上发布的恶意软件攻击声明所取代。
【参考链接】
https://ti.nsfocus.com/security-news/IlNEW
- 黑客利用虚假的LinkedIn工作机会从Axie Infinity窃取了25 亿美元
【概述】
今年 3 月初,支持著名加密游戏 Axie Infinity 和 Axie DAO 的区块链网络 Ronin Network (RON) 遭受了迄今为止报告的针对去中心化金融网络的最大加密黑客攻击。2022 年 5 月,美国发布公告称,来自朝鲜的高技能黑客正试图通过冒充 IT 自由职业者的方式获得工作。现在,据透露,Axie Infinity 黑客是社会工程,其中朝鲜政府支持的黑客组织 Lazarus 使用虚假的工作机会通过向该公司的一名员工发送包含间谍软件的 PDF 文件来渗透 Sky Mavis 的网络。Lazarus 参与如此引人注目的黑客攻击并不令人意外。2022 年 1 月,来自不同加密安全公司的研究人员得出结论,朝鲜黑客迄今已从全球加密货币交易所窃取了 13 亿美元,而他们在这些黑客行为中的主要嫌疑人是臭名昭著的 Lazarus 团伙。
【参考链接】
https://ti.nsfocus.com/security-news/IlNES
- 黑客对欧洲央行行长 Christine Lagarde进行网络攻击
【概述】
欧洲央行行长Christine Lagarde遭到了一次未遂的网络攻击。欧洲央行透露,黑客攻击是最近发生的,但好消息是,欧洲央行的专家能够发现并阻止它。总部位于法兰克福、负责19个欧元区国家的央行在回复《商业内幕》一篇报道询问的电子邮件中表示:“这一尝试是最近进行的。”该行补充称,“很快就被发现并叫停了”,但在调查中没有更多可说的。据《商业内幕》报道,黑客试图通过从德国前总理Angela Merkel的手机号码向她发送短信来入侵Lagarde的移动设备。此次攻击之所以失败,是因为Lagarde对这条消息持怀疑态度,并通过电话联系了Merkel。黑客有兴趣接管各种消息服务(包括WhatsApp)上各种知名人士的账户。
【参考链接】
https://ti.nsfocus.com/security-news/IlNFz
- Kaiser医疗集团泄露了近7万份医疗记录
【概述】
Kaiser 公司本月早些时候透露,由于4月5日的电子邮件泄露事件,该公司遭受了一次大规模的数据泄露,可能泄露了近7万名患者的医疗记录。该公司在6月3日给受影响客户的一封信中透露,攻击者获得了华盛顿Kaiser基金会健康计划公司一名雇员的电子邮件的访问权限,其中包含大量的受保护的健康信息。攻击者一直未授权访问该邮箱长达数个小时,之后凯撒公司发现了这一攻击活动,并迅速开始调查并且确定事件的范围。然而,即使是凯撒公司也无法完全确定该攻击者是否因该漏洞而获得了客户的个人健康信息,尽管该公司承认无法完全排除这种可能性。到目前为止,该公司表示,还没有任何证据能够表明攻击者盗窃或滥用受保护的健康信息是由于漏洞引起的。
除了凯撒公司自己的调查外,美国卫生与公众服务部民权办公室目前也在调查这一事件,根据其网站上公布的信息,该事件影响了69,589个人。
【参考链接】
https://ti.nsfocus.com/security-news/IlNFk
- 攻击者利用新的0mega勒索软件对企业进行双重勒索攻击
【概述】
根基网站披露,一个名为“0mega”的新勒索软件正在针对全球组织进行双重勒索攻击,并要求受害企业支付数百万美元赎金。经研究人员分析后发现,0mega 是 2022 年 5 月出现的一项新勒索软件,自那时以来已经攻击了许多受害者。目前,研究人员还没有发现 0mega 操作的勒索软件样本,因此没有太多关于文件如何被加密的信息。但是,研究人员发现该勒索软件在加密文件的名称上附加了.0mega 扩展名,并创建了名为 DECRYPT-FILES.txt 的赎金记录。这些赎金记录一般是针对每个受害者量身定制,通常包含公司名称和描述攻击中被盗的不同类型数据。此外,一些记录中还包含威胁信息,表示如果受害者公司不支付赎金,0mega 团伙将会向其商业伙伴和贸易协会透露攻击情况。
【参考链接】
https://ti.nsfocus.com/security-news/IlNF6
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。