安全事件周报 (09.13(10)

2022年9 月 9 日,纽约Empress EMS联系 HHS 报告了一起影响 318,558 名患者的事件。根据他们网站上的通知,未经授权的个人于 5 月 26 日访问了他们的系统,并于 7 月 13 日复制了他们所说的“一小部分文件”。7 月 14 日,Empress 在他们的文件被加密时发现了漏洞。他们的披露没有透露勒索软件组是 Hive。通过 Hive 7 月 15 日的电子邮件向 Empress 提供的文件样本(也提供给 DataBreaches)包括 Empress EMS 的一些患者的受保护健康信息。Hive 声称有超过 100,000 个社会安全号码作为他们泄露的数据的一部分。Empress EMS 目前没有出现在 Hive 的泄密站点上,尽管它在 7 月份短暂出现过足够长的时间,足以被 RedPacket Security 检测到并在推特上发布。截至本文发布时,Empress 并未列在 Hive 的泄密站点上,DataBreaches 不认为 Hive 已倾倒或泄露任何敏感信息(或者,至少目前还没有)。

详情

黑客将 PuTTY SSH 客户端木马后门部署到媒体公司日期: 2022-09-15 标签: 文化传播, 信息技术, 亚马逊(Amazon ), 后门,

根据 2022年发月15日发布的Mandiant 技术报告,朝鲜黑客正在使用木马化版本的 PuTTY SSH 客户端在目标设备上部署后门。负责此次活动的威胁集群是“UNC4034”(又名“Temp.Hermit”或“Labyrinth Chollima”)。该活动中的一个新元素是使用木马化版本的 PuTTY 和 KiTTY SSH 实用程序来部署后门,在本例中为“AIRDRY.V2”。该组织的最新活动似乎是“梦想工作行动”活动的延续,该活动自 2020 年 6 月以来一直在进行,这次针对的是媒体公司。攻击从威胁参与者通过电子邮件接近他们的目标开始,并在亚马逊提供丰厚的工作机会,然后与 WhatsApp 进行通信,在那里他们共享一个 ISO 文件(“amazon_assessment.iso”)。ISO 包括一个文本文件(“readme.txt”),其中包含一个 IP 地址和登录凭据,以及 一个非常流行的开源 SSH 控制台应用程序PuTTY (PuTTY.exe) 的木马化版本。

详情

SparklingGoblin 部署新的 Linux 后门日期: 2022-09-14 标签: 中国, 教育行业, 信息技术, SparklingGoblin APT, Spectre RAT, SideWalk, 涉我舆情,

ESET 研究人员发现了 SideWalk 后门的 Linux 变体,这是 SparklingGoblin APT 小组使用的多个自定义植入程序之一。该变体于 2021 年 2 月针对一所香港大学部署,该大学在 2020 年 5 月的学生抗议活动中已成为 SparklingGoblin 的目标。最初将此后门命名为 StageClient,但现在将其简称为 SideWalk Linux。以前已知的 Linux 后门——Spectre RAT,首先由 360 Netlab记录——实际上也是 SideWalk Linux 变体,与我们确定的样本有多个共性。SparklingGoblin 是一个 APT 组织,其战术、技术和程序 (TTP) 与 APT41 和 BARIUM 部分重叠。它使用基于 Motnug 和 ChaCha20 的加载程序、CROSSWALK 和 SideWalk 后门,以及 Korplug(又名 PlugX)和 Cobalt Strike。虽然该集团主要针对东亚和东南亚,但我们也看到 SparklingGoblin 针对全球范围广泛的组织和垂直行业,特别关注学术领域。SparklingGoblin 是可以访问 ShadowPad 后门的组织之一。

详情

国会调查揭示了美国电话记录的秘密海关和边境保护数据库日期: 2022-09-15 标签: 美国, 政府部门, 数据库,

根据该机构与民主党参议员罗恩·怀登 (Ron Wyden) 共享的信息,海关和边境保护局每年对多达 10,000 名美国人的手机和其他电子设备进行无证搜查,并将这些设备中的信息上传到庞大的政府数据库。该数据库保留了长达 15 年的记录,其中包括短信、通话记录、联系人列表、照片和其他敏感记录。怀登在随信附上的新闻稿中说。“CBP 不应将通过数千次未经授权的电话搜索获得的数据转储到中央数据库,将数据保留十五年,并允许数千名国土安全部员工随时搜索美国人的个人数据。”CBP 没有详细说明数据库中包含的美国人的确切数量,但在 6 月与 Wyden 办公室的简报中表示,它每年检查和保存“不到 10,000 个”设备的数据。

详情

FBI:黑客从医疗保健支付处理器中窃取数百万美元日期: 2022-09-14 标签: 美国, 信息技术, 卫生行业, 美国联邦调查局 (FBI), 网络钓鱼,

2022年9月14日,美国联邦调查局 (FBI) 发出警报,称黑客针对医疗保健支付处理器将付款路由到攻击者控制的银行账户。仅2022年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。黑客会向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,以此收到受害者邮件的副本。建议企业定期进行网络安全评估、培训员工识别和报告网络钓鱼、通过硬件令牌对所有帐户和登录凭据进行多因素身份验证。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zgdygp.html