BLACKBASTA 团伙宣称对 SYNLAB ITALIA 攻击事务掌管

首页 > 安全钻研 > 安全传递 > 安全简讯

BLACKBASTA 团伙宣称对 SYNLAB ITALIA 攻击事务掌管

颁布功夫 2024-05-06

1. BLACKBASTA 团伙宣称对 SYNLAB ITALIA 攻击事务掌管

5月4日，近期医疗诊断服务提供商 Synlab Italia 一向因网络攻击而遭逢中断。该公司最初将技术问题列为导致推算机和电话系统及有关服务临时中断的原因。Ransomfeed.it平台的钻研人员泄漏，犯罪组织Blackbasta宣称对 Synlab 的勒索软件攻击掌管。该组织宣称偷窃了 1.5 TB 数据，蕴含公司数据、员工幼我文档、客户幼我数据、医学分析（精子图、毒理学、解剖学……）等等。作为数据泄露的证据，该组织颁布了护照、身份证和医学分析的图像。该组织颁布的其中一张图像列出了被窃取的文件夹，其中一些蕴含医疗查抄的名称，而另一些则蕴含位于坎帕尼亚地域的中心名称，只管这次袭击影响了整个意大利的采样点。BlackBasta 勒索软件组织将于 2024 年 5 月 11 日颁布被盗数据。Black Basta 自 2022 年 4 月以来一向活跃，与其他勒索软件操作一样，它执行了双沉勒索攻击模型。 2022 年 11 月，Sentinel Labs 钻研人员汇报称，他们发现了 Black Basta 勒索软件团伙与出于经济动机的黑客组织 FIN7 之间的联系的证据。

https://securityaffairs.com/162741/security/blackbasta-gang-claimed-responsibility-for-synlab-italia-attack.html

2. APT42使用社交工程攻击侵入西方和中东指标

5月4日，APT42初次被Mandiant于2022年9月纪录，汇报称这些威胁行为者自2015年以来一向活跃，已在14个国度进行了至少30次操作。已被观察到针对非当局组织、媒体机构、教育机构、活动人士和司法服务。APT42的攻击依赖于社交工程和垂钓，其最终指标是通过定造的后门习染指标设备，从而使威胁行为者获得对组织网络的初始接见权限。攻击从假意记者、非当局组织代表或活动组织者的在线身份发送的电子邮件起头，这些电子邮件的域名“typosquat”（使用类似的URL）与合法组织的域名类似。攻击者与受害者进行足够的沟通以成立信赖后，会向受害者发送与会议或新闻文章有关的文档链接，具体取决于所选的钓饵主题。点击这些链接会将指标沉定向到仿照驰名服务（如Google和Microsoft）或与受害者工作领域有关的专业平台的虚伪登录页面。APT42使用两个定造的后门恶意软件，别离定名为Nicecurl和Tamecat，每个后门都针对网络间谍活动中的特定职能。Nicecurl是基于VBScript的后门，可能执行号令、下载和执行其他载荷，或在被习染的主机上进行数据挖掘。Tamecat是一个更复杂的PowerShell后门，能够执行肆意PS代码或C#剧本，使APT42在执行数据偷窃和宽泛的系统操作时拥有更大的操作矫捷性。与Nicecurl相比，Tamecat使用base64混合其C2通讯，能够动态更新其配置，并在表部执行之前评估被习染的环境。

https://www.bleepingcomputer.com/news/security/iranian-hackers-pose-as-journalists-to-push-backdoor-malware/

3. 俄罗斯 APT28 利用 Outlook 缝隙攻击捷克和德国

5月4日，捷克和德国泄漏，它们是与俄罗斯有联系的民族国度组织APT28进行的持久网络间谍活动的指标，此举引起了欧盟 (EU)、北大西洋协议组织 (NATO) 的叱责。捷克共和国表交部 (MFA) 在一份申明中暗示，该国一些未泄漏姓名的实体因去岁首曝光的 Microsoft Outlook 安全缝隙而遭到攻击。表交部暗示针对政治实体、国度机构和关键基础设施的网络攻击不仅对国度安全组成威胁，并且粉碎了我们自由社会所依赖的民主过程。所涉及的安全缝隙是CVE-2023-23397，这是 Outlook 中现已建补的一个关键权限升级缝隙，可能允许攻击者接见 Net-NTLMv2 哈希值，而后使用它们通过中继攻击来验证自己的身份。德国联国当局（别名 Bundesregierung）将威胁行为者归罪于针对社会民主党执行委员会的网络攻击，该攻击在“相对较长的功夫内”使用一样的 Outlook 缝隙，使其可能“风险大量电子邮件帐户”。该活动针对的一些垂直行业蕴含位于德国、乌克兰和欧洲的物流、军备、航空航天工业、IT 服务、基金会和协会，联国监管机构还暗示该组织参加了 2015 年对德国联国议会（Bundestag）。APT28 经评估与俄罗斯联国军事谍报机构 GRU 的军事单元 26165 有联系，也被更宽泛的网络安全社区以 BlueDelta、Fancy Bear、Forest Blizzard（以前称为 Strontium）、FROZENLAKE、Iron Twilight、Pawn Storm、 Sednit、Sofacy 和 TA422。

https://thehackernews.com/2024/05/microsoft-outlook-flaw-exploited-by.html

4. 乌克兰纪录俄罗斯黑客出于经济动机的攻击有所增长

5月3日，乌克兰当局汇报称，与俄罗斯有关的先前身份不明的黑客出于经济动机提议的网络攻击有所增长。凭据最近的一份汇报，这些组织在 2023 年下半年在乌克兰网络中变得越发活跃，导致之前由克里姆林宫支持的驰名黑客组织（如“Sandworm”和“Armageddon”）主导的持续网络战争产生了转变。乌克兰推算机应急响应幼组 (CERT-UA) 掌管人 Yevheniia Volivnyk 暗示新参加者的出现批注俄罗斯有意使其网络战兵器库多样化。这些集体可能占有怪异的技术或专一于特定的运营指标。乌克兰网络钻研人员暗示，这些新组织通过使用经过沉思熟虑的网络垂钓攻击而脱颖而出。重要指标是分发恶意远程接见软件（例如RemcosRAT和 RemoteUtilities）或数据偷窃法式（蕴含 LummaStealer 和 MeduzaStealer）。在 CERT-UA 分析期间，近 40% 的汇报事务与金融偷窃有关。CERT-UA 暗示，蕴含电信行业在内的乌克兰关键基础设施依然是俄罗斯黑客的最优先指标，并且这种趋向可能会持续下去。俄罗斯针对乌克兰关键基础设施的很多行动被描述为“混合”行动。例如，乌克兰最大的移动运营商 Kyivstar（为 2500 万用户提供服务）遭到攻击，恰逢对乌克兰进行大规模导弹袭击。

https://therecord.media/ukraine-russia-increase-financially-motivated-cyberattacks?&web_view=true

5. Goldoon 僵尸网络利用 9 年前的缝隙对准 D-Link 设备

5月4日，Fortinet 的 FortiGuard 尝试室的网络安全钻研人员发现了一种名为“Goldoon”的新僵尸网络威胁，专门针对D-Link 路由器和网络附加存储 (NAS) 设备。该恶意软件利用CVE-2015-2051（CVSS评分：10.0）缝隙习染设备，可能使用户数据和网络安全面对风险。值妥贴心的是， 2015 年 2 月发现的安全缝隙CVE-2015-2051已有近十年的汗青。此缝隙重要影响报废设备。2022 年 9 月，Palo Alto Networks 的 Unit 42发现臭名远扬的 Mirai 僵尸网络的变体（称为 MooBot）在利用一样的缝隙，针对 D-Link 设备。D-Link 于 2015 年解决了该问题。凭据 Fortinet 汇报，Goldoon 利用暴力攻击来获取对 D-Link 设备的接见权限。暴力攻击涉及系统地尝试分歧的用户名和密码组合，直到获得未经授权的接见。该汇报批注，这些攻击利用了指标设备上较弱的默认痛处或过期的固件。

https://www.hackread.com/goldoon-botnet-targeting-d-link-devices/

6. LOCKBIT 颁布了从戛纳 SIMONE VEIL 医院窃取的数据

5月3日，LockBit 勒索软件运营商颁布了据称从戛纳 Simone Veil 医院窃取的敏感数据。4 月，戛纳 Simone Veil 医院(CHC-SV) 遭逢网络攻击，迫使工作人员沉新使用笔和纸。医院被迫关关所有推算机，但电话线未受影响。医院在 ANSSI、Cert Santé、Orange Cyber Défense 和 GHT06 的援手下调查这一事务。戛纳西蒙娜·维尔医院是一家位于法国戛纳的公立医院。医院为本地社区及周边地域提供一系列医疗服务和保健设施。CHC-SV占有2000多名员工，可包容800多张床位。LockBit勒索软件组织宣称对这次攻击掌管，并在医院回绝支付赎金后于 5 月 1 日颁布了被盗的机密数据。戛纳西蒙娜·韦伊医院中心在其网站上颁发申明，确认勒索软件组织颁布的数据属于其所有。从前，法国其他医院也是网络攻击的受害者。2022 年 12 月，凡尔赛医院中心遭逢网络攻击，被迫取缔运营并将部门患者转移到其他医院。

https://securityaffairs.com/162721/cyber-crime/lockbit-published-simone-veil-hospital-data.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研