BLACKBASTA 团伙声称对 SYNLAB ITALIA 攻击事件卖力

首页 > 宁静研究 > 宁静通报 > 宁静简讯

BLACKBASTA 团伙声称对 SYNLAB ITALIA 攻击事件卖力

宣布时间 2024-05-06

1. BLACKBASTA 团伙声称对 SYNLAB ITALIA 攻击事件卖力

5月4日，近期医疗诊断服务提供商 Synlab Italia 一直因网络攻击而遭受中断。该公司最初将技术问题列为导致计算机和电话系统及相关服务暂时中断的原因。Ransomfeed.it平台的研究人员透露，犯罪组织Blackbasta声称对 Synlab 的勒索软件攻击卖力。该组织声称偷窃了 1.5 TB 数据，包罗公司数据、员工个人文档、客户个人数据、医学分析（精子图、毒理学、解剖学……）等等。作为数据泄露的证据，该组织宣布了护照、身份证和医学分析的图像。该组织宣布的其中一张图像列出了被窃取的文件夹，其中一些包罗医疗检查的名称，而另一些则包罗位于坎帕尼亚地域的中心名称，尽管这次袭击影响了整个意大利的采样点。BlackBasta 勒索软件组织将于 2024 年 5 月 11 日宣布被盗数据。Black Basta 自 2022 年 4 月以来一直活跃，与其他勒索软件操作一样，它实施了双重勒索攻击模型。 2022 年 11 月，Sentinel Labs 研究人员陈诉称，他们发现了 Black Basta 勒索软件团伙与出于经济动机的黑客组织 FIN7 之间的联系的证据。

https://securityaffairs.com/162741/security/blackbasta-gang-claimed-responsibility-for-synlab-italia-attack.html

2. APT42使用社交工程攻击侵入西方和中东目标

5月4日，APT42首次被Mandiant于2022年9月记录，陈诉称这些威胁行为者自2015年以来一直活跃，已在14个国家进行了至少30次操作。已被视察到针对非政府组织、媒体机构、教育机构、活感人士和执法服务。APT42的攻击依赖于社交工程和钓鱼，其最终目标是通过定制的后门熏染目标设备，从而使威胁行为者获得对组织网络的初始访问权限。攻击从冒充记者、非政府组织代表或活动组织者的在线身份发送的电子邮件开始，这些电子邮件的域名“typosquat”（使用类似的URL）与合法组织的域名相似。攻击者与受害者进行足够的相同以建立信任后，会向受害者发送与会议或新闻文章相关的文档链接，具体取决于所选的诱饵主题。点击这些链接会将目标重定向到模仿知名服务（如Google和Microsoft）或与受害者事情领域相关的专业平台的虚假登录页面。APT42使用两个定制的后门恶意软件，分别命名为Nicecurl和Tamecat，每个后门都针对网络间谍活动中的特定功效。Nicecurl是基于VBScript的后门，能够执行命令、下载和执行其他载荷，或在被熏染的主机上进行数据挖掘。Tamecat是一个更庞大的PowerShell后门，可以执行任意PS代码或C#脚本，使APT42在执行数据偷窃和广泛的系统操作时具有更大的操作灵活性。与Nicecurl相比，Tamecat使用base64混淆其C2通信，可以动态更新其配置，并在外部执行之前评估被熏染的环境。

https://www.bleepingcomputer.com/news/security/iranian-hackers-pose-as-journalists-to-push-backdoor-malware/

3. 俄罗斯 APT28 利用 Outlook 漏洞攻击捷克和德国

5月4日，捷克和德国透露，它们是与俄罗斯有联系的民族国家组织APT28进行的恒久网络间谍活动的目标，此举引起了欧盟 (EU)、北大西洋条约组织 (NATO) 的谴责。捷克共和国外交部 (MFA) 在一份声明中体现，该国一些未透露姓名的实体因去年初曝光的 Microsoft Outlook 宁静漏洞而遭到攻击。外交部体现针对政治实体、国家机构和要害基础设施的网络攻击不仅对国家宁静组成威胁，而且破坏了我们自由社会所依赖的民主进程。所涉及的宁静漏洞是CVE-2023-23397，这是 Outlook 中现已修补的一个要害权限升级漏洞，可能允许攻击者访问 Net-NTLMv2 哈希值，然后使用它们通过中继攻击来验证自己的身份。德国联邦政府（又名 Bundesregierung）将威胁行为者归咎于针对社会民主党执行委员会的网络攻击，该攻击在“相对较长的时间内”使用相同的 Outlook 漏洞，使其能够“危害大量电子邮件帐户”。该活动针对的一些垂直行业包罗位于德国、乌克兰和欧洲的物流、军备、航空航天工业、IT 服务、基金会和协会，联邦监管机构还体现该组织加入了 2015 年对德国联邦议会（Bundestag）。APT28 经评估与俄罗斯联邦军事情报机构 GRU 的军事单元 26165 有联系，也被更广泛的网络宁静社区以 BlueDelta、Fancy Bear、Forest Blizzard（以前称为 Strontium）、FROZENLAKE、Iron Twilight、Pawn Storm、 Sednit、Sofacy 和 TA422。

https://thehackernews.com/2024/05/microsoft-outlook-flaw-exploited-by.html

4. 乌克兰记录俄罗斯黑客出于经济动机的攻击有所增加

5月3日，乌克兰政府陈诉称，与俄罗斯有关的先前身份不明的黑客出于经济动机提倡的网络攻击有所增加。凭据最近的一份陈诉，这些组织在 2023 年下半年在乌克兰网络中变得越发活跃，导致之前由克里姆林宫支持的著名黑客组织（如“Sandworm”和“Armageddon”）主导的连续网络战争发生了转变。乌克兰计算机应急响应小组 (CERT-UA) 卖力人 Yevheniia Volivnyk 体现新加入者的泛起表明俄罗斯有意使其网络战武器库多样化。这些团体可能拥有奇特的技能或专注于特定的运营目标。乌克兰网络研究人员体现，这些新组织通过使用经过深思熟虑的网络钓鱼攻击而脱颖而出。主要目标是分发恶意远程访问软件（例如RemcosRAT和 RemoteUtilities）或数据偷窃法式（包罗 LummaStealer 和 MeduzaStealer）。在 CERT-UA 分析期间，近 40% 的陈诉事件与金融偷窃有关。CERT-UA 体现，包罗电信行业在内的乌克兰要害基础设施仍然是俄罗斯黑客的最优先目标，而且这种趋势可能会连续下去。俄罗斯针对乌克兰要害基础设施的许多行动被描述为“混合”行动。例如，乌克兰最大的移动运营商 Kyivstar（为 2500 万用户提供服务）遭到攻击，恰逢对乌克兰进行大规模导弹袭击。

https://therecord.media/ukraine-russia-increase-financially-motivated-cyberattacks?&web_view=true

5. Goldoon 僵尸网络利用 9 年前的漏洞瞄准 D-Link 设备

5月4日，Fortinet 的 FortiGuard 实验室的网络宁静研究人员发现了一种名为“Goldoon”的新僵尸网络威胁，专门针对D-Link 路由器和网络附加存储 (NAS) 设备。该恶意软件利用CVE-2015-2051（CVSS评分：10.0）漏洞熏染设备，可能使用户数据和网络宁静面临风险。值得注意的是， 2015 年 2 月发现的宁静漏洞CVE-2015-2051已有近十年的历史。此漏洞主要影响报废设备。2022 年 9 月，Palo Alto Networks 的 Unit 42发现污名昭著的 Mirai 僵尸网络的变体（称为 MooBot）正在利用相同的漏洞，针对 D-Link 设备。D-Link 于 2015 年解决了该问题。凭据 Fortinet 陈诉，Goldoon 利用暴力攻击来获取对 D-Link 设备的访问权限。暴力攻击涉及系统地实验差异的用户名和密码组合，直到获得未经授权的访问。该陈诉表明，这些攻击利用了目标设备上较弱的默认凭据或过时的固件。

https://www.hackread.com/goldoon-botnet-targeting-d-link-devices/

6. LOCKBIT 宣布了从戛纳 SIMONE VEIL 医院窃取的数据

5月3日，LockBit 勒索软件运营商宣布了据称从戛纳 Simone Veil 医院窃取的敏感数据。4 月，戛纳 Simone Veil 医院(CHC-SV) 遭受网络攻击，迫使事情人员重新使用笔和纸。医院被迫关闭所有计算机，但电话线未受影响。医院正在 ANSSI、Cert Santé、Orange Cyber Défense 和 GHT06 的资助下视察这一事件。戛纳西蒙娜·维尔医院是一家位于法国戛纳的公立医院。医院为当地社区及周边地域提供一系列医疗服务和保健设施。CHC-SV拥有2000多名员工，可容纳800多张床位。LockBit勒索软件组织声称对此次攻击卖力，并在医院拒绝支付赎金后于 5 月 1 日宣布了被盗的机密数据。戛纳西蒙娜·韦伊医院中心在其网站上发表声明，确认勒索软件组织宣布的数据属于其所有。过去，法国其他医院也是网络攻击的受害者。2022 年 12 月，凡尔赛医院中心遭受网络攻击，被迫取消运营并将部门患者转移到其他医院。

https://securityaffairs.com/162721/cyber-crime/lockbit-published-simone-veil-hospital-data.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究