【0519】供应链安全情报一周重点 | 守望者实验室

   01   新的RA Group勒索软件针对美国公司进行双重勒索攻击

披露时间：2023年5月17日

风险类型：供应链漏洞

供应链类型：软件供应链

相关信息：一个名为“RA Group”的新勒索软件组织针对美国和韩国的制药、保险、财富管理和制造公司。新的勒索软件行动始于2023年4月，当时他们在暗网上启动了一个数据泄露站点，以发布受害者的详细信息和被盗数据，采用了大多数勒索软件团伙使用的典型“双重勒索”策略。虽然勒索门户网站于2023年4月22日启动，但第一批受害组织于4月27日发布，包括样本文件、被盗内容类型的描述以及被盗数据的链接。在Cisco Talos的一份新报告中 ，研究人员解释说，RA Group使用基于Babuk勒索软件泄露源代码的加密器。RA Group的一个显着特征是每次攻击都有专门为目标组织编写的自定义赎金票据，而可执行文件也以受害者的名字命名。

相关信息：

某公司网站（网址为http://www.******348.com/）遭黑客攻击入侵，网页内容被篡改，篡改内容为:“《极速3Dapp: tt857.cn》是一款专门为移动端用户定制打造的彩票资讯类软件,开启软件便能够感受到众多关于彩票内容的操作便利,而且数据聚合丰富,可以观看走势和大神用户的数据预测,带来更精准”。

   02   发现某公司首页被篡改

披露时间：2023年5月17日

相关信息：

某公司网站（网址为http://www.******kj.com）遭黑客攻击入侵，网页内容被篡改，篡改内容为:“完美体育官方网站--kb22点cc--最新官方网站。完美体育官方网站是一款包含众多游戏综合游戏平台，畅快娱乐，极致体验，亚洲最完美实力游戏网站。完美体育官方网站 完美体育 完美体育在线 完美体育平台 完美体育手机平台 完美体育平台入口 完美体育官方 完美体育网址，完美体育投注，完美体育app下载，完美体育官网，完美体育手机版，完美体育比赛.”。

   03   发现某公司首页被篡改

披露时间：2023年5月17日

相关信息：

塑料制品有限公司网站（网址为http://******cnc.com/）遭黑客攻击入侵，网页内容被篡改，插入暗链为:“太阳3官网提供太阳3注册,登录,太阳3代理登录网址的发布及太阳3平台资讯,太阳3注册致力于打造屈数可指的典型”。

   04   发现某厨房配件网站被插入暗链

披露时间：2023年5月17日

相关信息：

发现某公司网站（网址为http://www.****cp.com.cn/）遭黑客攻击入侵，网页内容被篡改，插入暗链为:“赏金女王-赏金女王app下载【开云官网：yk02.net】提供专业线上娱乐，极佳的操作体验，急速简洁的界面，用户体验极佳，数据与游戏完美契合，7*24小时在线客服为您服务”。

   01   丰田泄露超200万辆汽车敏感数据：实时位置暴露近10年

   02   朝鲜黑客入侵首尔国立大学医院窃取数据

披露时间：2023年5月17日

相关信息：韩国国家警察厅(KNPA)警告说，朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院(SNUH)的网络，以窃取敏感的医疗信息和个人详细信息。该事件发生在2021年5月至6月之间，警方在过去两年中进行了分析调查，以确定肇事者。韩国当地媒体将这次袭击与Kimsuky黑客组织联系起来，但警方的报告并未明确提及具体的威胁组织。攻击者使用韩国等国的七台服务器对医院内部网络发起攻击。警方表示，该事件导致831000人的数据泄露，其中大多数是患者。此外，受影响的人中有17000人是现任和前任医院员工。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-breached-major-hospital-in-seoul-to-steal-data/

   03   勒索软件团伙窃取了580万PharMerica患者的数据

披露时间：2023年5月17日

相关信息：药房服务提供商PharMerica披露了影响超过580万患者的大规模数据泄露事件，将他们的医疗数据暴露给黑客。PharMerica是美国50个州的药房服务提供商，经营着180家本地药房和70000家备用药房，并为全国3100家医疗机构提供服务。根据提交给缅因州总检察长办公室的数据泄露通知，黑客于2023年3月12日入侵了PharMerica的系统，窃取了全名、地址、出生日期、社会安全号码 (SSN)、药物和健康保险信息5815591人。该公司于2023年3月14日发现了入侵，并于3月21日进行调查，确定客户数据已被盗。但是，数据泄露通知仅在2023年5月12日才发送给受影响的个人。

https://www.bleepingcomputer.com/news/security/ransomware-gang-steals-data-of-58-million-pharmerica-patients

   04   法国旅游公司La Malle Postale泄露了9万名徒步旅行者的个人信息

披露时间：2023年5月17日

相关信息：Cybernews研究团队发现了La Malle Postale系统的数据泄露，该系统暴露了其客户的个人数据。泄露的信息包括姓名、电话号码、电子邮件、通过SMS消息进行的私人通信、密码和员工凭证。该公司成立于2009年，在包括著名的圣地亚哥德孔波斯特拉朝圣步道在内的多条热门徒步路线上提供行李和客运服务。1月11日，Cybernews研究团队发现了一个可公开访问的数据存储，其中包含超过4GB的属于该公司客户的个人数据。泄露的个人数据包括近90000名客户的姓名、电子邮件和电话号码。该数据存储还包括公司与其客户之间发送的13000多条SMS消息。

来源：

  05  Uintah Basin Healthcare泄露十万多名患者的数据

披露时间：2023年5月17日

相关信息：犹他州的一家农村医疗保健提供者向十万多人通报了一起黑客事件，该事件涉及接受治疗长达十年之久的个人的健康信息。Uintah Basin Healthcare周三开始通知患者，它在11月检测到其网络上存在“异常活动”。因此，黑客可能访问或窃取了2012年3月至去年11月期间接受治疗的103974名患者的患者数据。医疗保健中心女发言人Maigen Zobell告诉信息安全媒体集团，“没有证据表明滥用或企图滥用个人或受保护的健康信息。”受影响的信息包括临床信息，包括诊断、用药和测试结果。该中心的旗舰设施是一家拥有42个床位的医院，位于犹他州东部人口不到10000人的罗斯福市。

来源：

https://www.govinfosecurity.com/uintah-basin-healthcare-data-breach-affects-over-100000-a-22066

  06   NationsBenefits的数据泄露事件暴露了300万用户数据

披露时间：2023年5月17日

相关信息：NationsBenefits是一家为健康计划和管理式医疗组织提供补充福利、弹性卡和会员参与解决方案的供应商，该公司已确认其已受到涉及Fortra的GoAnywhere MFT 文件传输解决方案的安全漏洞的影响。Clop勒索软件组织于2023年1月30日获得了NationsBenefits数据的访问权限，并从GoAnywhere MFT解决方案中窃取了该信息，而后发出赎金要求，要求支付赎金以防止发布被盗数据。NationsBenefits是130个在攻击中被盗数据的组织之一

来源：

  07  NextGen Healthcare泄露了大约100万人的个人信息

披露时间：2023年5月17日

相关信息：医疗保健解决方案提供商NextGen Healthcare遭受数据泄露，暴露了大约100万人的个人信息。NextGen Healthcare, Inc.是一家美国软件和服务公司，为医疗保健行业开发和销售电子健康记录(EHR)软件和实践管理系统。NextGen Healthcare还为医疗和牙科诊所提供人口健康、财务管理和临床解决方案。NextGen Healthcare上周通知了缅因州总检察长办公室，并开始向受影响的个人发送通知函。数据泄露影响了1049375人，该公司已联系执法部门并与他们合作进行调查。

来源：

   01   泛微 E-Office 文件上传漏洞

披露时间：2023年5月17日

   02   Clash_for_Windows 远程代码执行漏洞

披露时间：2023年5月17日

锦岳智慧公司旗下的守望者实验室，是国内首个“开源威胁情报“平台的建设和运营者，专注于安全服务以及安全情报在国内的创新实践，并坚持以“能力化、自动化、智能化”的理念打造产品及服务。