网络安全资讯周报（7/1- 7/5）

• 医疗金融科技公司HealthEquity 披露数据泄露事件 

• 日本动漫和游戏巨头承认遭遇勒索软件攻击后数据泄露 

• Twilio 确认发生数据泄露 

• 保诚金融数据泄露影响超过 250 万个人 

• 金融科技公司Affirm 称持卡人受到 Evolve Bank 数据泄露的影响 

• BianLian 勒索软件袭击美国三家知名主要公司，可能泄露敏感数据 

代号为 MORPHEUS 的协调执法行动已摧毁近 600 台服务器，这些服务器由网络犯罪集团使用，是与 Cobalt Strike 相关的攻击基础设施的一部分。欧洲刑警组织表示，6 月 24 日至 28 日期间，此次打击行动针对的是 Cobalt Strike 红队框架的旧版本、未经授权的版本。在 27 个国家的在线服务提供商标记的与犯罪活动有关的 690 个 IP 地址中，有 590 个已无法访问。此次联合行动于2021年开始，由英国国家犯罪局（NCA）牵头，澳大利亚、加拿大、德国、荷兰、波兰和美国的当局参与其中，保加利亚、爱沙尼亚、芬兰、立陶宛、日本和韩国的官员也提供了额外支持。Cobalt Strike 是一款流行的对手模拟和渗透测试工具，由 Fortra（前身为 Help Systems）开发，为 IT 安全专家提供一种识别安全操作和事件响应中的弱点的方法。然而，该软件的破解版本落入恶意行为者的手中后，被一次又一次地滥用来进行后期利用。有数据显示，美国、印度、香港、西班牙和加拿大占威胁行为者使用 Cobalt Strike 攻击的国家/地区的 70% 以上。大多数 Cobalt Strike 基础设施托管在中国、美国、香港、俄罗斯和新加坡。

原文链接：

https://thehackernews.com/2024/07/global-police-operation-shuts-down-600.html

巴西国家数据保护机构周二决定，禁止Instagram 和 Facebook 的母公司 Meta 使用来自该国的数据来训练其人工智能。该机构在国家官方公报中表示，这一决定源于“受影响数据主体的基本权利面临严重、无法挽回或难以修复的损害的迫在眉睫的风险”。巴西是 Meta 最大的市场之一。该机构在一份声明中表示，仅 Facebook 在巴西就拥有约 1.02 亿活跃用户。根据该国 2022 年的人口普查，该国人口为 2.03 亿。Meta 的发言人在一份声明中表示，公司对此“感到失望”，并坚称其方法“符合巴西的隐私法律法规”。该发言人补充道：“这对创新和人工智能开发竞争来说是倒退，也进一步推迟了巴西人民从人工智能中获益。”此外，Meta在欧洲的隐私政策更新也遭遇了阻力，该公司最近搁置了原定于上周开始的将人们的公开帖子输入人工智能训练系统的计划。

原文链接：https://www.securityweek.com/brazil-data-regulator-bans-meta-from-mining-data-to-train-ai-models/

美国三家核研究机构遭俄罗斯黑客攻击。据路透社报道，去年夏天，一个名为“Cold River”的组织针对布鲁克海文、阿贡和劳伦斯利弗莫尔实验室的专家进行了网络钓鱼攻击，试图获取证书。据信这些事件发生在 8 月和 9 月，目前尚不清楚这些网络钓鱼尝试是否成功，也不清楚黑客为何试图进入实验室网络。另一方面，网络安全公司 CrowdStrike 的情报高级副总裁亚当·迈耶斯 (Adam Meyers) 表示，Cold River “积极协助克里姆林宫的信息行动”。该组织去年泄露了英国对外情报机构军情六处前负责人的电子邮件。Cold River 还被指控针对调查战争罪行的非政府组织。

原文链接：https://www.the420.in/russian-linked-hackers-target-us-nuclear-research-labs-with-phishing-campaign/

APT组织Kimsuky使用名为TRANSLATEXT的新恶意Google Chrome扩展程序窃取敏感信息进行情报收集工作。TRANSLATEXT扩展程序伪装成Google翻译，它整合了JavaScript代码以绕过Google、Kakao和Naver等服务的安全措施，窃取电子邮件地址、用户名、密码、cookie，还可以从Blogger Blogspot URL获取命令，以便截取新打开的标签的屏幕截图以及从浏览器中删除所有cookie等。攻击活动是针对韩国学术界，特别是关注朝鲜政治事务的学术界。Kimsuky是与朝鲜有关的的黑客组织，据了解该组织至少自2012年以来一直活跃，长期策划针对韩国实体的网络间谍活动和出于经济动机的攻击。

原文链接：

https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia

LockBit 勒索软件团伙声称对克罗地亚最大医院的网络攻击负责，该攻击迫使医院 IT 系统关闭一天。该组织声称已经获取了患者和员工信息、医疗记录、器官和捐赠者数据以及与外部公司签订的合同。萨格勒布大学医院中心（简称 KBC Zagreb）上周遭受了攻击，100 多名专家在事后努力恢复系统。据当地媒体报道，此次事件导致急救服务工作放缓，医院不得不将患者转至萨格勒布的其他机构。萨格勒布 KBC 医疗质量与监督助理主任米利沃伊·诺瓦克 (Milivoj Novak) 表示，此次袭击“让我们倒退了 50 年，回到了纸和铅笔的时代”。它的声明经常被证明是不可靠的。它最近声称已经入侵了美国联邦储备委员会，但据称第一批泄露的据称与该机构有关的文件实际上属于Evolve Bank & Trust。此外，卫生部长维利·贝罗斯周二表示，政府不会与黑客谈判，目前尚不清楚黑客是否窃取了克罗地亚公民的任何信息。 

原文链接：https://therecord.media/lockbit-claims-cyberattack-croatia-hospital

据供给面管理公司Censys 的新发现显示，针对广泛使用的 Polyfill[.]io JavaScript 库的供应链攻击范围比之前认为的要广，截至 2024 年 7 月 2 日，超过 380,000 台主机嵌入了链接到恶意域的 polyfill 脚本，这包括在其 HTTP 响应中引用“https://cdn.polyfill[.]io”或“https://cdn.polyfill[.]com”。对受影响主机的进一步分析发现，与华纳兄弟、Hulu、梅赛德斯奔驰和培生等知名公司相关的域名引用了有问题的恶意端点。

原文链接：https://thehackernews.com/2024/07/polyfillio-attack-impacts-over-380000.html

黑客组织Transparent Tribe（又名 APT 36、Operation C-Major）将 Android 间谍软件 CapraRAT 伪装成流行的 Android 应用程序来窃取用户数据。该活动被称为 CapraTube，由网络安全公司于 2023 年 9 月首次提出，黑客团队使用武器化的 Android 应用程序冒充 YouTube 等合法应用程序来投放名为 CapraRAT 的间谍软件，这是 AndroRAT 的修改版本，具有捕获各种敏感数据的能力。Transparent Tribe疑似来自巴基斯坦，两年多来一直利用CapraRAT攻击印度政府和军事人员。该组织曾利用鱼叉式网络钓鱼和水坑攻击来传播各种 Windows 和 Android 间谍软件。

原文链接：https://thehackernews.com/2024/07/caprarat-spyware-disguised-as-popular.html

Lockbit 勒索软件团伙 声称对美国费尔菲尔德纪念医院实进行了黑客攻击，并将其添加到其 Tor 泄漏网站。费尔菲尔德纪念医院是一家非营利性危重病人救助医院，位于美国伊利诺伊州费尔菲尔德。医院拥有 25 张急诊床位，员工超过 400 人。该勒索组织声称窃取了数据，并宣布将于 2024 年 7 月 17 日泄露数据。此外，该勒索软件组织还声称对其他医院也进行了黑客攻击，包括Merryman House 家庭危机中心和佛罗里达州卫生部。

原文链接：https://securityaffairs.com/165162/cyber-crime/lockbit-ransomware-fairfield-memorial-hospital.html

医疗金融科技公司 HealthEquity 披露了一起数据泄露事件，原因是合作伙伴的账户被盗，该账户被用来访问其系统。入侵者从公司系统中窃取了受保护的健康信息。该公司发现合作伙伴的个人设备存在异常行为，并立即展开调查，最终发现了安全漏洞。调查结果显示，合作伙伴的用户账户已被未经授权的第三方入侵，该第三方使用该账户访问信息。被访问的信息包括一些个人身份信息，涉及该公司的会员。

原文链接：

https://securityaffairs.com/165228/data-breach/healthequity-disclosed-data-breach.html

日本动漫和游戏巨头角川（KADOKAWA CORPORATION）证实，其部分数据在上个月的勒索软件攻击中遭到泄露。角川公司在一份声明中表示，泄露的数据包括商业合作伙伴信息，包括合同和其他文件，以及公司内部数据，例如其子公司 Dwango 所有员工的个人信息，Dwango 运营着日本流行的视频共享网站Niconico。BlackSuit 勒索软件团伙公布了被盗数据的一小部分样本，并威胁称如果该公司不支付赎金，他们就会公布其余数据。据称，BlackSuit 已经获取了该公司 1.5 TB 的数据。角川公司在 6 月初检测到了针对其服务的网络攻击。根据调查，黑客的目标是位于数据中心的服务器。由于此次攻击，Niconico 暂时关闭了其直播平台和用户频道，以“尽量减少事件的影响”。

原文链接：

https://therecord.media/japan-anime-giant-data-leak-ransomware

臭名昭著的 ShinyHunters 黑客于 6 月底在重新启动的 BreachForums网站上宣布，他们泄露了与 Twilio 的双因素身份验证应用程序 Authy 相关的 3300 万个随机电话号码。泄露的信息还包括账户ID和与Authy用户相关的一些其他非个人信息。Twilio 在其网站上发布的安全警报中证实了数据泄露事件。该公司表示已检测到威胁行为者能够通过未经身份验证的端点识别与 Authy 帐户相关的数据，包括电话号码，并已采取措施保护此端点，不再允许未经身份验证的请求。该公司没有发现任何证据表明黑客入侵了其系统或获取了其他敏感数据，但为了谨慎起见，该公司敦促 Authy 用户安装最新的 Android 和 iOS 安全更新。

原文链接：

https://www.securityweek.com/twilio-confirms-data-breach-after-hackers-leak-33m-authy-user-phone-numbers/

英国保险公司保诚集团（Prudential Financial ）证实，其在 2024 年 2 月遭遇的数据泄露影响了超过 250 万个人。该事件发生在 2024 年 2 月 4 日，并于 2024 年 2 月 5 日被发现。该公司没有透露网络攻击的细节，但是，Alphv/BlackCat 勒索软件团伙声称对此次安全漏洞负责。该公司最初于 3 月份宣布，该安全事件已影响超过 36,000 人。泄露的数据包括姓名、地址、驾驶执照号码和非驾驶员身份证号码。据该公司的最新透露，此次事件影响了 2,556,210 人。该公司将为受影响的个人提供两年的免费信用监控服务。

原文链接：https://securityaffairs.com/165121/data-breach/prudential-financial-data-breach-2-5m-individuals.html

金融科技公司Affirm 警告称，由于其第三方发行商 Evolve Bank & Trust (Evolve) 发生数据泄露，其支付卡持有人的个人信息遭到泄露。根据最新调查结果，有证据表明被盗数据包括姓名、社会安全号码（SSN）、银行账号和联系信息。Evolve 是一家大型金融服务提供商，与多家金融科技公司建立了积极的合作伙伴关系，包括 Shopify、Bilt、Plaid、Stripe 和 Mercury。这些金融科技公司使用它为其产品提供银行后端，包括发卡、管理存款和促进贷款。6 月，LockBit 勒索软件团伙谎称已攻破美国联邦储备银行并窃取了 33 TB 的数据，后证实这些数据是从 Evolve Bank & Trust 窃取的。

原文链接：https://www.bleepingcomputer.com/news/security/affirm-says-cardholders-impacted-by-evolve-bank-data-breach/

据称，BianLian 勒索软件组织对三家知名美国公司发动了一系列网络攻击，窃取了大量敏感数据。这三家公司分别是：Island Transportation Corp，该公司是美国最大的散货运输公司之一，专门为石油行业提供服务。被盗数据包括重要业务信息、会计记录、项目文件、网络用户文件夹数据、文件服务器数据和个人数据。此次勒索软件攻击的规模目前尚不清楚；Legend Properties Inc.，这是一家知名的全方位商业房地产和经纪公司，被盗数据包括关键商业信息、会计数据、项目详情、网络用户文件夹数据、文件服务器数据和个人信息；Transit Mutual Insurance Corporation of Wisconsin是一家主要的保险服务提供商，被盗数据包括业务信息、会计记录、项目文件、网络用户文件夹中的数据、文件服务器数据和个人数据。此次攻击活动升级凸显了勒索软件攻击对美国关键部门构成的日益严重的威胁。

原文链接：https://thecyberexpress.com/bianlian-ransomware-hits-major-us-companies/#google_vignette