安全简讯（2024.10.29）

1. ThreeAM黑客组织泄露Carolina Arthritis医疗数据

10月25日，黑客组织ThreeAM将其攻击目标Carolina Arthritis的医疗数据添加到泄密网站上，并在几小时内泄露了所有窃取的数据，而没有给予该医疗机构付款期限或警告。ThreeAM声称在9月27日攻击了该机构，并加密了其文件。被窃取的数据包括受HIPAA保护的健康信息，如个人信息、病史、医疗记录和检查结果等。ThreeAM曾与Carolina Arthritis的哈里斯博士进行谈判，但未能达成协议。ThreeAM在文件中发现了医生的退休账户报表，并对此表示不满。此外，泄露的文件还包括Carolina Arthritis的内部业务记录，如员工数据、工资单、税务信息、401k和其他福利信息，以及计算机用户名和密码。需要审查20多年的文件才能确定需要通知谁以及涉及哪些类型的信息。Carolina Arthritis未对询问作出回应，尚不清楚这次攻击是否对患者护理产生了影响，以及他们是否有任何可能被加密的患者文件的可用备份。

https://databreaches.net/2024/10/25/carolina-arthritis-hit-by-threeam-ransomware-attack/

2. 美国临终关怀药房OPPC遭遇大规模数据泄露

10月25日，美国临终关怀药房OnePoint Patient Care（OPPC）遭遇了数据泄露事件，导致约80万人的个人信息被泄露。OPPC是一家提供临终关怀和姑息治疗服务的药店，与医疗保健提供商合作，为患者提供定制药物和支持。2024年8月8日，OPPC在其计算机网络上检测到可疑活动，并立即启动内部调查，同时聘请法医安全公司进一步调查。8月15日，OPPC确认在8月6日至8日期间，有人未经授权访问了其系统并获取了个人信息，包括姓名、居住信息、医疗记录、诊断、处方详情以及部分数据的社会安全号码。OPPC已向美国卫生与公众服务部报告此次安全事件，并建议受影响的个人监控信用报告和报表中是否存在可疑活动，并向执法部门报告任何欺诈行为。据悉，此次泄露事件与Inc Ransom勒索软件组织有关，该组织在其Tor泄密网站上将OPPC添加到受害者名单中，但OPPC没有支付赎金，导致数据被泄露。Inc Ransom自2023年开始活跃，已声称对至少65个组织的入侵事件负责。

https://securityaffairs.com/170247/data-breach/onepoint-patient-care-data-breach.html

3. 荷兰警方“马格努斯行动”重创Redline和Meta信息窃取恶意软件

10月28日，荷兰警方在“马格努斯行动”中成功查封了Redline和Meta这两款信息窃取恶意软件的网络基础设施，并警告网络犯罪分子他们的数据已被执法部门掌握。这两款恶意软件会从受感染设备上的浏览器窃取包括凭证、浏览历史记录、敏感文档等在内的多种信息，然后出售或用于网络攻击。此次行动得到了包括美国联邦调查局、欧洲司法组织等国际执法伙伴的支持。警方不仅获得了这两款恶意软件的源代码，还掌握了可用于追查使用该恶意软件的网络犯罪分子的证据。此外，荷兰警方还采用在黑客论坛上创建账号并发送直接消息的方式，警告威胁行为者他们正受到密切监视。信息窃取恶意软件已成为企业面临的巨大问题，Redline和Meta等恶意软件已导致大量敏感数据被窃取，并被用于网络攻击。这些被盗凭证已被用来发动一些最严重的违规行为，对网络安全构成严重威胁。

https://www.bleepingcomputer.com/news/legal/redline-meta-infostealer-malware-operations-seized-by-police/

4. TeamTNT利用Docker漏洞发起新黑客活动

10月28日，臭名昭著的黑客组织TeamTNT近期发起了一项新的黑客活动，该组织利用暴露的Docker守护程序部署恶意软件，并通过受感染的服务器和Docker Hub进行攻击传播。Aqua Nautilus的网络安全研究人员发现，TeamTNT（又名Adept Libra）通过入侵一个合法的Docker Hub账户托管恶意软件，上传了约30个镜像，包括用于传播恶意软件的基础设施镜像和专注于加密货币挖掘或计算能力出租的影响镜像。TeamTNT使用Docker Gatling Gun扫描大量IP地址，查找在特定端口上运行的Docker守护程序漏洞，并部署恶意容器和脚本。为了逃避检测，TeamTNT使用先进的Sliver恶意软件，混入合法进程，窃取凭证并扫描网络寻找其他目标。他们的最终目标是劫持资源进行加密货币挖掘或出售受感染系统的访问权限，使用多种挖矿软件进行优化操作。此次活动展示了TeamTNT的适应和发展能力，各组织必须保持警惕并加强网络安全实践，以防范该组织的攻击风险。

https://hackread.com/teamtnt-exploits-ips-malware-attack-docker-clusters/

5. Hot Topic顾客数据遭泄露，暗网惊现3.5亿条个人信息

10月25日，以色列网络安全公司Hudson Rock发现，在暗网上有一个据称包含3.5亿条Hot Topic顾客个人和支付数据的庞大数据库正在被公开出售。该数据库据称由名为Satanic的威胁组织发布，包含用户的详细个人信息和支付细节，涉及Hot Topic、Torrid和BoxLunch三家零售企业。虽然Hot Topic尚未公开承认数据泄露，但随着安全研究人员发现的证据越来越多，该事件的真实性越来越高。Hudson Rock警告称，这将给用户带来严重安全隐患，如身份盗窃、金融欺诈等。据调查，此次数据泄露可能源于info-stealer木马感染，该木马入侵了为Hot Topic等零售商提供数据统一服务的第三方公司员工的计算机，而缺乏多因素身份验证（MFA）机制可能是导致该事件发生的核心因素之一。此外，Hot Topic在权限管理上也存在巨大问题，因员工凭证导致的泄露事件影响面将会非常广。Satanic威胁组织希望以2万美元的价格出售该数据库，或向Hot Topic勒索1万美元删除该帖子。

https://cybernews.com/security/hackers-put-350m-hot-topic-customers-records-for-sale/

6. 法国Free公司遭网络攻击，客户个人信息疑遭泄露

10月28日，法国互联网服务提供商Free，作为法国第二大ISP，拥有超过2290万用户，近日披露了一起网络攻击事件。据称，威胁行为者获得了Free内部管理工具的访问权限，并盗取了一些订阅者的个人数据。该公司在10月26日向法新社证实了这一消息，指出部分用户账户相关的个人数据被未经授权访问，但密码、银行卡信息和通信内容未受影响。公司已提起刑事诉讼，并通知了相关监管机构。卖家在网络犯罪论坛上列出了两个数据库，包含大量客户账户和IBAN详细信息，并发布了数据样本和截图。泄露的客户数据包括名字、姓氏、电话号码、完整邮政地址、出生日期、电子邮件等。尽管网络犯罪分子声称此次数据泄露影响了Free Mobile和Freebox客户，但公司表示已采取措施制止攻击并加强信息系统保护。

https://securityaffairs.com/170333/data-breach/free-suffered-a-cyber-attack.html