安全简讯（2024.12.10）

1. RedLine瞄准俄罗斯盗版企业软件用户进行信息窃取

12月8日，自2024年1月起，RedLine信息窃取活动开始针对使用盗版企业软件的俄罗斯企业。这些盗版软件通过俄罗斯在线论坛分发，攻击者巧妙地将恶意软件伪装成可绕过业务自动化软件许可的工具，特别是通过分发恶意版本的HPDxLIB激活器。与合法版本不同，恶意版本在.NET中构建，并使用自签名证书。卡巴斯基报告指出，这些未经授权的企业业务流程自动化软件用户成为攻击目标，攻击者在会计论坛上分发含有RedLine窃取程序的恶意激活程序。该程序使用.NET Reactor进行混淆，恶意代码经过多层压缩和加密，隐藏方式非常不寻常。攻击者在相关论坛上发布恶意激活器链接，并提供禁用安全软件以运行激活器的详细说明，以逃避检测。用户被诱骗用激活器中的恶意库替换合法的techsys.dll库，从而在执行软件时通过合法进程加载恶意库，运行窃取程序。RedLine窃取程序自2020年初便活跃，能从系统中窃取敏感信息，包括凭据、cookie、浏览器历史记录、信用卡数据和加密钱包等。

https://securityaffairs.com/171771/cyber-crime/redline-info-stealer-campaign-targets-russian-businesses.html

2. 安娜雅克医院遭勒索软件攻击，31万余患者数据泄露

12月7日，安娜雅克医院是一家位于马萨诸塞州的非营利性社区医院，拥有83张床位、200名医师和1200名工作人员，为当地居民提供基本医疗服务。2023年12月25日，该医院遭受了勒索软件攻击，导致超过310,000名患者的敏感健康数据被泄露。医院立即采取行动，下线系统并向执法部门发出警报。2024年1月19日，“Money Message”勒索软件团伙开始公开勒索该医院，并在其暗网勒索网站上泄露了据称从医院窃取的数据样本。医院管理人员并未与威胁行为者交涉，最终于1月26日公布了所有数据。经过彻底的取证调查，医院于2024年11月5日完成了对泄露数据的审查，并通知了受影响的个人。泄露的信息包括人口统计信息、医疗信息、健康保险信息、社会安全号码、驾驶执照号码、财务信息等。尽管医院没有迹象表明这起事件导致了任何欺诈行为，但还是提醒员工和患者要保持警惕，并提供了为期24个月的身份保护和信用监控服务。

https://www.bleepingcomputer.com/news/security/anna-jaques-hospital-ransomware-breach-exposed-data-of-300k-patients/

3. 罗马尼亚能源供应商Electrica Group遭受勒索软件攻击

12月10日，罗马尼亚能源供应商Electrica Group正面临一起持续的勒索软件攻击，但该公司已向投资者保证，其关键系统并未受到影响。为了保障运营和个人数据的安全，Electrica已启动内部网络安全协议，并与国家网络安全机构合作，旨在识别攻击源并控制其影响。Electrica是罗马尼亚电力配送和供应市场的主要参与者，为超过380万客户提供服务，并在布加勒斯特和伦敦证券交易所上市。本周早些时候，该公司发布通知，告知投资者正在发生的网络攻击，并强调所有特定的响应协议已根据内部程序和现行法规启动。罗马尼亚能源部证实该公司确实遭受了勒索软件攻击，但攻击并未影响该公司的SCADA系统。情报分析人士认为，此次袭击可能是亲俄团体发动的，旨在报复罗马尼亚因俄罗斯涉嫌干预而取消总统选举。罗马尼亚情报局透露，超过85,000次网络攻击针对该国选举系统，但莫斯科否认对此进行任何攻击。Electrica Group建议客户对潜在的网络钓鱼尝试和可疑通信保持警惕。

https://securityaffairs.com/171832/hacking/electrica-group-ransomware-attack.html

4. 心脏外科医疗设备制造商Artivion遭勒索软件攻击

12月9日，心脏外科医疗设备制造商Artivion在11月21日遭受了勒索软件攻击，该攻击扰乱了其运营并导致部分系统关闭。Artivion总部位于亚特兰大，全球员工超过1,250名，在100多个国家设有销售代表，并在亚特兰大、奥斯汀和黑欣根设有制造工厂。据Artivion向美国证券交易委员会提交的报告，攻击者加密了其部分系统并窃取了数据，但公司运营、订单处理和运输中断问题已基本得到解决。虽然尚未有勒索软件组织声称对此次攻击负责，但Artivion认为可能会产生保险未涵盖的额外费用。近期，美国医疗保健行业也遭遇了多起勒索软件攻击，包括Boston Children's Health Physicians和UMC医疗系统，以及去年圣诞节遭受攻击的安娜雅克医院，这些攻击都导致了敏感数据的泄露和运营的中断。

https://www.bleepingcomputer.com/news/security/ransomware-attack-hits-leading-heart-surgery-device-maker/

5. 微软解除对Ubisoft游戏Windows 24H2更新限制

12月9日，微软已部分解除了对Windows 24H2更新与某些Ubisoft游戏系统兼容性的限制。此前，由于《刺客信条》、《星球大战：法外狂徒》和《阿凡达：潘多拉边疆》等游戏在Windows 11 24H2预览版中出现崩溃、死机和音频问题，微软阻止了装有这些游戏的PC进行Windows 24H2升级。用户反馈显示，游戏存在不稳定情况，如启动后立即崩溃或加载保存游戏后几分钟内崩溃、冻结或黑屏。为防止问题扩散，微软采取了保护措施。现在，在Ubisoft发布临时修补程序缓解崩溃问题后，微软解除了对《星球大战：法外狂徒》和《阿凡达：潘多拉边疆》的升级限制，但建议玩家在问题解决前不要使用Windows 11安装助手或媒体创建工具升级受影响PC。同时，微软还宣布阻止安装了过时Google Workspace Sync的系统和具有不兼容英特尔智能声音技术音频驱动程序的设备进行Windows 11 24H2更新，因为这些会导致Outlook启动问题和蓝屏死机问题。

https://www.bleepingcomputer.com/news/microsoft/ubisoft-fixes-windows-11-24h2-conflicts-causing-game-crashes/

6. 朝鲜黑客Citrine Sleet盗取Radiant Capital 5000万美元加密货币

12月9日，去中心化金融(DeFi)平台Radiant Capital在10月16日宣布其系统遭受网络攻击，导致5000万美元加密货币被盗。在Mandiant网络安全专家的协助下，Radiant对此次攻击进行了深入调查，并确定幕后黑手为朝鲜国家附属黑客组织Citrine Sleet（又名“UNC4736”和“AppleJeus”）。此次攻击始于9月11日，黑客通过Telegram发送冒充前承包商的恶意消息，诱骗开发人员下载包含“InletDrift”macOS恶意软件负载的ZIP文件，从而在受感染的设备上建立后门。黑客利用常规的多重签名流程，以交易错误的名义收集有效签名，并从Arbitrum和币安智能链(BSC)市场窃取资金。此次攻击设计精良，绕过了硬件钱包安全和多层验证，交易在手动和模拟检查中看起来都很正常，显示出极高的复杂性。Radiant正在与美国执法部门和zeroShadow合作，追回尽可能多的被盗资金，并强调需要更强大的设备级解决方案来增强交易安全性。

https://www.bleepingcomputer.com/news/security/radiant-links-50-million-crypto-heist-to-north-korean-hackers/