安全简讯（2025.03.11）

1. 黑暗风暴黑客组织声称对全球DDoS攻击负责

3月10日，黑暗风暴（Dark Storm）黑客组织声称对周一引发全球多起服务中断的DDoS攻击负责，此次攻击迫使受害公司启用Cloudflare的DDoS保护服务。尽管X公司所有者埃隆·马斯克未直接指明DDoS攻击为中断原因，但他确认这是由“大规模网络攻击”所致，并暗示攻击者可能是一个大型有组织团体或某个国家。黑暗风暴是一个亲巴勒斯坦的黑客组织，成立于2023年，曾针对以色列、欧洲和美国的多家组织发起攻击。该组织在Telegram频道上发帖声称正在对Twitter进行DDoS攻击，并分享了check-host.net网站的截图作为证据。X公司目前受Cloudflare DDoS保护服务保障，可疑IP地址访问时会显示验证码。黑客活动分子不断证明其利用僵尸网络等资源破坏大型技术平台的能力。近期，美国起诉了两名涉嫌参与匿名苏丹黑客组织活动的苏丹兄弟，该组织曾成功关闭包括Cloudflare、微软和OpenAI在内的一些最大科技公司的网站和API，对全球众多公司的服务造成扰乱。

https://www.bleepingcomputer.com/news/security/x-hit-by-massive-cyberattack-amid-dark-storms-ddos-claims/

2. 向日葵医疗集团遭勒索攻击，近22万患者敏感信息泄露

3月11日，堪萨斯州的向日葵医疗集团遭受了一次网络攻击，导致近221,000名患者的敏感信息可能泄露。向日葵医疗集团经营着四个紧急护理地点和多个设施，涵盖初级护理、产科和实验室测试。该攻击发生在12月15日，黑客入侵了向日葵医疗集团的系统并复制了文件。受影响的信息包括姓名、地址、出生日期、社会安全号码、驾驶执照号码、医疗信息和健康保险信息。公司最初在1月7日发现漏洞，并聘请网络安全公司进行调查，发现黑客自12月中旬以来一直在入侵系统。向日葵医疗集团已向缅因州、佛蒙特州和加利福尼亚州的监管机构报告此事，并在其网站上发布通知。公司向所有拥有有效地址的受害者发送了信件，并提供一年的信用监控服务。虽然公司未透露是否正在应对勒索软件攻击，但Rhysida勒索软件团伙已承认对此次攻击负责，并威胁称如果不支付约80万美元的赎金，将泄露被盗数据。

https://therecord.media/kansas-healthcare-provider-data-breach

3. 南美APT组织“盲鹰”利用高感染率漏洞攻击哥伦比亚机构

3月11日，Check Point的研究揭示，一个名为“盲鹰”（Blind Eagle）的APT组织正在南美地区活跃，特别是针对哥伦比亚的机构和政府实体进行网络攻击。该组织自2018年以来一直活跃，主要利用复杂的社会工程策略，如网络钓鱼邮件携带恶意附件或链接，来获取对目标系统的初始访问权限。最近，盲鹰被发现使用了一种高感染率的漏洞——CVE-2024-43451的变体，该漏洞由微软在11月修复，但盲鹰在补丁发布六天后就利用了该漏洞的一个变体进行攻击，该变体不直接暴露用户的Windows NTLMv2哈希，但仍能通知威胁行为者文件已被下载。在此次攻击中，受害者会收到包含恶意.url文件的钓鱼邮件，该文件会触发攻击链，下载并执行多个恶意可执行文件，如.NET RAT和Remcos RAT，后者与命令和控制服务器以及僵尸网络一起执行。Check Point指出，盲鹰能够利用合法的文件共享平台绕过传统安全措施并秘密传播恶意软件，是其成功的一个关键因素。Check Point建议组织通过主动威胁情报、高级安全防御和持续监控来缓解此类威胁。

https://www.darkreading.com/cyberattacks-data-breaches/apt-blind-eagle-targets-colombian-government

4. PHP高危漏洞CVE-2024-4577遭全球大规模利用

3月10日，GreyNoise研究人员警告，PHP中的严重漏洞CVE-2024-4577（CVSS评分9.8）正遭受大规模利用。该漏洞是PHP-CGI OS命令注入漏洞，存在于Windows操作系统编码转换的Best-Fit功能中，攻击者可利用特定字符序列绕过先前保护，实现远程代码执行，控制存在漏洞的服务器。自漏洞披露以来，多个参与者试图利用它，包括传播Gh0st RAT、RedTail加密矿工和XMRig等恶意软件家族。Akamai、GreyNoise等安全团队均报告了利用该漏洞的恶意尝试，并观察到DDoS僵尸网络Muhstik背后的威胁行为者也利用了此漏洞。思科Talos研究人员还发现，早在2025年1月就有未知威胁行为者利用该漏洞针对日本组织。GreyNoise确认，CVE-2024-4577已被大规模利用，攻击范围已超出最初报告，涉及美国、英国、新加坡、印度尼西亚、台湾、香港、印度和西班牙等多个地区。该公司敦促使用PHP-CGI的Windows系统组织尽快更新安装，并遵循指导进行追溯搜索以识别类似的利用模式，识别并阻止针对CVE-2024-4577的恶意IP。

https://securityaffairs.com/175198/hacking/experts-warn-of-mass-exploitation-of-critical-php-flaw-cve-2024-4577.html

5. RansomHouse入侵芝加哥洛雷托医院，窃取1.5TB敏感数据

3月10日，RansomHouse团伙宣布入侵了芝加哥洛雷托医院，这是一家成立于1939年的非营利性社区医疗保健提供商，提供包括初级保健、老年医学、视力保健等多种服务。该团伙声称已窃取1.5TB的敏感数据，但尚未公布任何证据。RansomHouse是一个自2021年12月以来一直活跃的数据勒索组织，他们不加密数据，而是专注于数据盗窃，通过泄露数据羞辱不付款的受害者，其中包括AMD和Keralty等公司。美国医院因管理大量敏感数据而成为威胁行为者的优先目标。2024年，针对美国医疗保健提供商的勒索软件攻击激增，其中98次攻击泄露了1.17亿条记录。洛雷托医院在2023年也曾发生过一起数据安全事件，一名前员工盗用了少数患者的安全摄像头录像并发布在Facebook上，随后录像被删除，受影响的患者也收到了通知。这些事件再次提醒人们数据安全的重要性。

https://securityaffairs.com/175187/cyber-crime/ransomhouse-gang-claims-the-hack-of-the-loretto-hospital-in-chicago.html

6. 中东北非遭遇AsyncRAT恶意软件新攻击

3月10日，自2024年9月起，中东和北非地区成为传播AsyncRAT恶意软件修改版本的新目标。据Positive Technologies研究人员分析，此次活动与该地区地缘政治气候紧密相关，攻击者通过Facebook等社交媒体平台创建临时帐户和新闻频道，发布含有恶意软件链接的广告，诱导用户下载并感染设备。该恶意软件被托管在合法的在线文件共享帐户或Telegram频道中，自2024年秋季以来已造成约900名受害者，主要分布在利比亚、沙特阿拉伯、埃及等国家。名为Desert Dexter的威胁行为者于2025年2月被揭露，其使用的恶意软件包含离线键盘记录器、加密货币钱包搜索功能，并能与Telegram机器人通信。尽管幕后黑手身份尚不明朗，但JavaScript文件中的阿拉伯语注释暗示了可能的来源。对Telegram机器人消息的进一步分析揭示了攻击者桌面的屏幕截图和使用的工具，以及一个可能指向利比亚的Telegram频道链接。研究人员指出，尽管Desert Dexter使用的工具并不复杂，但Facebook广告与合法服务的结合以及对地缘政治局势的利用，导致了大量设备受到感染，对网络安全构成严重威胁。

https://thehackernews.com/2025/03/desert-dexter-targets-900-victims-using.html