本周安全事件速览

04月17日-04月23日

网络间谍组织使用凭据窃取程序等恶意入侵手段对东南亚多国交通、电信和建筑监管部门持续开展网络攻击

简要介绍

被追踪为Lotus Panda的网络间谍组织被归咎与2024年8月至2025年2月期间入侵东南亚国家多个行业监管组织的网络攻击活动有关。“其目标包括政府部门、空中交通管制组织、电信运营商和建筑公司。”赛门铁克威胁猎人团队在与The Hacker News分享的一份新报告中说。“攻击涉及使用多种新的自定义工具，包括加载程序、凭据窃取程序和反向SSH工具。”据称，这组入侵还针对位于东南亚另一个国家的一家新闻机构和位于另一个邻国的一家航空货运组织。Lotus Panda（又名Billbug、Bronze Elgin、Lotus Blossom、Spring Dragon和Thrip）有策划针对东南亚政府和军事组织的网络攻击的历史。根据博通网络安全部门的说法，该威胁集群被评估为该公司于2024年12月披露的至少自2023年10月以来在东南亚开展的活动的延续。

文章来源：The Hacker News

与俄罗斯有联系的APT29黑客组织使用新型恶意软件针对欧洲国家外交部门发起一系列网络钓鱼入侵

简要介绍

被称为APT29的俄罗斯国家支持的黑客组织与一项高级网络钓鱼活动有关，该活动使用WINELOADER的新变体和以前未报告的代号为GRAPELOADER的恶意软件加载程序针对欧洲各地的外交实体。据悉，虽然改进的WINELOADER变体仍然是后期使用的模块化后门，但GRAPELOADER是一个新观察到的初始阶段工具，用于指纹识别、持久性和有效载荷交付。最新的一组攻击涉及发送电子邮件邀请，冒充未指明的欧洲外交部前往品酒活动的目标，诱使他们点击一个链接，通过带有恶意软件的ZIP存档（“wine.zip”）触发GRAPELOADER的部署。据说该活动主要针对多个欧洲国家，特别关注外交部以及其他国家的驻欧洲大使馆。有迹象表明，驻中东的外交官也可能成为目标。

文章来源：The Hacker News

黑客利用俄罗斯防弹托管服务提供商主机Proton66面向全球多个组织开展大规模网络扫描和凭证暴力破解活动

简要介绍

网络安全研究人员披露大规模扫描、凭证暴力破解和利用尝试激增，这些IP地址源自与名为Proton66的俄罗斯防弹托管服务提供商相关的IP地址。根据Trustwave SpiderLabs上周发布的分析，该活动自2025年1月8日以来被检测到针对全球组织。“网络块45.135.232.0/24和45.140.17.0/24在大规模扫描和暴力尝试方面特别活跃。”安全研究人员Pawel Knapczyk和Dawid Nesterowicz 说。“几个违规的IP地址以前从未被发现参与恶意活动或两年多来处于非活动状态。”据悉，包括GootLoader和SpyNote在内的几个恶意软件家族已在Proton66上托管了他们的命令和控制（C2）服务器和网络钓鱼页面。同时，几个与Proton66相关的恶意软件活动被观察到旨在分发XWorm、StrelaStealer和名为WeaXor的恶意勒索软件。

文章来源：The Hacker News

美国德克萨斯州阿比林市市政服务系统在遭受网络攻击后关闭公用事业服务

简要介绍

美国德克萨斯州阿比林市在网络攻击导致服务器问题后关闭了系统，该事件发生后一些受影响的系统仍处于离线状态，但紧急服务仍在运行，没有发现财务违规行为。“2025年4月18日，市政府官员收到我们内部网络内服务器无响应的报告，并立即开始执行我们的事件响应计划并断开受影响的系统和关键资产以保护我们的系统。”该公司发布的安全事件通知中写道。“我们还启动了调查，并聘请了行业领先的网络安全专家来确定事件的性质和范围，并通知了有关当局。”据悉，政府办公室的实体卡系统已关闭，因此只接受现金、支票或在线卡支付。该市宣布不会因逾期付款而关闭公用事业。“自来水公司客户仍然可以支付他们的市政服务报表。”通知继续说道。

文章来源：Security Affairs

美国关岛医院向联邦政府支付25,000美元以解决因违规行为造成的勒索事件处罚

简要介绍

关岛的一家公立医院已同意向联邦监管机构支付25,000美元，并实施一项纠正行动计划以解决在调查两起安全事件期间发现的潜在HIPAA违规行为。美国卫生与公众服务部民权办公室表示，与关岛纪念医院管理局达成的和解涉及HHS OCR对2019年1月提交的投诉的调查，该投诉涉及2018年12月发生的影响了5000人的勒索软件事件。在那次调查期间，HHS OCR于2023年3月17日收到了另一起针对GMHA的投诉。“HHS对该投诉的调查显示，两名前雇员在雇佣关系结束后于2023 年3月访问了GMHA的网络系统。”HHS OCR在与GMHA的解决协议中表示。HHS OCR表示，其对这两起事件的调查发现GMHA未能进行准确和彻底的风险分析，以识别GMHA持有的电子保护健康信息的潜在风险和脆弱性。

文章来源：Bank Info Security

美国为人寿保险和年金公司提供后台管理服务的第三方供应商数据泄露事件导致160万人敏感信息受到影响

简要介绍

美国为人寿保险和年金公司提供后台管理服务的第三方供应商Landmark Admin表示，160万人和十几个客户可能会受到2024年连续数据泄露事件的影响。黑客攻击泄露了广泛的个人、财务和健康信息。这家总部位于德克萨斯州的公司在其最新的泄露报告中表示该事件始于2024年5月黑客未经授权访问其系统，然后黑客通过“Landmark环境中第三方备份设备上的后门”返回。这两起事件都导致了数据泄露。Landmark最初于2024 年5月13日在其网络上检测到可疑活动，然后在2024年5月15日，该公司发现数据已被泄露。Landmark表示，调查无法确定这些凭证是如何被泄露的。泄露通知称，应对措施包括补救、恢复、现场取证和全面的调查，以确定事件的性质和范围。

文章来源：Bank Info Security

英国信息专员办公室对律师事务所DDP Law数据泄露事件处以60,000英镑罚款

简要介绍

英国信息专员办公室对总部位于利物浦的律师事务所DDP Law处以60,000英镑的罚款，理由是该公司违反了与2022年勒索软件黑客攻击和数据泄露相关的GDPR，该黑客攻击和数据泄露暴露了敏感信息，包括其客户案件的细节。信息专员办公室表示，该律师事务所未能充分保护客户数据或消除数据泄露风险，违反了英国通用数据保护条例。黑客在2022年的勒索软件攻击中从律师事务所窃取了32.4 GB的数据，随后发布在暗网上。此次泄露影响了791人，包含有关306名客户的信息，包括DNA测试数据、儿童和性犯罪受害者的详细信息。调查确定了导致数据泄露的几个安全和隐私错误，包括律师事务所使用具有高权限的过时帐户，且未能评估其IT系统带来的风险。

文章来源：Bank Info Security

美国明尼苏达州牙科诊所遭黑客非法访问导致近13.5万人数据被窃取

简要介绍

美国明尼苏达州最大的非营利性牙科诊所通知近135,000人发生了一起数据盗窃事件，该事件可能泄露了他们的健康和个人信息。Community Dental Care于3月28日向美国联邦监管机构报告了这次黑客攻击。CDC在其网站上发布的泄露通知中表示2024年12月20日在其计算机系统中发现了未经授权的活动。CDC表示，它迅速采取措施关闭其系统来阻止这种活动。据悉，该诊所已向联邦调查局、联邦监管机构和消费者信用报告机构报告了这一事件。调查确定，一些个人信息是在2024年12月6日或前后被未知行为者在未经授权的情况下访问和获取的。CDC表示，可能泄露的信息包括姓名、地址、出生日期、社会安全号码、驾驶执照号码或政府颁发的其他身份证号码、护照号码、医疗信息和健康保险信息。

文章来源：Bank Info Security

往期回顾：