安全简讯（2026.04.09）

1. 马萨诸塞州知名医院系统遭网络攻击

4月7日，美国马萨诸塞州知名医疗机构Signature Healthcare及其布罗克顿医院近日遭受网络攻击，导致多个信息系统受损，医院被迫拒绝救护车进入，并启动了停机维护程序。该医院系统已运营超过125年，为布罗克顿及波士顿郊区多个城市的数十万居民提供服务。院方表示，在发现网络部分区域存在可疑活动后，立即启动了事件响应协议，以确保高质量的患者护理和安全。受此次攻击影响，虽然住院、急诊服务和预约手术仍继续进行，但医院在周二不得不取消了癌症患者的化疗输液服务，并警告称由于技术故障，患者就诊将面临延误。截至周二，尚无任何黑客组织声称对此次攻击负责。这起事件并非孤立案例，今年以来，美国多家医院已因网络攻击被迫取消预约并限制服务。目前，Health ISAC继续与卫生与公众服务部和网络安全与基础设施安全局等联邦机构保持信息共享渠道，以确保医疗保健公司能够及时获得相关威胁情报。

https://therecord.media/massachusetts-hospital-turning-ambulances-away-cyberattack

2. 伊朗关联黑客大规模瞄准美国关键基础设施PLC

4月7日，美国多个联邦机构包括联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、国家安全局（NSA）、环境保护署（EPA）、能源部（DOE）以及美国网络司令部下属的网络国家任务部队（CNMF）联合发布了一份警告公告，指出与伊朗有关联的高级持续性威胁（APT）组织正以美国关键基础设施网络中暴露于互联网的罗克韦尔/艾伦-布拉德利可编程逻辑控制器（PLC）为目标，发动持续攻击。公告称，自2026年3月以来，这些攻击已对美国政府服务和设施、水和废水系统、能源等多个关键基础设施部门造成了经济损失和运营中断。攻击者的意图包括恶意篡改项目文件，以及操纵人机界面（HMI）和监控与数据采集（SCADA）系统显示屏上显示的数据。FBI评估认为，针对美国组织的这些攻击活动最近有所升级，很可能是对伊朗与美国和以色列之间敌对行动的回应。为防御此类攻击，联合公告向网络防御人员提出了一系列建议：应将PLC与互联网断开连接或使用防火墙加以保护等。

https://www.bleepingcomputer.com/news/security/us-warns-of-iranian-hackers-targeting-critical-infrastructure/

3. SaaS集成商Anodot入侵事件波及多家公司

4月7日，一家软件即服务（SaaS）集成提供商遭遇安全入侵，导致身份验证令牌被盗，随后十余家公司遭受了数据盗窃攻击。虽然多家云存储和SaaS供应商均成为被盗令牌的攻击目标，但大多数数据盗窃攻击主要针对云数据平台Snowflake。Snowflake证实了“异常活动”的存在，并表示其少数客户受到了影响。该公司称，最近在少数客户账户中检测到与特定第三方集成相关的异常活动，随即立即展开调查，并出于谨慎考虑冻结了可能受影响的客户账户，同时通知了相关客户并提供预防性指导。Snowflake强调，这些攻击并未造成其自身系统的任何漏洞或损害。据称，攻击者曾试图使用被盗的身份验证令牌从Salesforce窃取数据，但在成功之前即被检测发现。据多个消息来源获悉，这些攻击源于数据异常检测公司Anodot的一起安全事件。ShinyHunters组织证实了其行为，声称上周五从数十家公司窃取了数据，并确认曾试图从Salesforce窃取数据，但表示被人工智能检测系统拦截。攻击者还声称此次攻击源于Anodot的安全事件，暗示他们可能已入侵该公司一段时间。

https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/

4. UNC6783威胁行为者入侵BPO提供商

4月8日，一个名为UNC6783的威胁行为者正通过入侵业务流程外包（BPO）提供商，获取对多个行业高价值公司的大规模访问权限。据谷歌威胁情报小组（GTIG）披露，已有数十家企业实体成为这种攻击手段的目标，敏感数据被窃取并用于勒索。GTIG首席威胁分析师Austin Larsen表示，UNC6783通常依靠社会工程和网络钓鱼活动来入侵与目标公司合作的BPO公司，有时也会直接联系目标组织内部的支持和帮助台人员，试图获取直接访问权限。研究人员认为，UNC6783可能与一个化名“Raccoon”的匿名威胁行为者有关，后者此前曾以多家为大型公司提供服务的BPO公司为目标。在通过实时聊天发起的社会工程攻击中，攻击者会指示支持人员访问托管在模仿目标公司域名上的伪造Okta登录页面，这些域名遵循特定模式。Larsen指出，这些攻击中部署的网络钓鱼工具包能够窃取剪贴板内容，从而绕过多因素身份验证（MFA）保护，使攻击者能够将其设备注册到组织中。此外，谷歌还观察到UNC6783散布虚假安全更新以传播远程访问恶意软件。在成功窃取敏感数据后，攻击者会通过ProtonMail地址联系受害者索要钱财，以此进行勒索。

https://www.bleepingcomputer.com/news/security/google-new-unc6783-hackers-steal-corporate-zendesk-support-tickets/

5. CISA将Ivanti EPMM严重漏洞加入已知利用目录

4月8日，美国网络安全和基础设施安全局（CISA）近日将Ivanti Endpoint Manager Mobile（EPMM）中发现的一个严重漏洞纳入其已知利用漏洞（KEV）目录，该漏洞编号为CVE-2026-1340，CVSS评分高达9.8。这一代码注入漏洞允许未经身份验证的攻击者实现远程代码执行，且Ivanti公司已确认该漏洞目前已被攻击者积极利用。据Ivanti披露，在漏洞公开之时只有极少数客户受到影响，但第三方在漏洞披露后不久便提供了概念验证程序，大大增加了整体风险。为此，Ivanti敦促所有客户尽快应用补丁，并发布了一款全新的RPM检测工具，帮助客户检查是否存在潜在的漏洞利用。该工具通过扫描已知入侵指标并生成供安全团队审查的日志，辅助判断系统是否已被入侵。根据具有约束力的操作指令BOD 22-01，联邦机构必须在2026年4月11日之前完成该漏洞的修复工作，以保护其网络免受利用。

https://securityaffairs.com/190519/security/u-s-cisa-adds-a-flaw-in-ivanti-epmm-to-its-known-exploited-vulnerabilities-catalog-2.html

6. 荷兰医疗软件供应商ChipSoft遭勒索攻击

4月8日，荷兰医疗保健软件供应商ChipSoft近日遭受勒索软件攻击，导致其系统瘫痪，官方网站自4月7日起持续宕机无法访问。该公司为医院提供患者记录软件，服务范围覆盖荷兰全国约80%的医疗机构，此次攻击对本国医疗系统造成了广泛冲击。荷兰医疗保健行业计算机应急响应小组Z-CERT在一份咨询报告中证实了此次攻击的勒索软件性质，并表示正与ChipSoft、医疗机构及合作伙伴保持联系，努力评估事件的影响范围。尽管ChipSoft面向公众的服务受到严重干扰，但大多数医院仍能够使用其患者门户网站。由于ChipSoft软件的使用方式因客户而异，部分医院将其用于更全面的记录保存，受影响程度更深。据当地新闻媒体NOS调查，共有11家医院将其软件下线，其中9家是该软件使用较为广泛的机构。目前，此次攻击背后的勒索组织尚不明确。针对担心入侵的医院和其他医疗保健合作伙伴，Z-CERT建议审核ChipSoft系统是否存在异常流量，并通过其报告热线披露任何可疑情况。

https://www.theregister.com/2026/04/08/chipsoft_ransomware/