明朝万达2023年网络安全月报（12月）

网络安全前沿新闻

据观察，被称为Carbanak的银行恶意软件被用于勒索软件攻击。网络安全公司NCC Group在对2023年11月发生的勒索软件攻击的分析中表示：“该恶意软件已经适应了攻击供应商和技术，以使其有效性多样化。”

“Carbanak上个月通过新的分销链返回，并通过受感染的网站进行分发，以冒充各种商业相关软件。”一些模拟工具包括流行的业务相关软件，例如HubSpot、Veeam和Xero等。Carbanak至少自2014年起就在野外被发现，以其数据泄露和远程控制功能而闻名。它最初是一种银行恶意软件，后来被FIN7网络犯罪集团使用。

威胁追踪者发现了一个流氓WordPress 插件，该插件能够创建虚假的管理员用户并注入恶意JavaScript 代码来窃取信用卡信息。恶意插件通常通过受感染的管理员用户或利用网站上已安装的另一个插件的安全漏洞来进入WordPress网站。该插件安装后，其会将自身复制到mu-plugins（或必须使用的插件）目录，以便自动启用并在管理面板中隐藏其存在。

该欺诈性插件还提供了一个选项，可以创建管理员用户帐户并向合法网站管理员隐藏管理员用户帐户，以避免引发危险信号，并可以长时间持续访问目标。该活动的最终目标是在结帐页面中注入窃取信用卡的恶意软件，并将信息泄露到攻击者控制的域中。

作为网络钓鱼活动的一部分，攻击者正在利用旧的Microsoft Office漏洞来传播名为Agent Tesla的恶意软件。感染链利用以发票为主题的消息中附加的诱饵Excel文档来诱骗潜在目标打开它们并激活CVE-2017-11882（CVSS 评分：7.8）的利用，这是Office公式编辑器中的内存损坏漏洞，可能会导致代码以用户权限执行。

第一个有效负载是一个模糊的Visual Basic脚本，它会启动嵌入 Base64编码的DLL文件的恶意JPG文件的下载。随后，隐藏的DLL被注入到 Windows程序集注册工具RegAsm.exe中，以启动最终的有效负载。值得注意的是，该可执行文件过去也曾被滥用来加载Quasar RAT。

美国司法部(DoJ)正式宣布中断BlackCat勒索软件操作，并发布了一款解密工具，超过500名受影响的受害者可以使用该工具重新访问被恶意软件锁定的文件。

法庭文件显示，美国联邦调查局(FBI)寻求机密人员(CHS)的帮助，充当BlackCat组织的附属机构，并获得用于管理该团伙受害者的网络面板的访问权限，这是一种黑客入侵事件。

威胁行为者越来越多地通过新方法利用GitHub进行恶意目的，包括滥用秘密Gists以及通过git commit消息发出恶意命令。

恶意软件作者偶尔会将他们的样本放置在Dropbox、Google Drive、OneDrive和Discord等服务中，以托管第二阶段恶意软件和回避检测工具。

德国医院网Katholische Hospitalvereinigung Ostwestfalen (KHO) 已证实，最近三家医院的服务中断是由Lockbit勒索软件攻击造成的。

这次袭击发生在2023年12月24日星期六凌晨。它严重影响了支持德国比勒费尔德、雷达-维登布吕克和黑尔福德三家医院运营的系统。医院发布的机器翻译公告中写道：“身份不明的攻击者已经访问了医院IT基础设施的系统，并加密了数据。

益生菌牛奶饮料制造商Yakult Australia在给BleepingComputer的一份声明中证实遭遇了“网络事件”。该公司的澳大利亚和新西兰IT系统均受到影响。

网络犯罪组织DragonForce声称对此次网络攻击负责，还泄露了据称属于该公司的95GB数据。

Integris Health是俄克拉荷马州最大的非营利性医疗网络，他们的患者收到勒索电子邮件，称他们的数据在医疗保健网络的网络攻击中被盗，如果他们不支付勒索要求，这些数据将被出售给其他威胁行为者。，在全州运营医院、诊所和紧急护理服务。

该医疗保健网络证实，他们在11月遭受了网络攻击，导致患者数据被盗。“INTEGRIS Health发现某些系统上存在潜在的未经授权的活动，”   Integris Health网站上的数据隐私声明中写道。

美国第二大产权保险公司第一美国金融公司今天关闭了部分系统，以遏制网络攻击的影响。

“第一美国公司经历了一次网络安全事件，”该公司在专门针对网络攻击的网站上发表的一份声明中表示。本文发表前，其官网已下线。“作为回应，我们已经关闭了某些系统，并正在努力尽快恢复正常业务运营。”

ESO Solutions是一家为医疗机构和消防部门提供软件产品的提供商，该公司透露，由于勒索软件攻击，属于270万患者的数据已被泄露。

根据通知，此次入侵发生在9月28日，在黑客对多个公司系统进行加密之前，导致数据被泄露。

康卡斯特有线通信公司（以 Xfinity 名义开展业务）周一透露，10月份入侵其Citrix服务器的攻击者还从其系统中窃取了客户敏感信息。

网络安全公司Mandiant表示，至少从2023年8月下旬起，Citrix漏洞就已被作为零日漏洞积极利用。在对该事件的影响进行调查后，Xfinity于11月16日发现，攻击者还从其系统中窃取了数据，数据泄露影响了 35,879,455人。

Cooper先生（前身为Nationstar Mortgage LLC）是一家位于达拉斯的抵押贷款公司正在发送数据泄露通知，警告称最近的一次网络攻击已经泄露了1,470万曾经或曾经在该公司抵押贷款的客户的数据。

2023年11月初，该公司宣布在2023年10月30日发生的一次网络攻击中遭到破坏，并于次日发现。为了应对未经授权的入侵，该公司被迫关闭所有IT系统，包括用于支付贷款和抵押贷款的在线支付门户。今天，该公司向缅因州总检察长办公室提交了一份报告，告知该事件影响了14,690,284人。

Hunters International勒索软件团伙声称是对Fred Hutchinson癌症中心 (Fred Hutch) 进行网络攻击的幕后黑手，该攻击导致患者收到个性化勒索威胁。

Fred Hutch是一家总部位于西雅图的癌症研究和患者护理与治疗中心，在该地区运营着由十多个临床站点组成的网络。本月初，该医院披露了一起发生于2023年11月19日的网络安全事件，涉及未经授权访问其网络。该卫生组织隔离了受影响的服务器，关闭了其临床网络以防止威胁传播，并向联邦执法当局通报了此次攻击。

加利福尼亚州牙科保险提供商Delta Dental及其附属公司警告近700万患者，由于MOVEit Transfer软件泄露导致了个人数据泄露。

根据加利福尼亚州Delta Dental的一份 数据泄露通知，该公司遭受了威胁行为者通过MOVEit文件传输软件应用程序的未经授权的访问。该软件容易受到零日SQL注入缺陷的影响，导致远程代码执行，被追踪为CVE-2023-34362，Clop勒索软件团伙利用该缺陷破坏了全球数千个组织。

爱达荷国家实验室(INL) 证实，攻击者上个月突破其基于云的Oracle HCM HR管理平台后，窃取了超过45,000人的个人信息。INL是美国能源部 (DOE) 17个国家实验室之一，拥有6,100名研究人员和支持人员，从事国家安全和核研究。

11月20日，该公司确认一天前发生了一次影响其异地Oracle HCM系统的“网络安全数据泄露”。作为正在进行的联合调查的一部分，CISA和FBI正在调查其影响。

网络安全最新漏洞追踪