网络安全预警通报
安全新闻 2024年12月31日
据印度制药巨头Cipla成为了Akira勒索软件网络攻击的受害者。黑客声称从这家跨国公司窃取了70GB敏感数据,该公司在全球运营47家制造工厂,产品销往86个国家/地区。
据悉,这次攻击泄露在制药行业引发了震动,引发了行业对数据安全和患者隐私的严重担忧。
根据Akira勒索软件组织的说法,被盗信息包括广泛的敏感数据:
个人病历及处方药
内部财务信息
客户联系方式,包括电话号码和电子邮件地址
员工联系方式
据X消息,Akita在其暗网门户上分享了攻击信息,声称从Cipla窃取了70GB的数据。
这起事件发生在Akira勒索软件特别活跃的时期。上个月,该组织在一天内泄露了35个组织的信息,这是他们迄今为止最大的一次数据泄露。
这次前所未有的泄露规模,被认为是该集团在一段相对不活跃时期后,展示其正在扩大运营。
Akira自2023年第一季度首次出现以来,迅速成为最普遍的勒索软件之一,至今已影响超过350个组织。
该组织以其复杂的策略而闻名,包括使用ChaCha2008加密和各种分发方法,例如受感染的电子邮件附件和利用VPN漏洞。
Cipla泄露事件与Akira的典型作案手法一致。该组织经常采用双重勒索策略,不仅加密文件,还泄露数据以迫使受害者支付赎金。
Cipla拥有广泛的全球影响力,在药品供应链中发挥着关键作用,是网络犯罪分子的高价值目标。个人医疗记录和财务信息的潜在泄露可能对公司、员工和客户产生深远影响。
截至目前,Cipla尚未公开确认数据泄露或对勒索软件组织的说法发表评论。
如果事件得到证实,将突显出医疗和制药领域加强网络安全措施的迫切需要。
专家建议组织实施强有力的勒索软件预防策略,包括定期进行安全审计、员工培训和先进的终端保护解决方案。
随着勒索软件攻击不断演变并针对关键行业,积极的网络安全措施不容忽视。
一个网络间谍组织被指控对南欧大型 B2B IT 服务提供商发动攻击,这是代号为“Digital Eye(数字眼行动)”的行动的一部分。
网络安全公司 SentinelOne、SentinelLabs 和 Tinexta Cyber在一份联合报告中表示,入侵行为发生在 2024 年 6 月下旬至 7 月中旬,并补充说这些活动在进入数据泄露阶段之前就被发现并消除了。
安全研究人员亚历山大·米伦科斯基 (Aleksandar Milenkoski) 和路易吉·马蒂雷 (Luigi Martire)表示:“这些入侵可能使对手建立战略立足点并危及下游实体。”
“威胁组织滥用 Visual Studio Code 和 Microsoft Azure 基础设施进行 C2 [命令和控制] 攻击,试图通过使恶意活动看起来合法来逃避检测。”
目前尚不清楚哪个黑客组织是此次攻击的幕后黑手,该组织与多个已知的黑客组织之间存在广泛的共享工具和基础设施,使得情况更加复杂。
“Digital Eye(数字眼行动)”的核心是将 Microsoft Visual Studio Code远程隧道武器化用于 C2,这是一项合法功能,可实现对端点的远程访问,使攻击者能够执行任意命令和操纵文件。
黑客使用此类公共云基础设施,部分原因在于,活动就可以融入网络防御者看到的典型流量中。此外,此类活动使用合法的可执行文件,不会被应用程序控制和防火墙规则阻止。
研究人员观察到的攻击链涉及使用SQL 注入作为初始访问载体来破坏面向互联网的应用程序和数据库服务器。代码注入是通过名为SQLmap的合法渗透测试工具完成的,该工具可自动检测和利用 SQL 注入漏洞。
成功攻击后,会部署一个基于 PHP 的 Web Shell(称为 PHPsert),使攻击者能够站稳脚跟并建立持久的远程访问。后续步骤包括侦察、凭证收集以及使用远程桌面协议 (RDP) 和传递哈希技术横向移动到网络中的其他系统。
研究人员表示:“对于传递哈希攻击,他们使用了自定义修改版的 Mimikatz。”该工具“利用被破解的 NTLM 密码哈希,无需输入用户的实际密码,即可在用户的安全上下文中执行进程。”
大量源代码重叠表明,定制工具与疑似网络间谍活动(如Soft Cell “软细胞行动”and Operation Tainted Love“爱情污点行动”)中观察到的工具来自同一来源。这些自定义 Mimikatz 修改版还包括共享代码签名证书和使用独特的自定义错误消息或混淆技术,统称为 mimCN。
研究人员指出:“mimCN 样本的长期演变和版本控制,以及留给单独操作团队的说明等显著特征,表明有共享供应商的主动维护和配置。”
另外值得注意的是依赖 SSH 和 Visual Studio Code 远程隧道进行远程命令执行,攻击者使用 GitHub 帐户进行身份验证并连接到隧道,以便通过基于浏览器的 Visual Studio Code 版本(“vscode[.]dev”)访问受感染的端点。
目前尚不清楚威胁组织是否使用新近自注册或已经被入侵的 GitHub 帐户来验证隧道身份。
据Cyber Security News消息,卡巴斯基发现,一项仍在持续的攻击行为正利用盗版软件传播RedLine数据窃取程序,目标是一些俄国企业。
报告表明,该攻击活动开始于 2024 年 1 月,通过俄罗斯一些在线论坛向目标发送了包含RedLine数据窃取程序的HPDxLIB 激活工具,该工具主要用来激活一些商业软件。
根据发现的激活器样本,RedLine被一种非常不寻常的方式隐藏,激活器库被 .NET Reactor 混淆,恶意代码被压缩和加密成多个层。研究人员注意到,恶意版本的激活工具在 .NET 中构建,并使用了自签名证书,而合法的 C++ 版本则使用了有效证书。
攻击者专门在讨论会计和公司的论坛上提供恶意激活工具的链接,并详细介绍了如何绕过许可证检查并能够保持更新。如同大多数激活工具一样,在安装时会要求用户关闭相应的安全保护,以此逃避安全检测,否则软件将无法正常运行。
另外,用户被要求用恶意激活工具中的techsys.dll文件替换合法的同名文件,并在执行已打补丁的软件时,通过合法的 1cv8.exe 进程加载恶意库,从而运行窃取程序。这种方法利用的是用户的信任,而不是企业软件的漏洞。
RedLine 窃取程序以恶意软件即服务(MaaS)的形式传播,其开发者为买家提供了一次性购买或订阅的使用方式。RedLine 系列专门从指定的 C&C 服务器窃取机密数据,包括即时消息应用程序、浏览器、被入侵系统及其用户的信息。
该活动主要说明了盗版软件和各种激活程序可能潜在的危害性。因此,为了安全起见,企业应避免使用盗版软件。
▼
能信安——新一代网络安全领先企业!
深圳市能信安科技股份有限公司,是以安全、移动、泛在和大数据为主要方向的专业技术公司,致力于移动互联安全、车联网安全、物联网安全、大数据安全和人工智能安全技术。
公司是公安部、工信部网络安全技术支撑单位,国家网络安全威胁和漏洞信息共享平台技术支撑单位,是深圳大运会、党的十八大、2020年全国两会、2021年联合国生物多样性大会网络安全技术支撑单位。公司是国家级专精特新“小巨人”企业,中国移动安全十强企业,全国网络安全百强企业,具有良好的品牌影响力。
公司为中国新一代网络安全领先企业。在移动安全领域,公司可提供业界最先进、完整的技术、产品与解决方案,引领移动互联安全的技术潮流。主要产品及服务包括移动应用安全防火墙、无线安全检测及防御系统、移动应用安全检测及加固技术等。在数据安全领域,提供业界领先的数据安全治理、数据安全合格产品与服务。
公司依托于多年网络安全领域的技术经验及专业资质,向各类政府机关及企事业单位提供等级(分级)保护顾问咨询、关基保护顾问咨询、数据安全治理、密码改造顾问咨询、信息系统风险评估、安全体系建设咨询、修复加固服务、渗透测试服务、应急响应服务、安全运维保障服务。
原文始发于微信公众号(能信安资讯):印度制药巨头 Cipla 遭攻击,Akira 勒索软件称窃取 70GB 数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论