RansomHub勒索团伙入侵佛罗里达西北社区健康中心

2024年12月18日，国家互联网应急中心CNCERT发布公告，自2023年5月起，我国某大型智慧能源与数字信息企业成为疑似美国情报机构发动的网络攻击目标。攻击者利用微软Exchange存在的漏洞，通过境外多个跳板服务器入侵了该企业的邮件服务器，并在服务器内植入了后门程序，持续窃取敏感邮件数据。

此次攻击者通过在邮件服务器中隐蔽植入两个只在内存中运行的攻击武器，避免了硬盘存储，降低了被发现的风险。这些攻击工具通过虚拟化技术隐藏访问路径，具体路径包括/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx。这些恶意程序的主要功能包括敏感信息窃取、远程命令执行以及内网穿透。

在网络内部，攻击者通过混淆技术规避了安全软件的检测，使得流量能够转发到其他目标设备，从而进一步渗透企业内网，成功攻击并控制了超过30台设备，窃取了大量商业机密信息。为了掩盖其攻击痕迹，攻击者在每次渗透之后，为掩盖痕迹，他们会清除系统日志和临时文件，并审查审计日志、历史命令及SSH配置以分析取证迹象并绕过检测。

此次事件揭示了微软Exchange漏洞被广泛利用的风险，国家互联网应急中心已经采取紧急处置措施，严密监控并加强对相关企业的安全防护，避免此类事件的进一步蔓延。

部分跳板IP列表：德国：95.179.XX.XX、167.172.XX.XX、209.38.XX.XX、164.92XX.XX、167.172.XX. XX、139.59.XX.XX、209.38.XX.XX、167.172.XX.XX、164.90.XX.XX、46.101.XX.XX、167.235.XX.XX、64.226.XX.XX、138.201.XX.XX、167.172.XX.XX、157.230.XX.XX、78.46.XX.XX、64.226.XX.XX、164.90.XX.XX、168.119.XX.XX、78.47.XX.XX、159.89.XX.XX、159.69.XX.XX、142.132.XX.XX、49.13.XX.XX；

荷兰：206.189.XX.XX；

芬兰：65.109.XX.XX、65.108.XX.XX、65.21.XX.XX、65.108.XX.XX、135.181.XX.XX；

波兰：70.34.XX.XX；

墨西哥：216.238.XX.XX、216.238.XX.XX。

2025年1月19日，据中央网信办报道：为了营造喜庆祥和的春节网络氛围，中央网信办决定即日起开展为期1个月的“清朗·2025年春节网络环境整治”专项行动。

一、工作目标

坚持问题导向和效果导向，进一步聚焦春节期间网民常用的平台环节和服务类型，集中整治人民群众反映强烈的网络生态问题，为广大网民营造更加积极向上、文明健康的春节网络氛围。

二、工作任务

专项行动重点整治以下6方面问题：

挑起极端对立问题；炮制不实信息问题；宣扬低俗恶俗问题；鼓吹不良文化问题；违法活动引流问题（一是通过发送虚假优惠链接、假冒客服退款等实施网络诈骗，利用“假期兼职”“薅羊毛”等活动诱骗网民刷单。二是在账号信息页面、话题落地页、评论区等位置，以网址链接、二维码截图、特殊字符等形式，发布涉色情、赌博等外链信息，为线下违法活动引流。三是以各类棋牌小游戏、夺宝闯关游戏等名义，变相组织开展网络赌博活动）；侵害消费者权益问题。

近期，Unix 平台上广泛使用的文件同步工具 rsync 暴露出多项高危安全漏洞，安全专家已披露这些漏洞并提供修复措施。为了避免数据泄露和恶意代码执行的风险，所有使用 rsync 的用户必须尽快升级到 3.4.0+ 版本。据统计，有超过66万台公开暴露的Rsync服务器受六个新漏洞威胁。

红帽产品安全部门发现，CVE-2024-12084和CVE-2024-12085漏洞可使攻击者匿名控制rsync服务器，提取敏感信息（如 SSH 密钥）或覆盖用户的配置文件（如 ~/.bashrc 和 ~/.popt），执行恶意操作，对依赖rsync的网站、企业和政府机构构成巨大威胁。

CVE-2024-12084 (CVSS 9.8)：由于校验和长度处理不当，rsync 中存在缓冲区堆栈溢出漏洞，攻击者可通过此漏洞在受影响的系统上执行任意代码。CVE-2024-12085 (CVSS 7.5)：堆栈内容未初始化，攻击者可通过此漏洞泄露系统敏感信息。CVE-2024-12086 (CVSS 6.1)：rsync 服务器可能泄露任意客户端文件，攻击者可利用此漏洞窃取文件。CVE-2024-12087 (CVSS 6.5)：路径遍历漏洞，攻击者可绕过路径限制，访问非授权文件。CVE-2024-12088 (CVSS 6.5)：使用 --safe-links 选项绕过路径遍历的保护机制，导致文件泄露。CVE-2024-12747 (CVSS 5.6)：在处理符号链接时存在竞争条件，攻击者可利用该漏洞获取系统控制权。

上述漏洞的前五个由谷歌云的漏洞研究团队发现，第六个漏洞由安全研究人员 Aleksei Gorban 发现。幸运的是，这些问题已经在 rsync 3.4.0 版本中得到了修复，用户应尽快进行升级。

红帽建议所有 rsync 用户立即升级至最新版（3.4.0+）。如果暂时无法进行升级，用户可采取以下缓解措施：针对 CVE-2024-12084：通过使用 CFLAGS=-DDISABLE_SHA512_DIGEST 和 CFLAGS=-DDISABLE_SHA256_DIGEST 禁用 SHA 算法支持，降低该漏洞的风险。针对 CVE-2024-12085：在编译时使用 -ftrivial-auto-var-init=zero 参数，以确保堆栈内容清零，从而防止泄露敏感信息。用户可通过以下链接下载修复版本：https://github.com/RsyncProject/rsync/releases

2025年01月19日，人民网报道，诈骗人员引导受害人下载第三方软件，通过手机NFC实现银行卡转账。

案例一：李先生接到一个自称航空公司客服的电话，对方称其航班因机械故障被取消，并询问是选择改签还是退票。李先生选择改签，对方进一步表示因已为其购买保险，可退还300元到银行卡，但需通过“企业支付”操作。在对方的指引下，李先生使用银行卡在某平台开通了“放心借”服务，并按照对方要求分两次借款共10万元。随后，对方要求李先生下载一款软件，并通过手机NFC功能进行刷卡操作。李先生按指示完成了两笔大额交易，当对方要求进行第三次刷卡时，李先生察觉异常，但已被骗9.8万元。

案例二：罗女士接到陌生来电，对方谎称其已开通“会员直播服务”，如不取消将扣除高额费用。罗女士添加了对方提供的客服账号，并下载了两个App安装包。其中一个是会议类软件，另一个则是支付工具。开启屏幕共享后，罗女士的手机被远程操控，甚至出现自动黑屏的情况。随后，对方要求罗女士将银行卡贴近手机的NFC识别区域，并指示她不要操作手机。不久后，对方发送“关闭会员成功”的虚假消息后断开联系。罗女士与家人检查后发现，银行卡内的钱已被转走。

对诈骗手法分析，以“航班故障”、“扣费取消”为由，引起受害者紧张情绪，利用紧急感降低其警惕性。要求受害者通过NFC功能，将银行卡信息与虚假软件绑定，直接读取并转移卡内资金。使用屏幕共享等技术，让受害者误以为对方是正规操作，进一步增加信任度。骗子发送虚假的“成功取消”消息，让受害者放松警惕，延迟发现资金被盗。

警方紧急提醒，接到自称客服的电话，务必核实其真实身份，尤其是涉及改签、退款等敏感信息时。避免随意通过NFC功能进行陌生支付操作，谨防被盗刷。任何要求打开屏幕共享或远程协助的操作均应高度警惕，避免泄露个人信息。一旦察觉被骗，应立即拨打银行客服电话冻结银行卡，并报警处理。

Rhysida勒索团伙近日在其暗网Tor数据泄露站点上公布加拿大魁北克的Qualinet公司成为其受害者，并提供了部分样例数据以证明其攻击事实。Qualinet是魁北克灾后清理和恢复服务的领导者。他们提供包括水灾或洪水的应急措施，以及一般的房屋清洁和室内装潢的专业清洁等服务。

时间：2025/1/11

是否存在数据样例：是

影响行业：商务服务

涉及地区：加拿大

BlackBasta勒索团伙近日在其暗网Tor数据泄露站点上公布了荷兰公司bnext.nl的数据。据悉，Bnext.nl是一家专门从事可持续废物管理和回收的公司，特别是在建筑和拆除领域。

时间：2025/1/13

是否存在数据样例：是

影响行业：商务服务

涉及地区：荷兰

RansomHub勒索团伙近日在其暗网Tor数据泄露站点上公布了佛罗里达西北社区健康中心healthcarewithinreach.org成为其受害者。佛罗里达西北社区健康中心是联邦合格健康中心和联邦侵权索赔法 (FTCA)认定机构。该健康中心接受HHS资助，并拥有联邦公共卫生服务(PHS)指定资格，可针对其自身承保的个人提起一些健康或健康相关指控，包括医疗事故指控。

时间：2025/1/13

是否存在数据样例：否

影响行业：医疗

涉及地区：美国

人民网报道，短视频社交媒体平台TikTok19日恢复在美国的服务。美国西部时间19日9时30分（北京时间20日1时30分）左右，TikTok在社交媒体上发布声明说，公司已与互联网服务提供商达成一致，正在恢复相关服务。记者随即查看，TikTok应用程序已恢复正常使用，TikTok网站也已恢复正常。但字节跳动旗下的其他热门应用，如数字卡牌游戏《Marvel Snap》、视频编辑应用 CapCut 以及社交平台 Lemon8，在美仍处于封禁状态。目前，包括 TikTok 在内的这些应用均无法在美国苹果 App Store和谷歌Play Store下载。

TikTok于美国西部时间18日19时30分（北京时间19日11时30分）左右关停了对美用户服务。TikTok母公司字节跳动旗下多个应用软件几乎同一时间停止在美服务。为TikTok应用程序在美正常运转提供支持的苹果、谷歌和甲骨文等美国企业也停止了相关服务。

特朗普19日早些时候在社交媒体上发文，呼吁各公司不要让TikTok处于停止运转状态。特朗普说，他将于20日发布一项行政令，推迟TikTok“不卖就禁用”的法律生效时间，此前任何帮助维持TikTok运转的公司将不承担法律责任。

2024年4月，美国总统拜登签署一项国会两院通过的法案，要求字节跳动在270天内将TikTok出售给非中国企业，否则这款应用程序将在2025年1月19日后在美国被禁用。

本月17日，美国联邦最高法院裁定，TikTok“不卖就禁用”的法律不违宪。这意味着联邦最高法院允许该法案按原计划于19日生效。拜登政府随后表示，执法责任由即将于20日上任的特朗普政府承担。TikTok公司17日回应说，除非拜登政府向美国互联网服务商提出明确的不追责声明，否则该平台将于19日被迫关闭。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删