输液中心技术服务供应商遭黑客攻击，11.8万患者信息泄露

臭名昭著的黑客交易平台BreachForums再次遭遇关闭。黑客组织Dark Storm Team声称对此次攻击负责。该组织被认为导致上月Elon Musk旗下X平台大规模宕机。 

Dark Storm Team是一个提供DDoS服务的黑客组织，周二期间还攻击了芬兰中央银行和匈牙利国防部等多个关键基础设施网站。Dark Storm Team在其Telegram频道上声称，他们对BreachForums实施了分布式拒绝服务(DDoS)攻击，仅仅是"为了好玩"。该组织提供的Check-Host.net链接显示，到当天下午，该网站在全球二十多个国家仍无法访问。

BreachForums自2023年3月其创始人Pompompurin被捕以来，经历了多次关闭与重启。最近一次被FBI查封是在2024年5月。在Dark Storm Team宣称对攻击负责之前，X平台上充斥着FBI再次查封该网站的猜测。

CloudSEK网络安全研究人员近日发现了一个利用PDFCandy.com知名度的复杂恶意软件活动。攻击者通过仿冒这款拥有超过250万用户（其中超过50万来自印度）的在线文件转换工具，分发ArechClient2信息窃取恶意软件。

研究显示，攻击者创建了假冒的PDF转DOCX转换器，精心复制了合法网站的用户界面，并注册了相似的域名以欺骗用户。当用户访问这些假网站时，会被要求上传PDF文件进行转换，网站甚至显示虚假的加载动画以建立信任。

随后，网站会出现CAPTCHA验证，这标志着攻击从社会工程转向系统入侵的关键步骤。验证后，网站指示用户运行Windows PowerShell命令，导致系统被入侵。命令分析揭示了一系列重定向，最终指向名为"adobe.zip"的文件，该文件已被多个安全服务标记为恶意。该文件包含名为"SoundBAND"的文件夹，内有危险的可执行文件"audiobitexe"。攻击者利用合法的Windows程序和工具发起多阶段攻击，最终启动ArechClient2信息窃取恶意软件。

美国网络安全和基础设施安全局（CISA）宣布，美国政府已延长对MITRE的资金支持，以确保通用漏洞和暴露（CVE）项目的关键服务不会中断。这一决定是在MITRE副总裁Yosry Barsoum警告政府资金可能于4月16日到期后做出的。据了解，此次合同延期为期11个月。

CVE项目由MITRE维护，为讨论安全漏洞提供准确性、清晰度和共享标准，资金来自美国国土安全部（DHS）的国家网络安全部门。CISA表示，CVE项目对网络安全社区至关重要，是该机构的优先事项。合同延期执行后，CVE服务将继续运行，不会出现中断。

在CISA宣布此消息前，一群CVE董事会成员宣布成立非营利组织CVE基金会，旨在确保CVE项目的独立性。该基金会计划在未来几天发布更多关于过渡计划的信息。与此同时，欧洲网络与信息安全局（ENISA）也推出了欧洲漏洞数据库（EUVD），采用多方利益相关者方法，从多个来源收集公开可用的漏洞信息。

美国纽约技术公司Endue Software近日确认发生数据泄露事件，导致超过11.8万名患者的敏感个人信息被曝光。该公司为全美输液诊所提供数字基础设施管理服务。

此次攻击发生于2025年2月16日，但直到最近才因法律要求向监管机构和受影响个人发出通知而被公开。Endue承认黑客成功入侵其系统并复制了大量个人数据，包括患者全名、社会安全号码、出生日期和医疗记录号等敏感信息。

Endue在通知中表示，该公司已实施额外安全措施以降低与此事件相关的风险，并帮助防止类似事件再次发生。目前尚无证据表明被盗数据已被滥用，但该公司正为受害者提供12个月的免费信用监控和身份盗窃保护服务。

近日成功揭示了臭名昭著的勒索软件组织Medusa的真实服务器身份。这个通过Tor隐藏服务运作的组织，因其基础设施中的漏洞被巧妙利用而暴露。

自 2019 年出现以来，Medusa勒索软件组织主要针对医疗保健、教育和制造领域的组织发起了数百次攻击，已成为网络安全领域的巨大威胁。Covsec研究团队发现了Medusa勒索软件博客平台的一个关键漏洞，成功绕过了Tor网络提供的保护。通过利用这个高危漏洞，安全团队执行了一次权限提升攻击，揭示了隐藏服务的实际IP地址：95.143.191.148。该服务器托管在俄罗斯SELECTEL（AS49505）路由的网络上，运行Ubuntu Linux和OpenSSH 8.9p1。服务器暴露了三个服务：22端口的SSH，80端口的HTTP，以及3000端口的额外HTTP服务。

攻击过程利用了服务器端请求伪造（SSRF）漏洞，最终执行了"curl -s https://ifconfig.me"命令来验证实际IP地址。研究人员使用Censys搜索引擎验证了这一发现。暴露的服务器展示了糟糕的安全配置，包括开放的标准SSH端口使用密码认证，以及3000端口直接暴露Medusa Locker Group的受害者谈判门户。

苹果公司已发布iOS 18.4.1和iPadOS 18.4.1更新，修复两个被用于针对特定iPhone用户实施高度定向、复杂攻击的关键零日漏洞。

这两个漏洞存在于CoreAudio和RPAC组件中，攻击者可利用它们在受影响设备上执行任意代码或绕过安全保护机制。两个正被活跃利用的零日漏洞CoreAudio漏洞

第一个漏洞编号为CVE-2025-31200，存在于负责iOS和iPadOS设备音频处理的CoreAudio框架中。

"处理恶意构造媒体文件中的音频流可能导致代码执行。苹果已收到报告，该漏洞可能已被用于针对iOS特定用户的极其复杂的攻击。"

苹果与谷歌威胁分析小组合作确认，该漏洞已被用于针对部分iOS用户的高级攻击。

第二个漏洞CVE-2025-31201影响RPAC（面向返回编程攻击防护）安全机制，该机制旨在防范漏洞利用。

该漏洞可能使具备任意读写能力的攻击者绕过指针认证（Pointer Authentication）功能，该功能可防止代码被篡改。苹果指出，该漏洞在同一针对性攻击活动中被利用，目前已通过移除易受攻击代码得到缓解。

据威胁监控平台Shadowserver Foundation报告，超过1.6万暴露在互联网上的Fortinet设备被发现遭受新型符号链接后门攻击。该后门允许攻击者对先前被入侵的设备上的敏感文件进行只读访问。

Fortinet上周警告客户，他们发现了一种新的持久性机制，威胁行为者利用此机制保持对已修补FortiGate设备根文件系统的远程只读访问。这与2023年至2024年期间利用零日漏洞入侵FortiOS设备的攻击有关。攻击者在启用SSL-VPN的设备上，在语言文件文件夹中创建了指向根文件系统的符号链接。由于这些语言文件在启用SSL-VPN的FortiGate设备上可公开访问，攻击者可以浏览该文件夹并获得对根文件系统的持久只读访问权限，即使初始漏洞已被修补。

Fortinet已发布更新的AV/IPS签名，可检测并删除受感染设备上的恶意符号链接。最新固件版本也已更新，可检测并删除该链接，并防止未知文件和文件夹被内置Web服务器提供服务。

据一名美国国家劳工关系委员会(NLRB)内部IT工程师Daniel Berulis的举报，有人使用俄罗斯IP地址试图通过埃隆·马斯克的政府效率部门(DOGE)员工设立的合法账户，访问NLRB的内部系统。这一指控已通过其律师提交给参议院情报委员会。

根据宣誓书，这些访问尝试虽然被阻止，但使用了有效凭证，并且发生在DOGE工作人员创建账户后不久。此外，在DOGE活跃的一周内，其员工还将10GB数据从该机构"窃取"到美国境内甚至可能更远的服务器。还有人于4月7日在Berulis家门口贴了一张纸条，附有无人机拍摄的他在家附近行走的照片，被解读为恐吓行为。

NLRB官方回应称内部调查未发现系统入侵。自特朗普1月20日签署行政命令以来，DOGE已进入多个高调机构，包括人事管理办公室和财政部，引发了对政府网络安全规定是否仍然有效的担忧。

知名图片论坛4chan正面临重大安全事件。在竞争对手Soyjak.st论坛用户宣称入侵该网站并泄露其源代码后，4chan目前处于宕机状态，相关调查仍在进行中。

用户和研究人员发现，4chan定制化源代码（广为人知的Yotsuba系统）可能已遭泄露。颇具讽刺意味的是，攻击者自称与Soyjak.st有关联——这是一个知名度较低但与4chan存在竞争关系的图片论坛社区。

截至发稿时，4chan仍处于不稳定状态，表现为全站图片无法加载、多个版块链接失效。此次故障始于4月15日凌晨，相关猜测迅速在社交媒体和竞争平台传播。

部分用户最初归因于服务器问题或可能的DDoS攻击。但随后事态升级：Soyjak.st上一名用户宣称已获取管理员凭证并泄露了4chan内部代码库。

在该声明出现后不久，疑似Yotsuba源代码的片段开始在Telegram、GitHub Gists及私人粘贴网站等多个平台流传。虽然泄露范围尚待确认，但早期样本与4chan长期使用的后端结构相符。泄露文件包含核心PHP脚本、管理工具和配置文件，其中部分代码采用过时的编程实践，存在安全隐患。

Zimperium最新报告《你的应用程序正在泄露数据：你手机上隐藏的数据风险》对17,333款企业移动应用进行安全分析，揭示了严重的安全漏洞，可能使数百万用户和企业面临风险。

研究人员分析了来自官方应用商店的6037款Android应用和11,626款iOS应用，发现两大平台均存在严重安全问题。主要发现包括：83款Android应用使用未受保护或配置错误的云存储，10款Android应用暴露了AWS凭证，92%的分析应用使用弱加密或有缺陷的加密方法，前100名应用中有5款存在高危加密漏洞。

这些漏洞可能导致数据在传输和存储过程中被暴露，企业面临未授权访问、数据操纵或勒索的风险。为应对这些风险，Zimperium建议企业识别并解决云存储配置问题，检测并轮换暴露的凭证和API密钥，验证加密方法，避免使用过时或不安全的算法，并监控第三方SDK的已知漏洞。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除