KeePass木马版天职发长达八月，窃密并安排勒索软件

首页 > 清静研究 > 清静转达 > 清静简讯

KeePass木马版天职发长达八月，窃密并安排勒索软件

宣布时间 2025-05-20

1. KeePass木马版天职发长达八月，窃密并安排勒索软件

5月19日，WithSecure威胁情报团队视察发明，威胁行为者至少八个月来一直在分发KeePass密码管理器的木马版本KeeLoader，以实验恶意活动。KeePass作为开源软件，其源代码被威胁行为者修改，构建了包括通例密码管理功效的木马化版本。该版本不但能装置Cobalt Strike信标，还能将KeePass密码数据库导出为明文并通过信标窃取。此次活动中使用的Cobalt Strike水印与初始会见代理(IAB)相关联，该代理被以为与已往的Black Basta勒索软件攻击有关。Cobalt Strike水印是嵌入在信标中的唯一标识符，通常与Black Basta勒索软件相关。KeeLoader有多种变种，使用正当证书署名，并通过域名抢注举行撒播。这些被木马熏染的程序不但具有密码窃取功效，还能在用户翻开KeePass数据库时，将数据导出为CSV名堂，便于威胁行为者窃取。最终，WithSecure视察的攻击导致公司VMware ESXi服务器被勒索软件加密。进一程序查发明，该活动已建设重大基础设施，用于分发伪装成正当工具的恶意程序和旨在窃取凭证的网络垂纶页面。WithSecure将此活动归罪于UNC4696组织，该组织此前与Nitrogen Loader活动有关，而Nitrogen活动又与BlackCat/ALPHV勒索软件有关。

https://www.bleepingcomputer.com/news/security/fake-keepass-password-manager-leads-to-esxi-ransomware-attack/

2. Serviceaid设置过失致Catholic Health近50万患者信息泄露

5月19日，企业IT提供商Serviceaide因数据库设置过失，导致与纽约非营利性医疗保健系统Catholic Health相关的约483,126名患者敏感康健和小我私家信息泄露。此次泄露源于一个Elasticsearch数据库被无意中果真，爆发在2024年9月19日至11月5日时代，于11月15日被发明，周全审查才刚完成。只管无确凿证据批注数据被下载或滥用，但公司不可扫除这种可能性。泄露的数据库包括大宗敏感信息，如全名、出生日期、处方数据、社会清静号码、康健包管详情、医疗保健提供者信息、治疗和临床信息、医疗纪录和账号以及电子邮件地址、用户名和密码等。Serviceaide正通知受影响小我私家，并接纳步伐�；ぬ宦兜氖菘�，添加新的清静协议以降低未来危害。该公司还与联邦羁系机构合作，美国卫生与公众服务部已在其民权办公室违规门户网站上果真了此次数据泄露事务。Serviceaide建议受影响用户关注信用报告、更改与医疗账户关联的密码，并思量冻结信用。

https://hackread.com/serviceaide-leak-catholic-health-patients-records/

3. Arla Foods德国工厂遭网络攻击致生产中止

5月19日，Arla Foods证实，其位于德国乌帕尔的生产部分遭受了网络攻击，导致生产运营中止。这家丹麦食物巨头体现，此次攻击仅影响了该生产部分，但预计将引发产品交付延迟甚至作废。Arla讲话人称，在乌帕尔的乳品厂发明了可疑活动，影响了外地的IT网络，出于清静思量，生产暂时受到影响。Arla Foods作为国际乳制品生产商和农民合作社，拥有7600名成员，在全球39个国家设有分支机构，员工达23000人，年收入高达138亿欧元，产品销往全球140个国家。公司正起劲恢复受影响工厂的运营，并预计将在本周末前取得效果，其他工厂的生产则未受影响。由于生产中止的新闻在周五曝光，预计某些情形下将泛起产品欠缺。Arla已通知受影响的客户可能泛起交货延迟或作废的情形。当被问及此次攻击是否涉及数据偷窃或加密时，Arla拒绝分享更多信息。现在，勒索软件诓骗门户网站上尚未宣布关于Arla的通告，因此攻击类型和实验者仍然未知。

https://www.bleepingcomputer.com/news/security/arla-foods-confirms-cyberattack-disrupts-production-causes-delays/

4. 英国执法援助机构遭网络攻击致敏感数据泄露

5月19日，英国执法援助机构(LAA)确认，近期遭遇的网络攻击远比最初预想的严重，黑客窃取了大宗敏感的申请人数据。LAA作为英国司法手下属的执行机构，认真为经济难题者提供执法援助，此次数据泄露事务涉及众多敏感信息。本月早些时间，LAA曾披露爆发清静事务，称有限财务信息可能泄露，但最新新闻显示，情形更为严肃，大宗自2010年起的数据可能已被黑客获取。英国政府已确认数据泄露，并加入视察。通告指出，黑客组织获取了大宗与执法援助申请人相关的信息，包括联系方法、出生日期、国民身份证号码、犯法史、就业状态及财务细节等。英国政府建议所有申请人坚持小心，谨防诈骗，并在共享敏感信息前核实通讯内容。LAA首席执行官简·哈博特尔对此体现歉意，并允许将尽快提供更多最新新闻。现在，所有LAA系统在国家网络清静中心(NCSC)的协助下已获得�；�，在线申请服务暂时下线。

https://www.bleepingcomputer.com/news/security/uk-legal-aid-agency-confirms-applicant-data-stolen-in-data-breach/

5. NRS数据泄露事务影响Harbin诊所超20万患者

5月19日，佐治亚州医疗保健提供商Harbin诊所克日通知凌驾20万人，称其小我私家信息在2024年7月债务催收公司Nationwide Recovery Services（NRS）的数据泄露事务中被盗。此次事务源于NRS内部系统泛起可疑活动，导致网络中止。第三方催收机构视察发明，攻击者在7月5日至11日时代会见了NRS网络并窃取了部分数据。2025年2月，债务催收服务提供商（ACCSCIENT子公司）通知Harbin诊所，部分被盗数据涉及其患者，并于3月提供了可能受影响的小我私家名单。泄露信息包括姓名、地址、出生日期、社会包管号、金融账户详细信息、担保人详细信息及医疗信息等。Harbin诊所在通知信中称，NRS报告未发明身份偷窃或诓骗行为证据。该诊所已向缅因州总审查长办公室报告，有210,140人受影响，并为他们提供24个月免费身份监控服务。然而，潜在受影响人数可能更高，因事务还波及NRS其他客户，包括佐治亚州和田纳西州多家医疗机构，且NRS在美国50个州均有债务催收执照。现在，NRS尚未果真披露受影响客户及人数，也未有勒索软件组织声称对此次攻击认真。

https://www.securityweek.com/200000-harbin-clinic-patients-impacted-by-nrs-data-breach/

6. 瑞士政府忠言DDoS攻击欧洲赞美大赛相关网站

5月16日，瑞士政府克日发出忠言，网络犯法分子针对与欧洲赞美大赛相关的瑞士境内多个网站发动了多起漫衍式拒绝服务（DDoS）攻击。只管这些攻击在意料之中，但并未对欧洲赞美大赛的正常运营造成滋扰。瑞士国家网络清静中心（NCSC）向各组织发出警报，指出可能还会有进一步的攻击，其目的主要是吸引媒体关注。NCSC体现，在欧洲赞美大赛决赛前，相关机构已最先遭受此类攻击，攻击者通过发送大宗定向请求使网站和应用程序超载，导致其无法会见或仅部分可会见。不过，此次攻击切合预期，现在尚未对欧洲赞美大赛造成实质性影响。瑞士政府预计，DDoS攻击将一连到欧洲赞美大赛竣事，总决赛定于5月17日举行。欧洲赞美大赛是一项年度国际音乐角逐，吸引了来自欧洲和其他国家的参赛者。NCSC指出，DDoS攻击是攻击者吸引注重力的一种常用手段，并已向要害基础设施运营商和加入组织欧洲赞美大赛的组织发出忠言，呼吁他们接纳适当步伐提防此类攻击。

https://cybernews.com/security/ddos-attacks-target-eurovision-ncsc-says/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究