1、McLaren Health Care遭到攻击220万人的信息泄露
据11月10日报道,McLaren Health Care(迈凯伦)披露了7月至8月发生的一起数据泄露事件,影响了2192515人的信息。迈凯伦于8月22日发现了异常活动,调查显示攻击者7月28日至8月23日未经授权访问了其网络。有证据表明,8月31日攻击者访问了数据,并直到10月10日确认泄露数据的类型。尽管该机构没有透露有关攻击的更多细节,但ALPHV声称对迈凯伦的攻击负责。他们还公布了被盗数据样本,并威胁要拍卖影响250万人的数据库。
/154014/data-breach/mclaren-health-care-data-breach.html
2、Cloudflare网站遭到Anonymous Sudan的DDoS攻击
据媒体11月9日报道,Cloudflare网站遭到Anonymous Sudan的DDoS攻击。Cloudflare网站宕机,显示“我们很抱歉......但您的计算机或网络可能正在发送自动查询。为了保护我们的用户,我们现在无法处理您的请求”以及一个看起来“有点不对劲”的Google徽标。Cloudflare表示DDoS攻击导致出现了几分钟的连接问题。但是没有影响Cloudflare的任何服务或产品功能,也没有客户受到影响。Anonymous Sudan声称对此事负责,并称攻击持续时间为1小时。
/news/technology/cloudflare-website-downed-by-ddos-attack-claimed-by-anonymous-sudan/
3、Mandiant披露Sandworm攻击乌克兰电力系统的详情
Mandiant在11月9日披露了Sandworm利用针对OT的新型攻击影响乌克兰电力供应的活动。该事件发生于2022年底,Mandiant表示这是一次多事件网络攻击,利用了影响ICS/OT的新方式。攻击者首先使用OT级别的LotL攻击,可能会触发目标变电站断路器,导致意外停电,同时对乌克兰各地的关键基础设施实施大规模导弹攻击。Sandworm随后在目标的IT系统中安装了CADDYWIPER的新变种,从而执行第二次破坏性攻击。
/resources/blog/sandworm-disrupts-power-ukraine-operational-technology
4、Imperial Kitten攻击中东地区运输、物流和科技公司
11月9日,CrowdStrike公开了Imperial Kitten针对中东地区运输、物流和科技公司的的新一轮活动。10月份,攻击者开始分发以“工作招聘”主题,包含恶意Excel附件的钓鱼邮件。打开后恶意宏代码会提取两个批处理文件,它们创建持久性并运行payload来进行反向shell访问。然后,攻击者使用PAExec等工具横向移动以远程执行进程,使用NetScan侦察网络,使用ProcDump从系统内存中获取凭据,使用自定义恶意软件IMAPLoader和StandardKeyboard与C2服务器通信。
/blog/imperial-kitten-deploys-novel-malware-families/
5、微软称SysAid漏洞CVE-2023-47246被用来分发Clop
媒体11月9日称,攻击者正在利用服务管理软件SysAid中的漏洞访问企业的服务器来窃取数据,并部署勒索软件Clop。这是一个路径遍历漏洞(CVE-2023-47246),在黑客利用该漏洞入侵内部服务器后于11月2日被发现,SysAid在调查后公开了攻击的技术细节。微软现在确定,该漏洞被Lace Tempest(又称Fin11和TA505)用来部署勒索软件Clop。SysAid已发布漏洞补丁,建议所有用户立即安装更新。
/news/security/microsoft-sysaid-zero-day-flaw-exploited-in-clop-ransomware-attacks/
6、Kaspersky发布关于Ducktail攻击活动的分析报告
11月10日,Kaspersky发布了关于Ducktail攻击活动的分析报告。Ducktail是一个恶意软件家族,自2021年下半年以来一直活跃,旨在窃取Facebook企业帐户。本报告分析了最近的一次活动,3月至10月上旬,主要针对营销专业人员。与以往依赖.NET应用程序的活动不同,这次活动使用了Delphi。该活动发送包含公司新产品图片和伪装成PDF的恶意可执行文件的文档,旨在传播新版本的Ducktail。
/ducktail-fashion-week/111017/