KeePass木马版本分发长达八月，窃密并部署勒索软件

首页 > 安全钻研 > 安全传递 > 安全简讯

KeePass木马版本分发长达八月，窃密并部署勒索软件

颁布功夫 2025-05-20

1. KeePass木马版本分发长达八月，窃密并部署勒索软件

5月19日，WithSecure威胁谍报团队调查发现，威胁行为者至少八个月来一向在分发KeePass密码治理器的木马版本KeeLoader，以执行恶意活动。KeePass作为开源软件，其源代码被威胁行为者批改，构建了蕴含通例密码治理职能的木马化版本。该版本不仅能装置Cobalt Strike信标，还能将KeePass密码数据库导出为明文并通过信标窃取。这次活动中使用的Cobalt Strike水印与初始接见代理(IAB)有关联，该代理被以为与从前的Black Basta勒索软件攻击有关。Cobalt Strike水印是嵌入在信标中的唯一标识符，通常与Black Basta勒索软件有关。KeeLoader有多种变种，使用合法证书署名，并通过域名抢注进行传布。这些被木马习染的法式不仅拥有密码窃取职能，还能在用户打开KeePass数据库时，将数据导出为CSV体式，便于威胁行为者窃取。最终，WithSecure调查的攻击导致公司VMware ESXi服务器被勒索软件加密。进一措施查发现，该活动已成立重大基础设施，用于分发假装成合法工具的恶意法式和旨在窃取凭证的网络垂钓页面。WithSecure将此活动归罪于UNC4696组织，该组织此前与Nitrogen Loader活动有关，而Nitrogen活动又与BlackCat/ALPHV勒索软件有关。

https://www.bleepingcomputer.com/news/security/fake-keepass-password-manager-leads-to-esxi-ransomware-attack/

2. Serviceaid配置谬误致Catholic Health近50万患者信息泄露

5月19日，企业IT提供商Serviceaide因数据库配置谬误，导致与纽约非投机性医疗保健系统Catholic Health有关的约483,126名患者敏感健全和幼我信息泄露。这次泄露源于一个Elasticsearch数据库被无意中公开，产生在2024年9月19日至11月5日期间，于11月15日被发现，全面审查才刚实现。只管无确凿证据批注数据被下载或滥用，但公司不能排除这种可能性。泄露的数据库蕴含大量敏感信息，如全名、诞生日期、处方数据、社会安全号码、健全保险详情、医疗保健提供者信息、医治和临床信息、医疗纪录和账号以及电子邮件地址、用户名和密码等。Serviceaide正通知受影响幼我，并采取措施�；ぢ冻龅氖菘�，增长新的安全和谈以降低将来风险。该公司还与联国监管机构合作，美国卫生与公家服务部已在其民权办公室违规门户网站上公开了这次数据泄露事务。Serviceaide建议受影响用户关注信誉汇报、更改与医疗账户关联的密码，并思考冻结信誉。

https://hackread.com/serviceaide-leak-catholic-health-patients-records/

3. Arla Foods德国工厂遭网络攻击致出产中断

5月19日，Arla Foods证实，其位于德国乌帕尔的出产部门遭逢了网络攻击，导致出产运营中断。这家丹麦食品巨头暗示，这次攻击仅影响了该出产部门，但预计将引发产品交付延长甚至取缔。Arla讲话人称，在乌帕尔的乳品厂发现了可疑活动，影响了本地的IT网络，出于安全思考，出产临时受到影响。Arla Foods作为国际乳制品出产商和农夫合作社，占有7600名成员，在全球39个国度设有分支机构，员工达23000人，年收入高达138亿欧元，产品销往全球140个国度。公司正致力复原受影响工厂的运营，并预计将在本周末前获得成就，其他工厂的出产则未受影响。由于出产中断的新闻在周五曝光，预计某些情况下将出现产品欠缺。Arla已通知受影响的客户可能出现交货延长或取缔的情况。当被问及这次攻击是否涉及数据偷窃或加密时，Arla回绝分享更多信息。目前，勒索软件诓骗门户网站上尚未颁布关于Arla的布告，因而攻击类型和执行者依然未知。

https://www.bleepingcomputer.com/news/security/arla-foods-confirms-cyberattack-disrupts-production-causes-delays/

4. 英国司法增援机构遭网络攻击致敏感数据泄露

5月19日，英国司法增援机构(LAA)确认，近期遭逢的网络攻击远比最初预见的严沉，黑客窃取了大量敏感的申请人数据。LAA作为英国司法手下属的执行机构，掌管为经济难题者提供司法增援，这次数据泄露事务涉及多多敏感信息。本月早些时辰，LAA曾披露产生安全事务，称有限财政信息可能泄露，但最新新闻显示，情况更为严格，大量自2010年起的数据可能已被黑客获取。英国当局已确认数据泄露，并参加调查。布告指出，黑客组织获取了大量与司法增援申请人有关的信息，蕴含联系方式、诞生日期、国民身份证号码、犯罪史、就业情况及财政细节等。英国当局建议所有申请人维持警惕，谨防诳骗，并在共享敏感信息前核实通讯内容。LAA首席执行官简·哈博特尔对此暗示歉意，并承诺将尽快提供更多最新新闻。目前，所有LAA系统在国度网络安全中心(NCSC)的协助下已得到�；�，在线申请服务临时下线。

https://www.bleepingcomputer.com/news/security/uk-legal-aid-agency-confirms-applicant-data-stolen-in-data-breach/

5. NRS数据泄露事务影响Harbin诊所超20万患者

5月19日，佐治亚州医疗保健提供商Harbin诊所近日通知超过20万人，称其幼我信息在2024年7月债务催收公司Nationwide Recovery Services（NRS）的数据泄露事务中被盗。这次事务源于NRS内部系统出现可疑活动，导致网络中断。第三方催收机构调查发现，攻击者在7月5日至11日期间接见了NRS网络并窃取了部门数据。2025年2月，债务催收服务提供商（ACCSCIENT子公司）通知Harbin诊所，部门被盗数据涉及其患者，并于3月提供了可能受影响的幼我名单。泄露信息蕴含姓名、地址、诞生日期、社会保险号、金融账户具体信息、担保人具体信息及医疗信息等。Harbin诊地点通知信中称，NRS汇报未发现身份偷窃或诓骗行为证据。该诊所已向缅因州总检察长办公室汇报，有210,140人受影响，并为他们提供24个月免费身份监控服务。然而，潜在受影响人数可能更高，因事务还波及NRS其他客户，蕴含佐治亚州和田纳西州多家医疗机构，且NRS在美国50个州均有债务催收牌照。目前，NRS尚未公开披露受影响客户及人数，也未有勒索软件组织宣称对这次攻击掌管。

https://www.securityweek.com/200000-harbin-clinic-patients-impacted-by-nrs-data-breach/

6. 瑞士当局忠告DDoS攻击欧洲歌唱大赛有关网站

5月16日，瑞士当局近日发出忠告，网络犯罪分子针对与欧洲歌唱大赛有关的瑞士境内多个网站发起了多起散布式回绝服务（DDoS）攻击。只管这些攻击在意料之中，但并未对欧洲歌唱大赛的正常运营造成滋扰。瑞士国度网络安全中心（NCSC）向各组织发出警报，指出可能还会有进一步的攻击，其主张重要是吸引媒体关注。NCSC暗示，在欧洲歌唱大赛决赛前，有关机构已起头遭逢此类攻击，攻击者通过发送大量定向要求使网站和利用法式超载，导致其无法接见或仅部门可接见。不外，这次攻击切合预期，目前尚未对欧洲歌唱大赛造成内容性影响。瑞士当局预计，DDoS攻击将持续到欧洲歌唱大赛实现，总决赛定于5月17日进行。欧洲歌唱大赛是一项年度国际音乐角逐，吸引了来自欧洲和其他国度的参赛者。NCSC指出，DDoS攻击是攻击者吸引把稳力的一种常用伎俩，并已向关键基础设施运营商和参加组织欧洲歌唱大赛的组织发出忠告，呼吁他们采取适当措施防备此类攻击。

https://cybernews.com/security/ddos-attacks-target-eurovision-ncsc-says/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研