医疗科技公司Doctor Alliance遭勒索攻击

首页 > 清静研究 > 清静转达 > 清静简讯

医疗科技公司Doctor Alliance遭勒索攻击

宣布时间 2025-11-12

1. 医疗科技公司Doctor Alliance遭勒索攻击

11月10日，，，，，，，克日，，，，，，，一家为医生提供计费效劳的医疗手艺公司Doctor Alliance遭遇网络犯法分子勒索攻击。。。。。。。攻击者在热门数据泄露论坛上宣称，，，，，，，已窃取该公司凌驾120万条敏感医疗纪录，，，，，，，并威胁若不支付赎金将果真这些数据。。。。。。。被盗数据涵盖诊断效果、体检总结、处方、治疗计划、医院医嘱等焦点医疗信息，，，，，，，同时包括患者姓名、家庭住址、电话号码、康健包管索赔纪录、医生姓名等小我私家身份信息。。。。。。。清静研究团队对攻击者提供的200MB数据样本举行剖析后确认，，，，，，，其中充满着大宗无法恢复的医疗和生物识别数据。。。。。。。此类数据泄露将带来多重危害：攻击者可使用患者身份信息举行医疗身份偷窃，，，，，，，冒充受害者获取处方药或医疗效劳，，，，，，，甚至通过社交工程攻击医生和患者；；；；；；；若涉及患者病史，，，，，，，还可能引发诓骗勒索。。。。。。。与密码或信用卡差别，，，，，，，医疗纪录一旦泄露无法通过更改恢复，，，，，，，导致危害恒久保存。。。。。。。

https://cybernews.com/security/doctor-alliance-breach-allegedly-exposes-patients-health-data/

2. Triofox高危误差被使用实现全链攻击与权限提升

11月11日，，，，，，，谷歌Mandiant团队披露，，，，，，，Triofox平台保存严重误差CVE-2025-12480（CVSS评分9.1），，，，，，，攻击者通过该误差绕过身份验证，，，，，，，使用防病毒功效上传并执行远程会见工具。。。。。。。Mandiant追踪发明，，，，，，，威胁集群UNC6485早在2025年8月24日便使用此误差，，，，，，，连系防病毒功效实现代码执行，，，，，，，形成“身份绕过-账户建设-剧本执行-权限提升”的完整攻击链。。。。。。。手艺细节显示，，，，，，，攻击者通过伪造HTTP主机头为“localhost”，，，，，，，绕过Triofox对AdminAccount.aspx等治理页面的会见控制，，，，，，，使用GladPageUILib.dll中CanRunCriticalPage()函数的逻辑缺陷，，，，，，，在装置历程中建设“集群治理员”账户。。。。。。。随后，，，，，，，通过防病毒功效上传恶意批处置惩罚文件，，，，，，，该文件在文件上传至共享文件夹时被触发，，，，，，，以SYSTEM权限执行PowerShell下载器，，，，，，，下载伪装成SAgentInstaller的恶意程序，，，，，，，静默装置Zoho UEMS，，，，，，，并安排Zoho Assist和AnyDesk实现远程会见。。。。。。。攻击者进一步枚举SMB会话和用户账户，，，，，，，实验修改密码并提升权限至外地/域治理员，，，，，，，同时通过端口443建设SSH反向隧道，，，，，，，将外地RDP效劳转发至攻击者控制主机，，，，，，，形成长期化会见通道。。。。。。。Mandiant强调，，，，，，，只管修复版本16.7.10368.56560已宣布，，，，，，，但建议用户升级至最新版本，，，，，，，并审核治理员账户以检测异常建设。。。。。。。

https://securityaffairs.com/184439/hacking/critical-triofox-bug-exploited-to-run-malicious-payloads-via-av-configuration.html

3. ClickFix网络垂纶攻击使用PureRAT瞄准旅馆系统

11月10日，，，，，，，网络清静研究职员克日披露，，，，，，，一场针对旅馆业的大规模垂纶攻击活动自2025年4月一连至10月初，，，，，，，由法国清静公司Sekoia深度剖析。。。。。。。攻击者通过入侵正当邮箱账户，，，，，，，向旅馆司剃头送仿冒Booking.com的垂纶邮件，，，，，，，诱导其点击伪装成reCAPTCHA验证的ClickFix社交工程页面。。。。。。。该页面接纳重大重定向机制，，，，，，，最终触发恶意PowerShell下令，，，，，，，下载含DLL旁加载手艺的ZIP压缩包，，，，，，，激活�？？？？？？？榛韭鞵ureRAT。。。。。。。PureRAT具备全方位监控功效，，，，，，，包括键盘纪录、远程控制、摄像头捕获及文件窃�。。。。。。。�，，，，，，并通过.NET Reactor混淆保�；；；；；；ぃ�，，，，，，使用注册表实现长期化驻留。。。。。。。攻击到手后，，，，，，，犯法分子进一步使用窃取的旅馆预订平台账户，，，，，，，通过WhatsApp或邮件联系真实客户，，，，，，，以“确认预订信息”为名诱导其进入仿冒的Booking.com或Expedia页面，，，，，，，窃取银行卡信息。。。。。。。视察发明，，，，，，，犯法团伙从LolzTeam等黑客论坛购置Booking.com治理员账户信息，，，，，，，甚至按利润分成招募分销专家。。。。。。。Sekoia视察到专学生意预订平台日志的Telegram机械人及提供人工验号效劳的黑产供应链。。。。。。。

https://thehackernews.com/2025/11/large-scale-clickfix-phishing-attacks.html

4. Maverick恶意软件挟制浏览器会话，，，，，，，瞄准巴西最大银行

11月11日，，，，，，，清静研究员发明，，，，，，，两款针对巴西银行用户的.NET恶意软件Coyote与Maverick保存显著关联性。。。。。。。CyberProof报告显示，，，，，，，二者均具备银行URL定向、应用监控及WhatsApp网页版撒播能力。。。。。。。Maverick由趋势科技首次纪录的"水萨西"（Water Saci）攻击活动推出，，，，，，，包括自撒播组件SORVEPOTEL，，，，，，，通过WhatsApp桌面版扩散含恶意ZIP包。。。。。。。该木马监控浏览器标签页，，，，，，，识别拉丁美洲金融机构URL后毗连远程效劳器，，，，，，，推送垂纶页面窃取凭证。。。。。。。Sophos剖析指出，，，，，，，Maverick可能是Coyote的升级版，，，，，，，卡巴斯基则发明二者保存大宗代码重叠，，，，，，，但将其视为巴西新威胁。。。。。。。CyberProof最新视察展现，，，，，，，ZIP文件中的LNK文件启动后会毗连外部效劳器下载有用载荷，，，，，，，禁用微软Defender和UAC，，，，，，，加载具备反剖析手艺的.NET加载器，，，，，，，最终安排SORVEPOTEL和Maverick。。。。。。。值得注重的是，，，，，，，Maverick仅在确认受害者位于巴西后装置，，，，，，，且攻击目的已扩展至巴西旅馆。。。。。。。

https://thehackernews.com/2025/11/whatsapp-malware-maverick-hijacks.html

5. Rhadamanthys信息窃取行动遭执法中止

11月11日，，，，，，，克日，，，，，，，网络清静研究职员g0njxa和Gi7w0rm监测到，，，，，，，名为Rhadamanthys的信息窃取恶意软件即效劳（MaaS）行动已遭中止，，，，，，，其"客户"普遍报告无法会见效劳器。。。。。。。该恶意软件通过订阅模式运营，，，，，，，网络犯法分子需每月向开发者支付用度以获取软件、手艺支持及用于网络被盗数据的网络面板会见权限。。。。。。。其撒播途径包括伪装成软件破解程序、YouTube视频或恶意搜索广告，，，，，，，主要窃取浏览器、电子邮件客户端等应用程序的凭证和身份验证cookie。。。。。。。据黑客论坛用户反�。。。。。。。�，，，，，，部分客户发明Rhadamanthys网络面板的SSH会见权限被改为证书登录模式，，，，，，，需重新装置效劳器并扫除痕迹，，，，，，，德国警方已介入视察。。。。。。�？？？？？？？⒄咄撇獾鹿捶ú糠治缓蠛谑郑�，，，，，，因网络面板在中止前曾有德国IP地点登录纪录。。。。。。。同时，，，，，，，该行动的Tor洋葱网站也已离线，，，，，，，但未显示警方查封横幅，，，，，，，详细幕后使用者仍待确认。。。。。。。此次中止可能与"终局行动"（Operation Endgame）有关。。。。。。。该执法行动自启动以来，，，，，，，已对多个恶意软件基础设施造成破损。。。。。。。

https://www.bleepingcomputer.com/news/security/rhadamanthys-infostealer-disrupted-as-cybercriminals-lose-server-access/

6. 英国国民医疗效劳系统NHS UK遭Clop勒索攻击

11月11日，，，，，，，勒索软件组织Clop在其暗网网站宣称对英国国家医疗效劳系统（NHS UK）数据泄露认真，，，，，，，指责其“漠视客户清静”。。。。。。。该组织使用Oracle E-Business Suite（EBS）中的CVE-2025-61882误差（CVSS评分9.8）实验攻击，，，，，，，该误差于2025年10月4日由Oracle宣布紧迫补丁修复，，，，，，，但使用行为早于补丁宣布，，，，，，，自2025年8月起，，，，，，，攻击者便针对EBS 12.2.3至12.2.14版本中的BI Publisher�？？？？？？？樘岢セ鳎�，，，，，，通过未经身份验证的远程会见窃取数据。。。。。。。误差撒播因2025年10月3日Scattered Lapsus$ Hunters泄露看法验证代码而加速，，，，，，，促使Cl0p、FIN11等威胁行为者扩大攻击规模。。。。。。。建议受影响组织连忙装置2025年10月补�。。。。。。。�，，，，，，追溯至8月的取证审查，，，，，，，并监控可疑IP。。。。。。。此次攻击波及哈佛大学、美国航空子公司Envoy等机构，，，，，，，目的直指依赖EBS举行财务、人力资源及供应链治理的企业。。。。。。。

https://hackread.com/cl0p-ransomware-nhs-uk-washington-post-breach/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯时K66

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯时K66

清静研究