1、攻击者利用广告传播SocGholish恶意软件攻击凯撒医疗员工

https://www.malwarebytes.com/blog/news/2024/12/malicious-ad-distributes-socgholish-malware-to-kaiser-permanente-employees

12月15日，一场针对凯撒医疗(Kaiser Permanente)员工的恶意广告活动被检测到。攻击者利用Google搜索广告伪装成该公司的人力资源(HR)门户网站，试图诱导员工输入登录凭证。然而，点击广告的受害者却被重定向到一个受感染的网站，弹出虚假浏览器更新通知。这场名为"SocGholish"的恶意软件活动旨在欺骗用户运行伪装成浏览器更新的恶意脚本，从而感染设备。更复杂的是，如果目标设备被认为有价值，黑客可能会通过远程访问执行更具针对性的攻击。在本次事件中，攻击者利用了一个已被入侵的前罗马尼亚公司网站(bellonasoftware[.]com)。该网站被注入恶意JavaScript代码，用户点击广告后会下载并运行恶意脚本，随后可能触发更深层次的攻击工具，如Cobalt Strike。此攻击表明，网络犯罪组织之间可能存在意外“交叉感染”，原始的钓鱼计划因目标网站的二次入侵而转化为更严重的恶意软件攻击。这突显了网络威胁的动态性和复杂性。

2、锐捷网络的Reyee云管理平台及其设备存在关键安全漏洞

https://www.securityweek.com/critical-vulnerabilities-found-in-ruijie-reyee-cloud-management-platform/

安全研究员发现，锐捷网络的Reyee云管理平台及其网络设备存在关键安全漏洞，可能威胁约5万台设备。漏洞主要涉及MQTT协议实现，其中设备使用易预测的序列号生成认证凭据，使攻击者可冒充设备连接云平台。通过获取设备序列号，攻击者可实施拒绝服务攻击、发送伪造数据、甚至远程执行命令，进而窃取敏感信息。此外，安全研究员发现攻击者可通过名为"Open Sesame"的方法，利用设备的信标消息提取序列号，轻松绕过Wi-Fi认证访问内部网络。虽然目前锐减已修复所有漏洞，无需用户采取额外措施，但此事件暴露了物联网设备中身份认证和通信安全的隐患，需引起行业警惕。

3、黑客攻击加州三家医院并窃取1700万患者信息

https://www.govinfosecurity.com/hackers-steal-17m-patient-records-in-attack-on-3-hospitals-a-27059

南加州医疗服务提供商PIH Health于12月1日遭遇勒索软件攻击，黑客入侵其三家医院及相关机构的网络系统，声称窃取了1700万患者记录，并威胁公开2TB数据。此次攻击导致PIH Health的IT和电话系统中断，迫使其采取纸质临时流程，部分手术和检查被取消，药品处方服务受限。PIH Health正在与网络取证专家合作调查，已向执法部门和FBI报告事件。黑客通过传真威胁信称有"幽灵"潜入网络，但未具体提及赎金金额。若黑客的窃取声明属实，此事件可能成为2024年第二大医疗数据泄露事故。

4、加拿大Care1眼科公司泄露2.2TB大小的患者信息

https://hackread.com/canadian-eyecare-firm-care1-exposes-patient-records/

安全研究员发现加拿大眼科技术公司Care1的未受保护数据库泄露了约4.8百万条患者记录，总容量达2.2TB。暴露信息包括患者姓名、地址、病历、个人健康编号(PHN)及详细的眼科检查报告。这些报告以PDF格式保存，包含医生笔记和眼部图像，同时还发现包含患者家庭住址及健康数据的CSV和XLS文件。Care1是一家专注于眼科人工智能技术的眼科技术公司，与170多家验光师合作，管理超过15万次患者访问。虽然数据是否被未经授权访问尚不明确，但此类泄露给患者隐私带来重大风险，可能被用于身份盗窃或恶意行为。此事件反映出医疗行业数字化进程中日益严重的数据泄露问题，凸显了加强网络安全措施的紧迫性。企业需实施强加密、访问控制和定期安全审计，以保护敏感信息安全。

5、欧洲刑警组织打击电诈：逮捕 8 名嫌犯、涉案数百万欧元

https://www.ithome.com/0/817/729.htm

欧洲刑警组织（Europol）发布新闻稿，介绍他们近期针对网络电诈钓鱼团伙展开了一次跨国执法打击行动，取得了重大进展。在打击行动中，荷兰和比利时分别逮捕了 4 名嫌疑人（共计 8 人），并在多个地点进行了共计 17 次搜查。

6、关键的 Mullvad VPN 漏洞让攻击者能够执行恶意代码

https://cybersecuritynews.com/mullvad-vpn-vulnerabilities/

安全研究人员在流行的 Mullvad VPN 服务中发现了几个高严重性漏洞，这些漏洞可能允许攻击者执行恶意代码并损害用户隐私。这些漏洞是在 X41 D-Sec GmbH 于 2024 年底进行的全面安全审计中发现的。

7、curl漏洞允许攻击者访问敏感信息

https://cybersecuritynews.com/curl-vulnerability-attackers-sensitive-information/

网络安全研究人员在流行的数据传输工具 Curl 中发现了一个严重的安全漏洞，可能允许攻击者访问敏感信息。

8、黑客利用 Microsoft Teams 远程访问用户系统

https://cybersecuritynews.com/microsoft-teams-to-gain-remote-access/

攻击始于大量针对受害者的网络钓鱼电子邮件。不久之后，攻击者冒充可信客户的员工发起了 Microsoft Teams 通话。在通话过程中，攻击者指示受害者下载远程支持应用程序，最初建议使用 Microsoft Remote Support。当从 Microsoft Store 安装失败时，攻击者转向AnyDesk ，这是一种经常被网络犯罪分子利用的合法远程桌面工具。

9、Glutton 恶意软件利用 Laravel 和 ThinkPHP 等主流PHP框架

https://thehackernews.com/2024/12/new-glutton-malware-exploits-popular.html

网络安全研究人员发现了一种名为Glutton 的新的基于 PHP 的后门，该后门已被用于针对中国、美国、柬埔寨、巴基斯坦和南非的网络攻击。

10、安全研究员发现具有高级隐匿机制的新型Linux Rootkit

https://securityaffairs.com/172016/malware/pumakit-sophisticated-rootkit.html

安全研究员发现了一种新型的Linux Rootkit——PUMAKIT，它具备高度复杂性和隐匿性。该恶意软件采用多阶段设计，包括加载器、内存驻留的可执行文件以及核心Rootkit组件。PUMAKIT利用可加载内核模块(LKM)和ftrace挂钩技术，重定向18个系统调用及核心内核函数，以隐藏自身及相关文件，规避检测和调试尝试。针对旧版内核(5.7版本之前)，它通过未导出的kallsyms_lookup_name()实现符号解析和权限提升，同时采用结构化命令解析系统调用，以增强操控性和隐蔽性。安全研究员通过YARA规则成功捕获了其关键组件，包括加载器、Rootkit加载器及关联库文件。PUMAKIT的出现表明针对Linux系统的威胁日益复杂，迫切需要更强的检测和防御手段来应对这一新兴威胁。

声明