医疗科技公司Doctor Alliance遭勒索攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

医疗科技公司Doctor Alliance遭勒索攻击

颁布功夫 2025-11-12

1. 医疗科技公司Doctor Alliance遭勒索攻击

11月10日，近日，一家为医生提供计费服务的医疗技术公司Doctor Alliance遭逢网络犯罪分子勒索攻击。攻击者在热点数据泄露论坛上宣称，已窃取该公司超过120万条敏感医疗纪录，并威胁若不支付赎金将公开这些数据。被盗数据涵盖诊断了局、体检总结、处方、医治规划、医院医嘱等主题医疗信息，同时蕴含患者姓名、家庭住址、电话号码、健全保险索赔纪录、医生姓名等幼我身份信息。安全钻研团队对攻击者提供的200MB数据样本进行分析后确认，其中充溢着大量无法复原的医疗和生物鉴别数据。此类数据泄露将带来多沉风险：攻击者可利用患者身份信息进行医疗身份偷窃，假意受害者获取处方药或医疗服务，甚至通过社交工程攻击医生和患者；若涉及患者病史，还可能引发诓骗勒索。与密码或信誉卡分歧，医疗纪录一旦泄露无法通过更改复原，导致风险持久存在。

https://cybernews.com/security/doctor-alliance-breach-allegedly-exposes-patients-health-data/

2. Triofox高危缝隙被利用实现全链攻击与权限提升

11月11日，谷歌Mandiant团队披露，Triofox平台存在严沉缝隙CVE-2025-12480（CVSS评分9.1），攻击者通过该缝隙绕过身份验证，利用防病毒职能上传并执行远程接见工具。Mandiant追踪发现，威胁集群UNC6485早在2025年8月24日方便用此缝隙，结合防病毒职能实现代码执行，形成“身份绕过-账户创建-剧本执行-权限提升”的齐全攻击链。技术细节显示，攻击者通过伪造HTTP主机头为“localhost”，绕过Triofox对AdminAccount.aspx等治理页面的接见节造，利用GladPageUILib.dll中CanRunCriticalPage()函数的逻辑缺点，在装置过程中创建“集群治理员」厮户。随后，通过防病毒职能上传恶意批处置文件，该文件在文件上传至共享文件夹时被触发，以SYSTEM权限执行PowerShell下载器，下载假装成SAgentInstaller的恶意法式，静默装置Zoho UEMS，并部署Zoho Assist和AnyDesk实现远程接见。攻击者进一步枚举SMB会话和用户账户，尝试批改密码并提升权限至本地/域治理员，同时通过端口443成立SSH反向隧路，将本地RDP服务转发至攻击者节造主机，形成悠久化接见通路。Mandiant强调，只管建复版本16.7.10368.56560已颁布，但建议用户升级至最新版本，并审核治理怨厮户以检测异常创建。

https://securityaffairs.com/184439/hacking/critical-triofox-bug-exploited-to-run-malicious-payloads-via-av-configuration.html

3. ClickFix网络垂钓攻击利用PureRAT对准酒店系统

11月10日，网络安全钻研人员近日披露，一场针对酒店业的大规模垂钓攻击活动自2025年4月持续至10月初，由法国安全公司Sekoia深度分析。攻击者通过入侵合法邮箱账户，向酒店经理发送仿冒Booking.com的垂钓邮件，诱导其点击假装成reCAPTCHA验证的ClickFix社交工程页面。该页面选取复杂沉定向机造，最终触发恶意PowerShell号令，下载含DLL旁加载技术的ZIP压缩包，激活�？榛韭鞵ureRAT。PureRAT具备全方位监控职能，蕴含键盘纪录、远程节造、摄像头捕获及文件窃取，并通过.NET Reactor混合�；�，利用注册表实现悠久化驻留。攻击得手后，犯罪分子进一步利用窃取的酒店预约平台账户，通过WhatsApp或邮件联系真实客户，以“确认预约信息”为名诱导其进入仿冒的Booking.com或Expedia页面，窃取银行卡信息。调查发现，犯罪团伙从LolzTeam等黑客论坛采办Booking.com治理怨厮户信息，甚至按利润分成招募分销专家。Sekoia观察到专门买卖预约平台日志的Telegram机械人及提供人为验号服务的黑产供给链。

https://thehackernews.com/2025/11/large-scale-clickfix-phishing-attacks.html

4. Maverick恶意软件劫持浏览器会话，对准巴西最大银行

11月11日，安全钻研员发现，两款针对巴西银行用户的.NET恶意软件Coyote与Maverick存在显著关联性。CyberProof汇报显示，二者均具备银行URL定向、利用监控及WhatsApp网页版传布能力。Maverick由趋向科技初次纪录的"水萨西"（Water Saci）攻击活动推出，蕴含自传布组件SORVEPOTEL，通过WhatsApp桌面版扩散含恶意ZIP包。该木马监控浏览器标签页，鉴别拉丁美洲金融机构URL后衔接远程服务器，推送垂钓页面窃取凭证。Sophos分析指出，Maverick可能是Coyote的升级版，卡巴斯基则发现二者存在大量代码沉叠，但将其视为巴西新威胁。CyberProof最新调查揭示，ZIP文件中的LNK文件启动后会衔接表部服务器下载有效载荷，禁用微软Defender和UAC，加载具备反分析技术的.NET加载器，最终部署SORVEPOTEL和Maverick。值妥贴心的是，Maverick仅在确认受害者位于巴西后装置，且攻击指标已扩大至巴西酒店。

https://thehackernews.com/2025/11/whatsapp-malware-maverick-hijacks.html

5. Rhadamanthys信息窃取行动遭法律中断

11月11日，近日，网络安全钻研人员g0njxa和Gi7w0rm监测到，名为Rhadamanthys的信息窃取恶意软件即服务（MaaS）行动已遭中断，其"客户"普遍汇报无法接见服务器。该恶意软件通过订阅模式运营，网络犯罪分子需每月向开发者支付用度以获取软件、技术支持及用于网络被盗数据的网络面板接见权限。其传布蹊径蕴含假装成软件破解法式、YouTube视频或恶意搜索告白，重要窃取浏览器、电子邮件客户端蹬爪用法式的痛处和身份验证cookie。据黑客论坛用户反馈，部门客户发现Rhadamanthys网络面板的SSH接见权限被改为证书登录模式，需沉新装置服务器并断根痕迹，德国警方已染指调查�？⒄叽Φ鹿刹棵盼缓蠛谑�，因网络面板在中断前曾有德国IP地址登录纪录。同时，该行动的Tor洋葱网站也已离线，但未显示警方查封横幅，具体幕后把持者仍待确认。这次中断可能与"终局行动"（Operation Endgame）有关。该法律行动自启动以来，已对多个恶意软件基础设施造成粉碎。

https://www.bleepingcomputer.com/news/security/rhadamanthys-infostealer-disrupted-as-cybercriminals-lose-server-access/

6. 英国国民医疗服务系统NHS UK遭Clop勒索攻击

11月11日，勒索软件组织Clop在其暗网网站宣称对英国国度医疗服务系统（NHS UK）数据泄露掌管，责乖熹“漠视客户安全”。该组织利用Oracle E-Business Suite（EBS）中的CVE-2025-61882缝隙（CVSS评分9.8）执行攻击，该缝隙于2025年10月4日由Oracle颁布垂危补丁建复，但利用行为早于补丁颁布，自2025年8月起，攻击者便针对EBS 12.2.3至12.2.14版本中的BI Publisher�？樘嵋楣セ�，通过未经身份验证的远程接见窃取数据。缝隙传布因2025年10月3日Scattered Lapsus$ Hunters泄露概想验证代码而加快，促使Cl0p、FIN11等威胁行为者扩大攻击领域。建议受影响组织立即装置2025年10月补丁，追忆至8月的取证审查，并监控可疑IP。这次攻击波及哈佛大学、美国航空子公司Envoy等机构，指标直指依赖EBS进行财政、人力资源及供给链治理的企业。

https://hackread.com/cl0p-ransomware-nhs-uk-washington-post-breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研