ResolverRAT恶意软件攻击全球制药和医疗保健机构

首页 > 清静研究 > 清静转达 > 清静简讯

ResolverRAT恶意软件攻击全球制药和医疗保健机构

宣布时间 2025-04-16

1. ResolverRAT恶意软件攻击全球制药和医疗保健机构

4月14日，克日，一种名为“ResolverRAT”的新型远程会见木马（RAT）在全球规模内肆虐，成为组织信息清静的一大威胁，尤其对医疗保健和制药行业组成了严重挑战。ResolverRAT通过全心设计的网络垂纶电子邮件举行撒播，这些邮件伪装成针对目的国家/地区语言的正当内容或涉及版权侵占的忠言，诱使用户点击链接下载看似正当的可执行文件“hpreader.exe”。现实上，该文件使用反射DLL加载手艺，将ResolverRAT悄然注入内存，为后续的恶意运动铺平蹊径。Morphisec公司率先发明了这一未被纪录的恶意软件，并指出Check Point和Cisco Talos的近期报告中也提及了相同的网络垂纶基础设施，但未能捕获到ResolverRAT这一奇异有用载荷。ResolverRAT以其高度隐藏性和强盛的规避能力著称，完全在内存中运行，滥用.NET“ResourceResolve”事务加载恶意程序集，有用规避了古板清静监控。该木马接纳重大的状态机手艺混淆控制流，使得静态剖析变得异常难题，并通过指纹资源请求检测沙盒和剖析工具，进一步增强了其隐藏性。别的，ResolverRAT还具备强盛的数据泄露功效，通太过块机制传输大数据，将大于1MB的文件支解成16KB的块，以逃避检测。

https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/

2. 勒索软件扰乱了肾透析公司DaVita的部分运营

4月14日，肾透析巨头DaVita遭遇勒索软件攻击，部分运营受影响。该公司于周六遭受攻击，部分网络被加密，周一直美国证券生意委员会转达此事。DaVita连忙启动响应程序，实验阻止步伐，包括隔离受影响系统，并已实验暂时步伐以恢复某些功效，但无法预计中止的一连时间或水平。现在判断此次袭击对公司造成的总体影响还为时过早。DaVita作为全球最大的肾脏照顾护士提供商之一，在全球拥有3166家门诊透析中心，约有28.11万名患者，此次攻击对其运营造成了一定影响。阻止周一上午，尚无勒索软件团伙认可认真。网络清静专家追踪到2025年针对医疗保健组织的100多起勒索软件攻击，医疗保健机构面临严肃挑战。微软上个月也忠言称，勒索软件攻击是农村医院面临的主要问题，可能带来危及生命的效果。DaVita尚未回应关于攻击组织及是否会支付赎金的置评请求。

https://therecord.media/davita-kidney-dialysis-company-ransomware-attack

3. Study Hotels遭遇Play勒索软件团伙双重勒索威胁

4月14日，一家主要服务于常春藤盟校的精品住宿品牌Study Hotels遭遇了勒索软件攻击。该连锁旅馆在耶鲁大学、宾夕法尼亚大学、约翰·霍普金斯大学和芝加哥大学等校区谋划豪华住宿，其客户群包括客座教授、高净值家长和聚会加入者。此次攻击的幕后黑手Play勒索软件团伙，威胁称若不支付赎金，将泄露员工人为单、身份证件和神秘文件等高度敏感数据。泄密通知于2025年4月11日宣布，距离威胁者设定的最后限期仅剩一天。该团伙已泄露部分数据，并继续威胁将所有数据果真。勒索软件团伙通常将受害者名单列在其暗网泄密网站上，以此迫使组织支付赎金。他们接纳双重勒索模式，在窃取数据后加密系统，并已影响到普遍的企业和要害基础设施。现在尚不清晰Study Hotels是否已对此次威胁做出回应。

https://cybernews.com/security/yale-university-hotel-chain-ransomware-attack/

4. APT29使用GrapeLoader与WineLoader变种攻击欧洲外交网络

4月15日，俄罗斯政府支持的特工组织午夜暴雪（Midnight Blizzard，又名“Cozy Bear”或“APT29”）提倡了一项针对欧洲外交实体（包括大使馆）的新鱼叉式网络垂纶运动。此次运动于2025年1月启动，通过伪装成外交部的电子邮件，诱导收件人点击恶意链接，下载包括GrapeLoader恶意软件加载器和WineLoader后门新变种的ZIP压缩包。GrapeLoader通过DLL侧加载执行，网络主机信息，建设长期性，并联系下令与控制（C2）服务器吸收shellcode。该加载器旨在取代之前使用的第一阶段HTA装载机“RootSaw”，因其越发隐藏和重大。GrapeLoader使用“PAGE_NOACCESS”内存�；ず�10秒延迟手艺，通过“ResumeThread”运行shellcode，以规避防病毒和EDR扫描。WineLoader作为�？榛竺�，认真网络详细的主机信息，包括IP地点、运行历程名称、Windows用户名等，以增进特工运动。新变体接纳RVA复制、导出表不匹配和垃圾指令举行严重混淆，提高了逆向工程难度。

https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/

5. 4chan论坛疑遭Soyjak.party黑客攻击而被关闭

4月15日，着名在线论坛4chan疑似遭受严重黑客攻击而下线，以后加载断断续续。随后，Soyjak.party图片论坛成员声称是此次攻击的幕后黑手，并泄露了治理面板截图及一份据称属于4chan治理员、版主的电子邮件列表。一名黑客（用户名为Chud）在4chan关闭后发帖称，黑客已潜入4chan系统一年多，执行了攻击行动，泄露了员工小我私家信息和网站代码。为控制损失，4chan治理员已将所有服务器下线，但有报告称服务器已被完全攻破，可能无法迅速恢复。Chud分享的截图显示，黑客可会见4chan的员工治理面板和维护工具，这些工具功效强盛，可会见用户位置和IP地点、重修或重新启动板块、审查日志和站点统计信息以及治理数据库。虽然攻击者未透露入侵方法，但有人以为，这可能是由于4chan使用了严重过时的PHP版本，未修补许多清静误差。当天晚些时间，4chan的PHP源代码在匿名论坛Kiwi Farms上被泄露。4chan自2003年建设以来，已上线二十多年，多年来一直被用来泄露据称从多家着名公司窃取的文件。

https://www.bleepingcomputer.com/news/security/infamous-message-board-4chan-taken-down-following-major-hack/

6. Lemonade包管公司转达19万用户驾照号泄露事务

4月15日，Lemonade建设于2015年，自称“全栈包管公司”，在美国和欧洲提供租房、房东、汽车、宠物及人寿包管产品。该公司以使用人工智能手艺激活保单及处置惩罚索赔而著名。该公司克日通知约19万名客户，其驾照号码可能因手艺故障遭泄露。该事务涉及一款在线汽车包管应用，该应用允许用户获取包管报价及购置保单。据公司披露，汽车包管报价流程中保存清静误差，导致部分用户的驾照号码袒露。Lemonade体现已修复此误差。在2023年4月至2024年9月时代，该平台曾以未加密方法传输信息，致使驾驶执照号码面临未经授权的会见危害。公司虽称无证据批注驾照号码被盗用，但为预防潜在危害，已向受影响个体发出通知，并提供12个月免费信用监控及身份�；し�。Lemonade已向美国证券生意委员会报告，此次事故影响约19万人。公司强调，凭证目今掌握的事实与情形，此次事务未影响其运营，客户数据亦未遭攻击，且公司判断该事务不组成重大危害。

https://www.securityweek.com/insurance-firm-lemonade-says-api-glitch-exposed-some-drivers-license-numbers/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究