每日安全简讯(20241217)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者利用广告传播SocGholish恶意软件攻击凯撒医疗员工

12月15日，一场针对凯撒医疗(Kaiser Permanente)员工的恶意广告活动被检测到。攻击者利用Google搜索广告伪装成该公司的人力资源(HR)门户网站，试图诱导员工输入登录凭证。然而，点击广告的受害者却被重定向到一个受感染的网站，弹出虚假浏览器更新通知。这场名为"SocGholish"的恶意软件活动旨在欺骗用户运行伪装成浏览器更新的恶意脚本，从而感染设备。更复杂的是，如果目标设备被认为有价值，黑客可能会通过远程访问执行更具针对性的攻击。在本次事件中，攻击者利用了一个已被入侵的前罗马尼亚公司网站(bellonasoftware[.]com)。该网站被注入恶意JavaScript代码，用户点击广告后会下载并运行恶意脚本，随后可能触发更深层次的攻击工具，如Cobalt Strike。此攻击表明，网络犯罪组织之间可能存在意外“交叉感染”，原始的钓鱼计划因目标网站的二次入侵而转化为更严重的恶意软件攻击。这突显了网络威胁的动态性和复杂性。

https://www.malwarebytes.com/blog/news/2024/12/malicious-ad-distributes-socgholish-malware-to-kaiser-permanente-employees

---

2 一种具有高级隐匿机制的新型Linux Rootkit恶意软件

安全研究员发现了一种新型的Linux Rootkit——PUMAKIT，它具备高度复杂性和隐匿性。该恶意软件采用多阶段设计，包括加载器、内存驻留的可执行文件以及核心Rootkit组件。PUMAKIT利用可加载内核模块(LKM)和ftrace挂钩技术，重定向18个系统调用及核心内核函数，以隐藏自身及相关文件，规避检测和调试尝试。针对旧版内核(5.7版本之前)，它通过未导出的kallsyms_lookup_name()实现符号解析和权限提升，同时采用结构化命令解析系统调用，以增强操控性和隐蔽性。安全研究员通过YARA规则成功捕获了其关键组件，包括加载器、Rootkit加载器及关联库文件。PUMAKIT的出现表明针对Linux系统的威胁日益复杂，迫切需要更强的检测和防御手段来应对这一新兴威胁。

https://securityaffairs.com/172016/malware/pumakit-sophisticated-rootkit.html

---

3 锐捷网络的Reyee云管理平台及其网络设备存在关键安全漏洞

安全研究员发现，锐捷网络的Reyee云管理平台及其网络设备存在关键安全漏洞，可能威胁约5万台设备。漏洞主要涉及MQTT协议实现，其中设备使用易预测的序列号生成认证凭据，使攻击者可冒充设备连接云平台。通过获取设备序列号，攻击者可实施拒绝服务攻击、发送伪造数据、甚至远程执行命令，进而窃取敏感信息。此外，安全研究员发现攻击者可通过名为"Open Sesame"的方法，利用设备的信标消息提取序列号，轻松绕过Wi-Fi认证访问内部网络。虽然目前锐减已修复所有漏洞，无需用户采取额外措施，但此事件暴露了物联网设备中身份认证和通信安全的隐患，需引起行业警惕。

https://www.securityweek.com/critical-vulnerabilities-found-in-ruijie-reyee-cloud-management-platform/

---

4 黑客攻击加州三家医院并窃取1700万患者信息

南加州医疗服务提供商PIH Health于12月1日遭遇勒索软件攻击，黑客入侵其三家医院及相关机构的网络系统，声称窃取了1700万患者记录，并威胁公开2TB数据。此次攻击导致PIH Health的IT和电话系统中断，迫使其采取纸质临时流程，部分手术和检查被取消，药品处方服务受限。PIH Health正在与网络取证专家合作调查，已向执法部门和FBI报告事件。黑客通过传真威胁信称有"幽灵"潜入网络，但未具体提及赎金金额。若黑客的窃取声明属实，此事件可能成为2024年第二大医疗数据泄露事故。

https://www.govinfosecurity.com/hackers-steal-17m-patient-records-in-attack-on-3-hospitals-a-27059

---

5 加拿大Care1眼科公司泄露2.2TB大小的患者信息

安全研究员发现加拿大眼科技术公司Care1的未受保护数据库泄露了约4.8百万条患者记录，总容量达2.2TB。暴露信息包括患者姓名、地址、病历、个人健康编号(PHN)及详细的眼科检查报告。这些报告以PDF格式保存，包含医生笔记和眼部图像，同时还发现包含患者家庭住址及健康数据的CSV和XLS文件。Care1是一家专注于眼科人工智能技术的眼科技术公司，与170多家验光师合作，管理超过15万次患者访问。虽然数据是否被未经授权访问尚不明确，但此类泄露给患者隐私带来重大风险，可能被用于身份盗窃或恶意行为。此事件反映出医疗行业数字化进程中日益严重的数据泄露问题，凸显了加强网络安全措施的紧迫性。企业需实施强加密、访问控制和定期安全审计，以保护敏感信息安全。

https://hackread.com/canadian-eyecare-firm-care1-exposes-patient-records/

---

6 罗德岛州政府的RI Bridges在线门户网站系统遭遇网络攻击

罗德岛的RI Bridges在线门户网站系统近日遭网络攻击，数十万居民的数据被盗。德勤(Deloitte)在2024年12月5日发现了潜在的攻击风险，随后在12月13日关闭了系统。攻击者安装了恶意软件，并向州政府提出赎金要求。泄露的数据可能包括姓名、地址、出生日期、社会安全号码以及银行账户信息等敏感信息。受影响的个人可能包括通过RI Bridges系统申请或接收Medicaid、SNAP、TANF、CCAP、HealthSource RI健康保险等福利的用户。州政府已开始通知受影响的居民，并鼓励采取信用监控、冻结等措施以保护个人信息安全。目前尚未发现数据被滥用，但攻击者仍威胁将在未来一周公开数据，若未支付赎金。事件再次凸显了政府系统在数据安全管理中的漏洞，未来需加强网络安全保护，确保居民隐私不被侵害。

https://www.hipaajournal.com/rhode-island-ri-bridges-system-hack/

---