【安全资讯】英国NHS Professionals遭网络攻击，Active Directory数据库被盗未公开披露

概要：

2024年5月，网络犯罪分子入侵了英国NHS Professionals（NHSP）的系统，窃取了其Active Directory数据库，但这一重大网络安全事件从未被公开披露。NHSP是英国卫生与社会保健部下属的私营机构，负责为英格兰各地的NHS信托机构提供临时临床和非临床工作人员。此次攻击涉及高度敏感的数据，包括所有用户的哈希凭证，专家称这是一次“重大入侵”。

主要内容：

攻击者通过一个名为“LMS.Support2”的被入侵Citrix账户成功侵入NHSP的网络。尽管调查人员未能确定该账户是如何被入侵的，但攻击者成功将权限提升至域管理员级别，并通过RDP和SMB共享访问横向移动。随后，攻击者部署了包括Cobalt Strike信标在内的恶意软件二进制文件，但由于系统日志中的错误，调查人员无法确认部署是否成功。

攻击者最终通过WinRM使用域管理员账户访问域控制器，并可能通过已建立的Citrix会话外泄了Active Directory数据库。报告指出，攻击者将AD数据库以ZIP存档形式复制到其物理驱动器上。尽管NHSP声称未发生数据泄露，但Deloitte的报告显示攻击者很可能窃取了数据。

NHSP在攻击后迅速采取了一些关键措施，包括重置所有用户密码和禁用Citrix的驱动器映射功能。然而，许多建议的安全措施（如全面部署EDR和MFA）仍未完成。专家指出，此类攻击的恢复需要数月时间，而NHSP的安全文化问题可能是导致此次事件的根本原因。