本周安全事件速览

05月08日-05月14日

国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统

简要介绍

近期，一个影响SAP NetWeaver的严重安全漏洞被威胁活动集群利用以针对多个关基系统开展网络入侵。据悉，这些威胁组织利用了CVE-2025-31324，这是一个未经身份验证的文件上传漏洞，可实现远程代码执行（RCE）。该活动的攻击目标包括英国的天然气分销网络、水和综合废物管理公用事业、美国的医疗设备制造厂、石油和天然气勘探和生产公司，以及沙特阿拉伯负责投资战略和金融监管的政府部门。这些发现基于在攻击者控制的基础设施上发现的公开目录，其中包含捕获多个受感染系统中的活动的事件日志。一荷兰网络安全公司将入侵归因于跟踪为UNC5221、UNC5174和CL-STA-0048的威胁活动集群，其中最后一个与针对南亚高价值目标的攻击有关，通过利用面向公众的IIS、Apache Tomcat和MS-SQL服务器中的已知漏洞来放置Web shell、反向shell和PlugX后门。

文章来源：The Hacker News

朝鲜黑客组织使用恶意软件以乌克兰政府实体为目标开展网络间谍活动

简要介绍

被称为Konni APT的与朝鲜相关的黑客组织被归因与针对乌克兰政府实体的网络钓鱼活动有关。企业安全公司Proofpoint表示，该活动的最终目标是收集有关“俄罗斯入侵轨迹”的情报。“该组织对乌克兰的兴趣是在将俄罗斯政府实体作为战略情报收集目标之后。”安全研究人员Greg Lesnewich、Saher Naumaan和Mark Kelly在与The Hacker News分享的一份报告中说。Konni APT是一个网络间谍组织，有针对韩国、美国和俄罗斯政府实体开展间谍活动的历史。该黑客组织挂载的攻击链通常涉及使用网络钓鱼电子邮件来分发名为Konni RAT的恶意软件，并将收件人重定向到凭据收集页面。据悉，最新一组攻击涉及使用网络钓鱼电子邮件，这些电子邮件冒充一个名为皇家战略研究所的智库的虚构高级研究员，该智库也是一个不存在的组织。

文章来源：The Hacker News

俄罗斯FSB黑客以西方官员、非政府组织和记者为目标部署新型恶意软件以窃取敏感信息

简要介绍

俄罗斯网络间谍黑客正在使用一种名为“Lostkeys”的新型恶意软件针对西方官员、非政府组织和记者进行间谍活动。谷歌研究人员将Lostkeys归因于威胁组织 Coldriver，该组织也被跟踪为UNC4057、Star Blizzard和Callisto。该组织是联邦安全局的一个运营单位，以网络钓鱼凭证攻击而闻名。Lostkeys证明该组织通过旨在窃取文档和收集敏感数据的多阶段感染链提高了其能力。该威胁组织的成员已在美国被起诉，并在欧洲、英国和美国受到制裁。谷歌威胁情报小组表示，Lostkeys是Coldriver武器库中的一款新工具，代表着从凭证盗窃到完整系统渗透的演变。报告称，该组织有选择地使用恶意软件，仅部署在高价值目标中。Coldriver的典型目标包括前任和现任西方政府顾问、智库、非政府组织、记者和与乌克兰有联系的个人。

文章来源：Bank Info Security

土耳其黑客利用Output Messenger零日漏洞在库尔德服务器上放置Golang后门

简要介绍

自2024年4月以来，一土耳其附属黑客组织利用了名为Output Messenger的印度企业通信平台中的零日安全漏洞，作为网络间谍攻击活动的一部分。“这些漏洞利用导致从伊拉克目标中收集相关用户数据。”Microsoft威胁情报团队说。“袭击的目标与在伊拉克活动的库尔德军队有关，这与之前观察到的Marbled Dust目标优先事项一致。”该活动被归咎与一个黑客组织有关，该组织被跟踪为Marbled Dust，该组织也被称为Cosmic Wolf、Sea Turtle、Teal Kurma和UNC1326。攻击链从黑客组织以经过身份验证的用户身份获得对Output Messenger Server Manager应用程序的访问权限开始。据信，Marbled Dust使用DNS劫持或拼写错误域等技术来拦截身份验证所需的凭据。去年年初，该黑客团队还被发现以荷兰的电信、媒体、互联网服务提供商（ISP）、信息技术（IT）服务提供商和库尔德网站为目标发起一系列入侵活动。

文章来源：The Hacker News

伪装成远程监控和管理（RMM）软件的新型钓鱼活动针对巴西多行业高管发起欺诈攻击

简要介绍

网络安全研究人员警告说，自2025年1月以来，一项针对巴西葡萄牙语企业高管用户的新型钓鱼活动与商业远程监控和管理（RMM）软件使用有关。“垃圾邮件使用巴西电子发票系统NF-e作为诱饵，诱使用户点击超链接并访问Dropbox中托管的恶意内容。”思科Talos研究员 Guilherme Venere在一份报告中表示。攻击链从特制的垃圾邮件开始，这些电子邮件声称来自金融机构或手机运营商，警告逾期账单或未付款项，以诱骗用户点击指向RMM工具二进制安装程序的虚假Dropbox链接。在某些情况下，威胁组织会在初始入侵后使用这些代理的远程功能下载并安装额外的RMM软件，例如ScreenConnect。根据观察到的常见接收者，发现该活动主要针对多个行业的C-level高管以及财务和人力资源客户，包括一些教育和政府机构。

文章来源：The Hacker News

BianLian勒索组织非法入侵美国多个医疗保健诊所系统并窃取15万余客户数据

简要介绍

BianLian勒索组织声称在最近对阿拉巴马州一家眼科诊所和一家加利福尼亚牙科诊所的两次黑客攻击中窃取了患者信息，这两起事件影响了近150,000人，是该勒索组织对医疗保健行业的最新攻击之一。阿拉巴马州眼科协会（AOA）于4月8日向美国卫生与公众服务部报告了其违规行为，称这是一起涉及网络服务器和台式计算机的黑客事件。阿拉巴马州的诊所面临至少一起拟议的联邦集体诉讼，这些诉讼是在黑客攻击发生后最近几周提起的。在第二起涉嫌BianLian数据抢劫案中，总部位于加利福尼亚州圣马特奥市的Sonrisas Dental Health于5月2日向HHS民权办公室报告了一起泄露事件，称这是一起涉及网络服务器的黑客事件。目前，BianLian在其暗网泄露网站上将这两个实体列为最近的受害者。

文章来源：Bank Info Security

美国印第安纳州综合医疗卫生系统遭黑客攻击导致将近26.3万患者数据泄露

简要介绍

美国印第安纳州的一个综合医疗系统是首批向联邦监管机构和数十万受影响的个人通报1月份黑客事件的医疗保健组织之一，该事件导致Cerner服务器托管的遗留患者数据遭泄露。总部位于印第安纳州特雷霍特的联合卫生系统（UHS）经营着两家医院和一个医疗集团，该公司于4月21日向美国卫生与公众服务部报告了这一违规行为，影响了近26.3万人。Union Health的违规通知中表示，一个未知方联系了Union Health，声称拥有与该医疗保健实体有关的信息。Union Health表示，该事件不涉及该医疗保健实体自己的网络、其实时电子健康记录或Union Health拥有、运营或管理的任何其他IT系统。Oracle Health/Cerner告诉Union Health，该实体的受影响文件包含的患者信息因人而异，但包括姓名、社会安全号码、驾驶执照号码、出生日期、主治医生、服务日期、药物、保险信息、治疗和诊断信息。

文章来源：Bank Info Security

匿名黑客窃取美国驱逐航空公司GlobalX的航班记录和乘客信息

简要介绍

GlobalX Airlines是一家美国政府用于执行驱逐航班的合同包机公司，据称，未知攻击者非法入侵其系统访问了敏感信息，包括航班记录和乘客清单，并用带有政治色彩的信息污损了该航空公司的官方网站，以表达对该公司在有争议的驱逐程序中的作用的反对。除了象征性的网站污损行为外，黑客分子还联系了记者（包括404 Media的记者）以分享大量泄露的数据。据报道，这些信息库包括详细的飞行日志、全面的乘客名单和跨越几个月的行程细节。404 Media在仔细核实了移民和海关执法局（ICE）的官方飞行日志和法庭文件后，确认了1月19日至5月1日分类文件夹中的数据的真实性。据报道，这些数据包含用于驱逐数百名委内瑞拉移民的航班的细节，其中一些人在已经飞行时就质疑驱逐出境的合法性。