5th域安全微讯早报【20250529】128期

5. 黑客声称AT&T数据泄露——3100万条记录被曝光

【CybersecurityNews网站5月28日报道】黑客近日声称泄露了AT&T的3100万条客户记录，总计3.1GB数据。该数据集以JSON和CSV格式发布，并在暗网论坛上流传，涉及AT&T客户的个人信息，包括姓名、性别、出生日期、税务识别号、设备ID、IP地址、电话号码、邮件地址等敏感数据。这次泄露事件引发了对AT&T数据安全的严重担忧，特别是考虑到该公司此前已有多起类似的数据泄露历史。例如，2024年3月AT&T曾披露7300万客户个人信息泄露，内容包括社会安全号码等敏感信息；同年7月，AT&T又确认1.1亿客户的通话和短信记录遭泄露，且泄露事件与第三方云存储服务的安全问题有关。网络安全监控平台DarkEye检测到此次违规行为，并指出数据泄露的格式便于恶意攻击者进一步分析和利用。这一事件若确认属实，可能导致身份盗窃、金融欺诈及社会工程攻击等严重后果。AT&T尚未公开对此事的正式回应，调查仍在进行中。

6. Robinhood 勒索软件运营者因攻击政府和私人网络而被指控

【CybersecurityNews网站5月28日报道】伊朗国民西娜·戈利内贾德（Sina Gholinejad）在美国北卡罗来纳州联邦法院承认参与策划Robinhood勒索软件活动，给多个行业带来了数千万美元的损失。戈利内贾德对计算机欺诈和共谋实施电信欺诈的指控表示认罪，这标志着2019年1月至2024年3月期间针对美国多个城市和组织的勒索软件攻击调查取得了突破。此次勒索软件攻击的目标包括巴尔的摩市等多个重要城市和机构，其中巴尔的摩市遭受了超过1900万美元的损失。勒索者要求支付13比特币（约76,000美元）才能恢复被加密的系统。Robinhood勒索软件以其技术复杂性著称，利用存在已知安全漏洞的技嘉主板驱动程序获取内核级访问权限，绕过安全防护并禁用防病毒软件。加密过程中，勒索软件使用双层加密技术，使得数据恢复几乎不可能。戈利内贾德于2025年1月在罗利达勒姆国际机场被捕，标志着长期国际合作调查的结束。此次案件表明，全球化的网络犯罪活动无国界，犯罪分子利用复杂的工具，如虚拟专用网络和加密货币混合服务进行资金洗钱。戈利内贾德面临最高30年监禁，其案件是美国打击勒索软件攻击的重要里程碑。

7. 巴西3700万账户暗网泄露，勒索软件与数据窃取威胁加剧

【SecurityLab网站5月28日报道】卡巴斯基实验室专家通过监控暗网（含影子论坛和市场）发现，巴西作为拉美最大经济体，正面临严峻的网络威胁。2024年，至少105家巴西组织遭遇114起勒索软件攻击，主要针对医疗保健、金融及专业服务领域。五大勒索团体RansomHub、Arcus Media、Lockbit 3.Quilong和Eraleign发起了53%的攻击。暗网还活跃着针对企业基础设施的初始访问权出售，超过100条针对巴西公司和政府网络的广告被记录，部分交易通过经纪人私下完成。2024年共检测到586条数据泄露广告，涉及185家组织及公民个人信息，主要影响政府、电信及专业服务机构。此外，信息窃取恶意软件活跃，2024年涉及巴西用户的受损账户达3700万，其中包括1500万政府雇员及公民访问政府服务账户。超过60%的信息窃取事件由RedLine和Lumma两个恶意软件家族引发，这些程序窃取浏览器数据、凭证及政府服务账户信息。报告指出，巴西经济体庞大、数字服务发展迅速，使其成为犯罪分子重点目标，要求各行业企业迅速采取防护措施，确保信息安全。

8. 黑客转型为信息安全精英：道德黑客成为新兴职业

【SecurityLab网站5月28日报道】曾经被视为数字世界“弃儿”的黑客，如今成为信息安全领域的中坚力量。道德黑客借助漏洞赏金平台（如HackerOne），将黑客技能转化为合法职业，赚取百万美元奖金，并与全球顶级公司合作，推动安全行业变革。HackerOne数据显示，过去六年已有50多名专家通过发现漏洞赚取百万美元，表明道德黑客职业已由一代先驱推动从地下走向主流。传奇黑客凯文·米特尼克的故事是典型代表，他从FBI通缉犯转型为网络安全顾问，被誉为“网络安全超级英雄”。然而，职业合法化过程并非顺利。2019年两名渗透测试人员因执行合同测试被逮捕，虽随后指控撤销，但遭遇职业阻碍。社区集体抵制促使相关部门重新审视态度，展现黑客群体凝聚力。如今，TikTok、Anthropic、Snap、Adobe及美国国防部均已将漏洞赏金计划纳入官方安全战略，体现对道德黑客的认可。成功者遍布全球，包括无IT学历、曾无家可归的拉丁美洲青年Nieko“Specters”Rivera，他强调多样化背景和非传统经历在安全团队中的价值。Rivera及其他专家呼吁企业拓宽招聘视野，不应仅限知名高校毕业生，而应关注创意社区、本地团体及街头人才。新百万富翁Mark Litchfield也认为，只要有好奇心和笔记本电脑，任何人都能成为黑客。黑客身份的转变不仅改变了行业，也为更多人提供社会流动的机会。专家指出，白帽黑客职业前景广阔，接受培训后可在网络安全领域取得成功。

9. Flock车牌识别系统被用作无授权移民监控工具

【SecurityLab网站5月28日报道】Flock车牌识别系统本为打击犯罪工具，近日曝出被美国联邦移民局（ICE）利用追踪移民活动。研究人员通过伊利诺伊州丹维尔警方的公开记录发现，全国多地警方在无正式合同情况下，按联邦非正式要求使用Flock系统进行数千次涉及“移民”“ICE”等关键词的搜索。该系统允许不同地区摄像头互相访问，达拉斯警方3月单日搜索覆盖超过七万台摄像头。尽管伊利诺伊州等地法律禁止用车牌数据执法移民，但相关搜索依然频繁出现。部分警方称此类搜查为反人口贩卖等调查需要。民权组织担忧Flock已成为无透明监督的全国性监控网络，侵犯隐私，损害公众信任。Flock公司称每台摄像头归属客户，自主控制数据共享，且保存完整请求日志保障透明，但实际难以监管每次搜索目的。特朗普政府鼓励地方警方参与移民执法并无需搜查令访问Flock数据，增加了监控滥用风险。整体来看，Flock系统从公共安全工具变成了移民监控利器，引发广泛争议。

10. LexisNexis信息泄露影响逾36.4万人，数据经纪行业隐私风险引关注

【Techchurch网站5月28日消息】数据经纪巨头LexisNexis Risk Solutions披露，2024年12月25日其第三方软件开发平台GitHub账户遭黑客入侵，导致超过364,000名消费者的敏感个人信息被泄露。泄露数据包括姓名、出生日期、电话号码、地址、社会安全号码及驾驶执照号码等。该事件于2025年4月1日被公司知晓，具体泄露原因尚不明确，未披露是否涉及赎金要求。LexisNexis作为数十亿美元规模的数据经纪公司，主要通过收集并销售大量个人及财务数据，帮助企业客户检测欺诈和评估风险。此前，《纽约时报》报道该公司未经车主许可，向保险公司出售车辆驾驶数据，保险公司据此调整保费。此外，执法机构也依赖LexisNexis获取嫌疑人信息。值得注意的是，本月特朗普政府取消了拜登时代拟定的限制数据经纪商出售个人信息的联邦隐私规定，引发隐私保护争议。此次事件凸显了数据经纪行业在保护个人隐私及监管合规方面面临的严峻挑战。

11. 乌克兰报告称俄黑客三年内对媒体发起200余次网络攻击

【The Record网站5月28日报道】乌克兰国家特殊通信和信息保护局（SSSCIP）发布报告称，自2022年俄乌战争爆发以来，俄罗斯黑客对乌克兰媒体机构发起了200多次成功的网络攻击。受害目标包括电视台、国家通讯社和主流新闻平台，目的是传播亲俄宣传、制造舆论混乱，并削弱信息战场的防御力。报告指出，俄方常用手段包括DDoS攻击、删除报道、劫持社交媒体账户发布虚假信息，并大量使用深度伪造技术。战争初期，一段伪造乌总统泽连斯基“要求军队投降”的视频在乌媒短暂发布，虽随后澄清，但已造成舆论干扰。SSSCIP称，俄黑客还模拟乌军高层、志愿者及国际伙伴的言论，以抹黑他们形象。俄罗斯还利用“Doppelgänger”项目操控海量虚假账号，克隆国际媒体网站，在欧美等地散播假新闻。虽然最新报告未点名具体黑客组织，但乌方曾将此类攻击归因于国家支持的团体，如Sandworm。2023年俄攻击乌克兰国家通讯社Ukrinform，2022年还黑入TAVR Media电台，播报泽连斯基“病危”假消息。俄黑客同时攻击了乌克兰的电信基础设施，破坏广播塔，干扰被占地区的无线传播，甚至将攻击范围扩展至波兰、德国、阿塞拜疆等国媒体机构。

12. 爱沙尼亚对涉嫌药房大规模数据泄露的摩洛哥人发出国际通缉令

【The Record网站5月28日报道】爱沙尼亚警方对一名涉嫌引发全国最大规模之一数据泄露事件的摩洛哥籍男子发出国际逮捕令。25岁的阿德拉尔·哈立德（Adrar Khalid）被指控于2024年2月非法入侵Apotheka连锁药店母公司Allium UPI的客户卡数据库。调查称，哈立德可能通过获取管理员权限登陆系统，下载大量敏感数据，但其具体获取方式仍在查明中。爱沙尼亚网络犯罪局负责人雷莫·萨卢普奥尔德表示，有证据显示他“故意利用特权账户进行数据下载”。爱沙尼亚总检察长已请求逮捕他，并计划在其境外落网后申请引渡。这次泄露事件影响严重：被盗数据包括近70万个个人识别码、逾40万个电子邮件、近6万个家庭地址和约3万个电话号码。此外，数据库中还包含自2014年以来的非处方药及保健品购买记录，但不涉及处方药信息。目前官方尚未发现数据被滥用的迹象。Allium UPI总部设在爱沙尼亚，业务覆盖爱、拉、立三国，负责管理Apotheka、Apotheka Beauty与PetCity等品牌客户系统，主要服务于药房、医院及保健品市场。

13. 乌克兰逮捕涉嫌利用行车记录仪协助导弹袭击的俄罗斯间谍团伙

【The Record网站5月28日报道】乌克兰安全局（SBU）宣布逮捕五名涉嫌为俄罗斯提供导弹打击目标的间谍嫌疑人。该团伙由年龄在16至23岁之间的乌克兰年轻人组成，包括一名扎波罗热学生、其熟人以及两名来自哈尔科夫的兄弟。这些人被控利用安装有行车记录仪的车辆，在军事基地附近长时间秘密录像，以便为俄罗斯军队提供高精度打击坐标。他们在拍摄期间会躲在附近咖啡馆远程监控，并定期返回车辆更换内存卡及检查电源，以降低暴露风险。乌克兰安全局称，这些嫌疑人是通过Telegram渠道被招募，动机多为“快速赚钱”。尽管他们彼此相识，但行动上是各自独立向俄罗斯上线汇报。目前，他们面临叛国罪指控，如罪名成立，最高可判终身监禁并没收财产。此次案件突显俄罗斯持续通过技术手段搜集情报的策略。乌克兰当局曾多次警告，公共监控摄像头和私人设备可能被俄方滥用。早在2024年初，乌克兰就关闭了基辅两处被黑客控制的摄像头，这些设备疑似被俄方用来监视防空阵地。

14. TI WooCommerce愿望清单插件曝高危漏洞超10万WordPress网站面临风险

【CybersecurityNews网站5月28日报道】WordPress平台热门插件TI WooCommerce Wishlist被曝存在严重安全漏洞（CVE-2025-47577，CVSS 10.0分），影响全球超过10万个电商网站。该漏洞源于插件文件上传功能中故意禁用的安全验证机制（test_type参数设为false），当与WC Fields Factory插件共存时，攻击者可上传恶意PHP文件实现服务器完全控制。尽管漏洞早在2025年3月26日由Patchstack发现并报告，但开发商至今未发布修复补丁，受影响2.9.2及以下版本用户目前唯一解决方案是完全卸载插件。技术分析显示，问题核心位于tinvwl_upload_file_wc_fields_factory函数中，其通过wp_handle_upload处理上传文件时，同时禁用表单验证（test_form）和文件类型检测（test_type），形成高危攻击路径。这是近期最严重的WordPress插件漏洞之一，尤其威胁使用WooCommerce构建的电子商务平台数据安全。

15. Citrix修复XenServer Windows虚拟机工具高危漏洞可导致远程代码执行

【CyberPress网站5月28日报道】Citrix近日发布高危安全公告（CTX692748），披露XenServer VM Tools for Windows存在三个严重漏洞（CVE-2025-27462/27463/27464），影响9.4.1版本之前的所有Windows版本。这些漏洞允许攻击者在客户Windows虚拟机中执行任意代码，主要威胁运行XenServer 8.4和Citrix Hypervisor 8.2 CU1 LTSR的Windows虚拟环境。值得注意的是，Linux虚拟机不受影响。漏洞特别危险之处在于，通过机器创建服务(MCS)目录或配置服务(PVS)黄金映像部署的虚拟机可能造成大规模扩散风险。Citrix已通过支持门户和Windows Update发布更新补丁，建议用户立即采用手动安装、Windows更新或管理代理自动更新等方式修复，并优先更新虚拟机模板和黄金映像。该漏洞不涉及虚拟机管理程序层面的修改，仅需在客户虚拟机内部实施修补。

16. Evertz广播设备曝高危漏洞攻击者可无需认证执行任意命令

【CyberPress网站5月28日报道】ONEKEY研究实验室披露了影响Evertz多款广播设备的严重安全漏洞（CVE-2025-4009，CVSS评分9.3）。该漏洞存在于webEASY（ewb）网络管理平台中，涉及feature-transfer-import.php和feature-transfer-export.php两个PHP端点的输入验证不足问题，允许攻击者通过构造恶意参数注入系统命令。更严重的是，login.php文件中的身份验证绕过漏洞（接受"预授权"GET参数）使攻击者无需认证即可获得管理员权限，结合命令注入漏洞可实现root权限的远程代码执行。受影响的设备包括SDVN 3080ipx-10G、MViP-II、cVIP等多款产品。研究人员表示，自2025年2月25日起尝试通过多种渠道联系厂商未获回应，最终在90天披露期限到期后公开漏洞细节。建议用户立即实施网络隔离策略，限制web管理界面的访问权限，并监控异常请求和进程活动。

17. 谷歌警告：越南黑客利用虚假AI视频生成器进行恶意广告攻击

18. 新型FormBook恶意软件变种来袭采用"天堂之门"技术窃取Windows系统控制权

【CybersecurityNews网站5月28日报道】安全研究人员发现FormBook恶意软件最新变种正通过复杂攻击链危害Windows系统。该变种利用CVE-2017-11882漏洞通过钓鱼邮件传播，采用"天堂之门"反分析技术实现32位/64位代码切换，并通过12个加密系统进程名称列表实现进程注入。攻击过程包含多重规避手段：在内存中加载重复ntdll.dll文件、运行时动态加解密100多个关键函数、检测虚拟机环境相关进程和路径等。该恶意软件可窃取Chrome等主流浏览器保存的密码（通过SQL查询"SELECT origin_url,username_value,password_value FROM logins"），并与64个经过多层混淆的C2服务器通信，支持9种控制指令。Fortinet报告指出，该变种使用伪装成PNG文件的加密载荷，通过"ImagingDevices.exe"进程实施进程挖空攻击，最终注入explorer.exe子进程实现持久化。目前FortiGuard系列安全服务可防御此威胁，建议用户及时更新防护方案。

19. 新型PumaBot僵尸网络通过SSH暴力破解渗透物联网设备

【BleepingComputer网站5月28日报道】新发现的基于Go语言开发的PumaBot僵尸网络恶意软件，专门针对嵌入式物联网设备，通过暴力破解SSH凭证来部署恶意负载。PumaBot的攻击方式较为有针对性，恶意软件从命令和控制（C2）服务器接收特定IP列表，而非广泛扫描互联网，这使其能够精准定位目标设备。攻击的主要对象为物联网设备，尤其是监控摄像头和交通摄像系统。PumaBot的攻击流程包括：通过暴力破解尝试登录目标设备的SSH端口（22端口），成功后验证设备环境，确保其不是蜜罐。然后，恶意软件将其主二进制文件（jierui）写入设备的系统目录（如/lib/redis），并安装持久化的系统服务（redis.service），确保设备重启后仍能保持控制。同时，它会将自己的SSH公钥注入到目标设备的authorized_keys文件中，确保即便清除主要感染后依然能访问目标设备。该恶意软件还具备进一步渗透和数据泄露能力，能够窃取SSH登录凭证，并通过PAM模块收集本地及远程SSH登录详细信息。PumaBot的目标不仅仅是通过物联网设备进行基础攻击，还可能为企业网络的更深层次渗透铺路。防御建议包括及时更新物联网设备固件、修改默认凭据、将其置于防火墙后并隔离至独立网络，避免与关键系统共享网络资源。

20. APT36和Sidecopy黑客攻击印度关键基础设施部署恶意软件

【CybersecurityNews网站5月28日报道】2025年4月17日，APT36和Sidecopy黑客组织联合发起了名为“辛多尔行动”的网络攻击，目标是印度的关键基础设施。此次攻击持续到5月10日，涉及印度的国防、政府IT基础设施、医疗保健、电信和教育部门。攻击者使用伪造的合法通信文件，结合社会工程手段，绕过传统的安全防御措施，利用近期的悲剧事件（如恐怖袭击）作为诱饵。Seqrite分析师指出，APT36的攻击战术有了显著变化，采用了更复杂的Ares恶意软件框架，这一框架提供了更强的隐身性和远程访问功能。攻击者通过多阶段恶意软件部署，利用钓鱼附件（如.ppam、.xlam、.msi等文件）实施初步入侵。一旦入侵成功，恶意软件如Ares RAT便通过回调与攻击者控制的服务器建立持久通信通道，进行键盘记录、屏幕捕获、文件操作和凭证盗窃。此次攻击还展示了APT36和Sidecopy通过伪造域名进行凭证收集的策略，多个欺诈性网站模仿印度政府和防务机构，利用用户信任实施钓鱼攻击。恶意软件使用Living-off-the-Land二进制文件和混淆技术，维持长期隐蔽访问。这一事件凸显了国家级间谍活动与黑客攻击手段的深度融合，特别是在针对民主机构和基础设施的网络战领域的演变。

21. UTG-Q-015团队发动“RUN行动”引发GitLab崩溃与多重网络攻击

【SecurityLab网站5月28日报道】2025年春季，东南亚黑客组织UTG-Q-015启动了代号为“RUN行动”的大规模网络攻击，影响亚洲及全球数百个政府和企业资产，涉及区块链平台、银行、政府服务器、人工智能基础设施和数字签名系统。该组织自2024年12月起转变策略，利用0day漏洞和暴力破解手段，成功渗透公共服务器，部署Cobalt Strike和恶意隧道工具，实现网络横向移动。从2025年4月开始，UTG-Q-015向区块链相关网站登录页面注入伪装成官方更新的恶意脚本，诱使用户下载.NET后门，实现远程命令执行和组件下载。受感染的网站超过百个，包括GitLab、比特币钱包和Web3授权接口。针对金融机构，攻击采用三阶段方案：入侵边缘服务器、发送带有恶意载荷的钓鱼信息、完成感染链。此外，针对Linux环境的AI基础设施，团队利用ComfyUI-Manager插件漏洞和CVE-2023-48022漏洞激活Vshell后门，实施持久控制。UTG-Q-015与其他中文黑客组织存在激烈的商业和政治竞争，反映了亚洲网络空间意识形态及利益冲突的加剧，展现现代网络威胁的新常态。

22. Interlock 勒索软件团伙部署新型 NodeSnake RAT 进行教育机构攻击

【BleepingComputer网站5月28日报道】Interlock 勒索软件团伙近期开始在教育机构部署一种新型远程访问木马（RAT），名为NodeSnake，以维持对企业网络的持续访问。据QuorumCyber的研究人员报告，2025年1月和3月，至少两起发生在英国大学的攻击事件中发现了NodeSnake RAT的痕迹，且该恶意软件版本显著不同，表明其正在积极开发新功能。NodeSnake恶意软件通过网络钓鱼邮件传播，邮件中包含恶意链接或附件，诱导用户感染。NodeSnake是一个基于JavaScript的恶意程序，利用NodeJS运行，并通过伪装成Google Chrome的更新程序来实现持久化。恶意软件通过注册表项“ChromeUpdater”运行，并使用PowerShell或CMD脚本保持隐蔽。它还通过随机延迟和加密技术混淆C2服务器的通信，避免被检测到。感染后，NodeSnake会收集用户、进程、服务和网络配置等关键信息，并将其发送给C2服务器。此外，它还能够终止活动进程，执行CMD命令，加载额外的恶意负载，甚至与C2服务器进行实时Shell交互，进一步加剧网络安全威胁。Interlock团伙的这一新型恶意软件表明其在持续开发中，致力于长期隐身并建立持久性，威胁仍在扩展中。