安全简讯（2025.11.07）

1. SonicWall证实客户泄露事件系国家黑客所为

11月5日，网络安全公司SonicWall近日完成对9月客户防火墙配置备份文件泄露事件的调查，结论显示此次攻击由国家支持的黑客组织实施。据Mandiant事件响应团队确认，恶意活动仅通过API调用未授权访问特定云环境中的备份文件，未对SonicWall产品、固件、系统、工具、源代码或客户网络造成影响。事件始于9月17日，SonicWall披露“存储在部分MySonicWall账户中的防火墙配置备份文件泄露”。攻击者可从这些文件中提取访问凭证、令牌等敏感信息，可能用于攻击客户防火墙。公司随即建议客户重置MySonicWall账户凭据、临时访问代码、LDAP/RADIUS/TACACS+服务器密码、L2TP/PPPoE/PPTP WAN接口密码及IPSec VPN策略中的共享密钥。10月9日，SonicWall更新说明，此次漏洞影响所有使用其云备份服务存储防火墙配置文件的客户，但强调仅限于云环境特定部分，产品安全性未受损害。

https://www.bleepingcomputer.com/news/security/sonicwall-says-state-sponsored-hackers-behind-security-breach-in-september/

2. 国际联合行动捣毁超3亿欧元信用卡欺诈网络

11月5日，国际当局于11月4日开展代号“追回行动”（Operation Chargeback）的跨国执法，成功捣毁三个大型信用卡欺诈及洗钱网络，涉案金额超3亿欧元（约3.44亿美元），波及193个国家的430余万持卡人。此次行动由德国检察官和联邦刑事警察局牵头，欧洲司法组织与欧洲刑警组织协调，德国、美国、加拿大、新加坡等九国联合参与，共逮捕44名嫌疑人，其中18人已被拘捕，包括五名德国主要支付服务提供商的高管及六名涉嫌与诈骗网络勾结的支付机构人员。调查显示，2016至2021年间，犯罪网络利用信用卡数据在色情、约会及流媒体平台创建超1900万个虚假订阅，单笔费用控制在50欧元左右且描述模糊，降低受害者识别难度。嫌疑人通过英国、塞浦路斯注册的空壳公司转移资金，并利用四家德国支付服务提供商的基础设施处理非法交易，形成“诈骗-洗钱”闭环。德国警方在8个州执行29次搜查，查获价值超3500万欧元资产，包括豪华汽车、加密货币、电子设备等。

https://www.bleepingcomputer.com/news/security/europol-credit-card-fraud-rings-stole-eur-300-million-from-43-million-cardholders/

3. 波兰遭系列网络攻击致头部机构数据泄露

11月5日，波兰当局正调查多起针对公共及私人基础设施的网络攻击事件，导致多家大型企业数字服务中断与个人数据泄露，涉及该国头部在线贷款平台SuperGrosz、主流移动支付系统Blik及最大旅行社Nowa Itaka。数字事务部长克日什托夫·高科夫斯基指出，此类攻击已“司空见惯”，波兰每日接收数千起事件报告，2025年或成网络攻击创纪录年份，攻击目标正从地方公用事业扩展至金融、能源等关键系统。SuperGrosz平台确认，网络犯罪分子窃取超1万名客户姓名、地址、身份证号、税号、联系方式、就业详情及银行账号等敏感信息，实际规模可能更大，公司已警示客户防范欺诈信贷活动。Blik移动支付系统因DDoS攻击短暂中断服务，经修复后已恢复；Nowa Itaka旅行社则泄露客户姓名、邮箱及电话号码，但预订详情、财务数据及账户密码未受影响。高科夫斯基强调，针对Blik的攻击“线索指向俄罗斯”，并将其视为“混合战争新阶段”。

https://therecord.media/poland-hacks-loan-platform-mobile-payments-system-travel-agency

4. 瑞士哈比银行遭麒麟勒索软件攻击

11月5日，瑞士苏黎世哈比银行（Habib Bank AG Zurich）遭俄罗斯黑客组织麒麟勒索软件团伙攻击，该团伙于11月5日在暗网博客公布最新受害者名单，声称窃取超2.5TB数据、近200万个文件，包括客户护照号码、银行账户余额、交易支付场所等敏感信息及内部工具源代码。为施压赎金支付，团伙已公开部分文件截图，并威胁若要求未满足将进一步泄露或出售数据。哈比银行成立于1967年，业务遍及瑞士、英国、阿联酋、香港等15国，2024年雇佣7904名员工，收入达7.5亿美元。麒麟勒索软件自2022年活跃于勒索领域，其暗网泄露网站自称2021年运作，2024年已成全球最活跃团伙之一，自2023年起通过Ransomlooker监控显示已列959名受害者，涵盖医院、制造业、电力公司、药品福利管理机构等。该团伙与LockBit、DragonForce结盟，通过资源共享提升攻击策略复杂度与规模。

https://cybernews.com/security/swiss-habib-bank-data-breach/

5. 俄罗斯核废料处理厂Radon遭数据泄露

11月5日，俄罗斯国家原子能公司旗下核废料处理厂Radon的系统遭入侵，攻击者声称窃取大量敏感数据并在热门数据泄露论坛公开。此次泄露涉及测试人员姓名、检验统计量、用户ID、状态数据、电子邮件及电话号码等关键信息，数据样本因攻击者设置下载限制暂无法访问，凸显事件受关注度之高。Radon公司作为俄罗斯主要核设施退役与清理运营商，总部位于莫斯科，负责收集、运输、储存及最终处置低中放射性废物（LILW），并执行辐射监测。其业务涉及全球最敏感材料之一，放射性废物的处理，曾于1986-1989年参与切尔诺贝利核电站事故后果消除，地位至关重要。此次攻击的潜在风险尤为严峻。泄露的测试数据可能被用于伪造安全评估文档，误导放射性区域风险判定；结合用户身份信息，攻击者可发起精准鱼叉式网络钓鱼，进一步渗透公司系统。员工个人身份信息若被用于社会工程攻击，或与其他数据结合进行身份分析，将加剧安全威胁。

https://cybernews.com/security/nuclear-waste-plant-data-breach/

6. 美国国会预算办公室疑似遭受外国网络攻击

11月6日，美国国会预算办公室（CBO）证实遭遇疑似外国黑客网络攻击，敏感数据可能泄露。CBO发言人凯特琳·艾玛表示，该机构已迅速采取行动控制事态，并实施额外监控和安全措施。此次事件由《华盛顿邮报》率先披露，官员称黑客攻击可能已泄露国会办公室与CBO分析师间的电子邮件及交流内容。尽管部分国会办公室因安全顾虑暂停与CBO的邮件往来，但CBO强调其工作持续进行，并持续监控应对威胁。CBO作为无党派机构，负责为立法者提供经济分析及立法成本估算，其报告草稿、经济预测及内部通讯若遭泄露，可能影响政策制定。CBO在声明中强调，与其他政府及私营部门一样，其网络常面临威胁，需持续加强防护。目前，调查仍在进行中，CBO正与相关机构合作评估影响并强化防御措施。

https://www.bleepingcomputer.com/news/security/us-congressional-budget-office-hit-by-suspected-foreign-cyberattack/