安全简讯（2025.12.04）

1. DragonForce攻击美国最大Cricket经销商

12月2日，美国最大Cricket Wireless授权经销商Mobilelink USA遭与俄罗斯关联的勒索软件组织DragonForce攻击，该组织宣称窃取超5TB数据并设置倒计时威胁。DragonForce在暗网泄露网站发布Mobilelink标志及多家受害者标识，要求其在约6天16小时内满足勒索要求，否则将公开被盗数据。Mobilelink作为快速扩张的电信运营商，在美国21个州运营550家零售店，拥有650余名员工，专门提供无合约5G LTE服务、预付费套餐及手机配件。此次数据泄露可能波及Cricket母公司AT&T的1300万客户群体，导致数百万敏感个人身份信息（PII）及财务数据泄露，使受影响用户面临身份盗窃、网络钓鱼攻击等风险。DragonForce是2025年最活跃的勒索软件组织之一，据Cybernews暗网监控工具显示，该组织2025年已攻击185个组织，其中130次发生在近六个月。

https://cybernews.com/news/cricket-wireless-mobilelink-usa-ransomware-attack-dragonforce/

2. Marquis软件数据泄露事件波及40万金融客户

12月3日，近期，为700余家银行、信用社及抵押贷款机构提供数据分析、CRM工具等服务的金融软件供应商Marquis Software Solutions遭遇勒索软件攻击，导致美国74家金融机构的40余万客户数据泄露。攻击通过存在漏洞的SonicWall防火墙入侵系统，黑客窃取了包含客户姓名、地址、电话号码、社会保障号码、纳税人识别号码、无安全码的金融账户信息及出生日期等敏感文件。事件影响范围覆盖缅因、爱荷华、德克萨斯等多州，涉及北加州第一信用社、贝尔韦瑟社区信用社、Gateway First Bank等74家机构。Marquis在通知中强调，目前无证据显示数据被滥用或公开发布，但已代表客户向各州提交详细泄露报告，部分州文件细分了受影响客户数量。值得注意的是，Community 1st信用社已删除的文件显示，Marquis曾支付赎金以阻止数据泄露，而CoVantage Credit Union的文件则披露了Marquis加强安全的具体措施：更新防火墙补丁、轮换本地账户密码、删除冗余账户、启用多因素认证、延长日志留存时间、实施账户锁定策略、限制连接来源国别及自动封锁僵尸网络IP。

https://www.bleepingcomputer.com/news/security/marquis-data-breach-impacts-over-74-us-banks-credit-unions/

3. WordPress插件高危漏洞引发大规模攻击

12月3日，近日，WordPress平台两款热门插件接连暴露严重安全漏洞，引发全球超4.8万次攻击尝试。King Addons for Elementor插件的CVE-2025-8489漏洞允许攻击者直接获取网站管理员权限。该漏洞于2025年10月31日公开后，Wordfence安全扫描器已拦截48400余次攻击，其中11月9日至10日达到高峰，两个活跃IP地址分别发起28900次和16900次尝试。约10000个使用该插件的网站面临风险，建议立即升级至51.1.35版本修复。同期，Advanced Custom Fields: Extended插件的CVE-2025-13486漏洞亦引发关注。该漏洞存在于0.9.0.5至0.9.1.1版本中，由波兰CERT负责人Marcin Dudek发现并报告。攻击者可在未认证情况下远程执行任意代码，可能用于注入后门或创建恶意管理员账户。该漏洞于11月18日披露后，供应商次日即发布0.9.2版本修复，但鉴于技术细节已公开，专家警告可能引发新一轮恶意攻击。

https://www.bleepingcomputer.com/news/security/critical-flaw-in-wordpress-add-on-for-elementor-exploited-in-attacks/

4. 法国乐华梅兰披露数据泄露事件

12月3日，法国家居建材与园艺零售巨头乐华梅兰（Leroy Merlin）近日通知客户，其部分个人信息在数据泄露事件中遭外部泄露。该公司业务覆盖欧洲多国及南非、巴西，拥有16.5万名员工，年收入达99亿美元。此次事件仅影响法国客户，泄露数据包括姓名、电话号码、电子邮件、邮政地址、出生日期及会员计划相关信息，但不涉及银行账户密码或网上账户敏感数据。乐华梅兰在通知中强调，事件发生后已立即采取措施阻止未经授权访问并控制事态发展。尽管当前无证据表明泄露信息被恶意使用或用于勒索，公司仍提醒客户警惕网络钓鱼攻击，并提供了识别仿冒品牌钓鱼信息的方法。若客户发现账户异常活动或会员折扣兑换问题，可直接向公司报告。目前，尚未有勒索软件组织宣称对此次攻击负责。

https://www.bleepingcomputer.com/news/security/french-diy-retail-giant-leroy-merlin-discloses-a-data-breach/

5. Freedom Mobile披露数据泄露事件

12月3日，加拿大第四大无线运营商Freedom Mobile近日披露重大数据泄露事件。该公司由Globalive于2008年创立，原名为Wind Mobile，2023年被魁北克电信子公司Vidéotron收购后，形成拥有超350万移动用户、近7500名员工及覆盖99%加拿大人的服务网络。本次事件发生于2025年10月23日，攻击者通过分包商被盗账户入侵客户账户管理平台，窃取了部分客户的个人信息，具体包括姓名、家庭住址、出生日期、手机号码及Freedom Mobile账户号码。公司声明显示，事件发生后，Freedom迅速采取行动，屏蔽可疑账户及对应IP地址，并加强安全措施。尽管目前无证据表明泄露数据已被滥用，但运营商仍建议受影响客户警惕钓鱼攻击，避免点击可疑链接或下载附件，并定期检查账户异常活动。Freedom Mobile发言人强调，此次事件未波及网络和运营系统，不属于勒索软件攻击类型，但未透露具体受影响客户数量。作为加拿大主要电信服务商，Freedom的数据泄露可能引发客户信任危机及监管审查。

https://www.bleepingcomputer.com/news/security/freedom-mobile-discloses-data-breach-exposing-customer-data/

6. 凤凰城大学遇Clop攻击致师生数据泄露

12月3日，美国凤凰城大学（UoPX）8月成为Clop勒索软件团伙利用Oracle E-Business Suite（EBS）零日漏洞（CVE-2025-61882）攻击的目标，导致大量敏感数据泄露。这所成立于1976年的私立营利性大学拥有近3000名教职员工和超10万在校学生，其母公司Phoenix Education Partners已向美国证券交易委员会提交8-K表格披露事件。攻击者通过Oracle EBS财务应用程序的漏洞窃取了现任及前任学生、教职工、供应商的姓名、联系方式、出生日期、社会保障号码、银行账户及路由号码等敏感信息。在Clop将其列入数据泄露网站后，UoPX于11月21日发现事件，并表示将审查受影响数据，通过美国邮政向受影响个人寄送通知，同时向监管机构报告。目前，学校未透露具体受影响人数及幕后黑手，但公开信息指向Clop团伙。凤凰城大学强调已采取措施遏制风险，但未波及核心网络运营。

https://www.bleepingcomputer.com/news/security/university-of-phoenix-discloses-data-breach-after-oracle-hack/