November 2025: Major Cyber Attacks, Ransomware Attacks, Data Breaches
日期:2025年12月1日
2025年11月是全球网络安全的又一个关键月份。这个月发生了大规模数据泄露、破坏性的基础设施中断以及高度协调的供应链攻击。
伦敦多个市政委员会的网络安全事件迫使超过50万居民改变紧急服务使用方式,这表明地方当局容易遭受系统性运营中断。DeFi协议Balancer遭遇的1.2亿美元惊天黑客攻击,突显了以加密货币为目标的威胁行为者日益成熟,他们持续利用广泛使用的协议中的逻辑漏洞。本月,包括《华盛顿邮报》、宾夕法尼亚大学和房地产金融巨头SitusAMC在内的世界知名组织也发生了敏感信息泄露事件。即使是像DoorDash这样资源充足的消费平台也在11月遭到攻击,这再次证明针对员工的社会工程学攻击仍然是攻击者最关键的入口点之一。
从所有这些事件中可以总结出几个核心教训。首先,第三方风险现已成为企业安全中最危险且最不受控的因素之一。其次,向“只窃取数据”的勒索模式转变,意味着组织不能再将勒索软件加密视为数据泄露的“信号”。静默数据外泄活动如今更为常见,破坏性也更大。最后,无论是公共部门还是私营部门的运营都表明,即使是成熟的环境,在及时检测、身份凭证泄露和关键系统隔离方面也面临挑战。
Cyber Management Alliance的服务直接针对11月攻击所暴露出的短板。我们NCSC认证的“网络事件规划与响应”培训课程帮助团队准备快速检测和遏制攻击。我们的事件响应预案和网络桌面演练使组织具备应对新威胁和不断演变的威胁所需的技能与准备。
随着威胁形势变得更加相互关联且更具侵略性,与我们合作将帮助您确保您的组织在应对下一个事件时能领先一步。
2025年11月数据泄露事件
| 日期 | 受害者 | 摘要 | 威胁行为者 | 业务影响 | 来源链接 |
|---|---|---|---|---|---|
| 2025年11月1日 | 宾夕法尼亚大学 | “我们被黑了"的邮件威胁泄露宾夕法尼亚大学数据 | 未知 | 攻击导致大量"我们被黑了(需要采取行动)“的邮件从宾夕法尼亚大学系统发出,据称攻击者在入侵员工单点登录账户并访问了Salesforce、Qlik、SAP和SharePoint等系统后,窃取了约120万学生、校友和捐赠者的数据(姓名、出生日期、地址、电话号码、净资产估计、捐赠历史、人口统计信息)。 | 来源:Bleeping Computer |
| 2025年11月4日 | 瑞典IT供应商Miljödata | 瑞典数据保护局对影响150万人的大规模数据泄露事件展开调查 | Datacarry勒索软件团伙 | 对Miljödata的网络攻击暴露了约150万瑞典人的个人数据,包括姓名、地址、身份证号码以及敏感的医疗/员工信息,随后这些数据被Datacarry勒索软件团伙发布到暗网。 | Miljödata数据泄露 |
| 2025年11月5日 | 日经新闻 | 日经称因Slack账户被黑导致数据泄露,17,000人受影响 | 未知 | 日经表示,被恶意软件窃取的Slack凭据使黑客能够访问其内部Slack工作区,暴露了约17,368名员工和业务合作伙伴的姓名、电子邮件地址和聊天记录。 | 日经数据泄露 |
| 2025年11月5日 | 现代AutoEver美国公司 | 现代AutoEver美国公司数据泄露暴露社会安全号码、驾照信息 | 未知 | 黑客在2025年2月22日至3月2日期间入侵了现代AutoEver美国公司,暴露了个人数据,包括个人(主要是约2000名现任/前任员工)的姓名、社会安全号码和驾照号码,使他们面临身份盗用和长期欺诈的更高风险。 | 来源:Bleeping Computer |
| 2025年11月6日 | 美国国会预算办公室 | 美国国会预算办公室遭受疑似外国网络攻击 | Silk Typhoon | 国会预算办公室遭到疑似由威胁行为者Silk Typhoon组织的国外网络攻击,可能暴露了敏感的内部邮件、政策分析、经济预测以及立法者与CBO分析师之间的通信,威胁到美国财政规划的保密性。 | 来源:Bleeping Computer |
| 2025年11月10日 | GlobalLogic | 日立旗下GlobalLogic承认1万名现任及前任员工数据被盗 | Clop勒索软件 | 超过1万名现任及前任GlobalLogic员工的个人数据——包括姓名、地址、社会安全/税号、护照信息、银行账户和工资详情——在攻击者利用Oracle电子商务套件中的零日漏洞后被窃取,攻击与Clop有关。 | 来源:The Register |
| 2025年11月13日 | 《华盛顿邮报》 | 《华盛顿邮报》数据泄露影响近万名员工、承包商 | Clop勒索软件 | 在2025年7月至8月期间,攻击者利用Oracle电子商务套件中的零日漏洞后,此次泄露暴露了《华盛顿邮报》约9,720名员工和承包商的个人及财务信息,包括姓名、银行账户和路由号码、社会安全号码和税号。此次入侵与Clop勒索软件团伙有关。 | 来源:Bleeping Computer |
| 2025年11月13日 | DoorDash | DoorDash称客户和配送员的个人信息在数据泄露中被盗 | 内部威胁 | 对DoorDash员工的针对性社会工程学攻击暴露了客户、配送员和商户的姓名、电话号码、电子邮件地址和实际地址,使他们面临钓鱼和其他诈骗的风险,但没有财务或政府身份证数据被盗。 | DoorDash数据泄露 |
| 2025年11月13日 | Checkout.com | Checkout.com披露在遭遇勒索企图后发生数据泄露 | ShinyHunters | 攻击者从ShinyHunters获得了对遗留的第三方云存储系统的访问权限后,此次泄露暴露了Checkout.com过时的商户注册文件和内部运营文件,而支付处理、商户资金和卡数据未被泄露。 | Checkout.com数据泄露 |
| 2025年11月17日 | 罗技 | 罗技在Clop声称攻击后披露数据泄露 | Clop勒索软件 | 黑客利用了罗技使用的第三方软件平台中的零日漏洞来复制内部公司数据。Clop声称实施了此次攻击,大约1.8TB的数据被窃取。 | 来源:The Record |
| 2025年11月20日 | Almaviva | 黑客声称从意大利铁路集团Almaviva窃取2.3TB数据 | ByteToBreach | 一个名为ByteToBreach的黑客组织声称入侵了Almaviva并窃取了2.3TB的内部公司数据,影响了意大利铁路集团FS Italiane。 | 来源:Bleeping Computer |
| 2025年11月21日 | Gainsight | 通过Gainsight集成入侵Salesforce实例 | ShinyHunters | 通过连接到Salesforce的Gainsight发布的应用,此次泄露允许未经授权的访问,可能暴露了超过200家客户组织的CRM数据,这要归咎于ShinyHunters声称的供应链攻击。 | 来源:Security Week |
| 2025年11月22日 | 考克斯企业 | 考克斯企业披露Oracle电子商务套件数据泄露 | Clop勒索软件 | 考克斯企业证实,Oracle电子商务套件中的一个零日漏洞(CVE-2025-61882)被利用,暴露了约9,479名个人的个人数据;此次攻击被Clop勒索软件团伙声称负责。 | 来源:Bleeping Computer |
| 2025年11月24日 | 哈佛大学 | 哈佛大学披露影响校友、捐赠者的数据泄露 | 未知 | 哈佛大学证实,一起语音钓鱼攻击暴露了校友、捐赠者、学生、教职工的联系方式、地址、活动出席数据和捐赠者信息,未发现特定的威胁行为者。 | 来源:Bleeping Computer |
| 2025年11月24日 | SitusAMC | 房地产金融服务巨头SitusAMC泄露事件暴露客户数据 | 未知 | SitusAMC的数据泄露泄露了公司记录,可能还有其部分客户(包括摩根大通、花旗和摩根士丹利等主要银行)的客户数据,包括与贷款和房地产相关的会计文件和法律协议,导致敏感信息广泛暴露。 | 来源:Bleeping Computer |
| 2025年11月24日 | 达特茅斯学院 | 达特茅斯学院确认在Clop勒索攻击后发生数据泄露 | Clop勒索软件 | 达特茅斯学院表示,对Oracle电子商务套件的零日攻击暴露了至少1,494人的姓名、社会安全号码和金融账户数据,此次泄露被Clop勒索软件团伙声称负责。 | 来源:Bleeping Computer |
| 2025年11月30日 | Coupang | 韩国最大电商公司披露3,370万客户账户泄露 | 疑似前内部人员 | 从6月开始,未经授权方访问了姓名、电子邮件、电话号码、地址以及部分订单历史记录。没有支付细节泄露,但当局启动了紧急调查,并警告受影响用户防范网络钓鱼。 | 来源:路透社 |
返回顶部
2025年11月网络攻击和勒索软件攻击
| 日期 | 受害者 | 摘要 | 威胁行为者 | 业务影响 | 来源链接 |
|---|---|---|---|---|---|
| 2025年11月4日 | Balancer DeFi协议 | Balancer DeFi协议遭利用,超1亿美元被盗 | 未知 | 黑客从Balancer DeFi协议中盗取了超过1.2亿美元(主要来自其V2资金池),在多个区块链上耗尽了数千万美元的基于ETH的资产。 | 来源:The Record |
| 2025年11月6日 | 内华达州 | 内华达州政府拒绝支付赎金,称网络攻击可追溯至5月的漏洞 | 未知 | 2025年5月对内华达州的网络攻击影响了60多个州机构,中断了服务,暴露了数千份文件,造成了超过130万美元的恢复成本,受害者拒绝支付赎金,未确认威胁行为者身份。 | 来源:The Record |
| 2025年11月26日 | 肯辛顿-切尔西皇家自治市、威斯敏斯特市议会、哈默史密斯-富勒姆议会 | 伦敦三个市政委员会遭网络攻击后启动应急计划 | 未知 | 对肯辛顿-切尔西皇家自治市、威斯敏斯特市议会和哈默史密斯-富勒姆议会的网络攻击破坏了市政委员会之间共享的IT系统和电话线路,迫使为超过50万伦敦居民提供的关键服务关闭,造成延误,并使市政税、停车罚款支付和社会关怀支持等基本服务不可靠。 | 来源:BBC |
| 2025年11月26日 | CodeRED紧急警报系统 | 针对OnSolve公司CodeRED紧急通知平台的勒索软件攻击在美国造成重大中断 | Inc勒索软件团伙 | CodeRED紧急通知平台被美国许多地方政府广泛使用。由于此次攻击,美国十几个州的许多市县当局无法发送有关洪水、火灾或失踪人员的警报。Inc勒索团伙据称窃取了居民联系信息数据库(姓名、地址、电子邮件、电话号码)。攻击者于11月1日入侵了供应商的网络,并于11月10日部署了勒索软件,然后试图勒索该公司(该公司拒绝支付)。官方匆忙切换到备用系统,因为旧的CodeRED服务被关闭,新平台已推出。 | CodeRED紧急警报系统勒索软件攻击 |
| 2025年11月28日 | Upbit | 韩国当局报告称,价值3,040万美元的加密货币从Upbit被盗 | 朝鲜的Lazarus集团(疑似) | 调查人员指出此次入侵与过去Lazarus的抢劫案有相似之处,Upbit的运营商暂停交易以检查系统。攻击发生在一项重大企业收购宣布前数小时,引发了对战略时机的怀疑。 | 来源:路透社 |
| 2025年11月28日 | 朝日啤酒 | 日本啤酒巨头透露,9月下旬的一起勒索软件攻击可能暴露了约150万客户的个人数据 | Qilin勒索软件 | 泄露的信息包括客户、部分员工及其家属的姓名、地址、电话号码和其他联系方式。勒索软件团伙声称窃取了财务记录、员工文件和预测数据。朝日啤酒在攻击后不得不停止生产和分销数周,导致全国啤酒短缺。该公司控制了泄露事件,拒绝支付赎金,正在恢复运营并与当局合作。 | 来源:The Record |
返回顶部
2025年11月新发现的勒索软件/恶意软件
| 新勒索软件/恶意软件 | 摘要 |
|---|---|
| DanaBot恶意软件(附带Windows兼容变种v669) | DanaBot恶意软件在2025年重新出现,带有新的Windows兼容变种(v669),重建了完整的命令与控制基础设施(包括Tor域名和"反向连接"节点),尽管之前已被捣毁,但仍能恢复凭据/加密货币钱包盗窃和其他有效载荷的投递。 |
| 来源:The Record |
返回顶部
2025年11月发现的漏洞与发布的补丁
| 日期 | 新漏洞/补丁 | 摘要 |
|---|---|---|
| 2025年11月1日 | CVE-2025-61932 | Lanscope端点管理器(9.4.7.2及更早版本)中的漏洞CVE-2025-61932被中国相关的网络间谍组织Bronze Butler作为零日漏洞利用,以部署具有SYSTEM权限的Gokcpdoor后门。 |
| 2025年11月3日 | CVE-2025-59287 | 微软于2025年10月23日为Windows Server更新服务发布的补丁修复了CVE-2025-59287,但无意中禁用了某些Windows Server 2025系统的热补丁功能。 |
| 2025年11月4日 | CVE-2025-5397 | 黑客利用了JobMonster WordPress主题中的关键身份验证绕过漏洞(CVE-2025-5397),允许攻击者绕过登录并劫持使用社交登录且版本最高为4.8.1的网站的管理员账户。 |
| 2025年11月6日 | CVE-2025-20354 | 黑客可能利用思科统一联络中心Express中的一个关键漏洞(编号CVE-2025-20354),远程上传恶意文件并在受影响系统上以root权限执行任意命令,从而获得完全控制权。 |
| 2025年11月9日 | CVE-2025-31133, CVE-2025-52565, CVE-2025-52881 | 黑客可能利用runC中的三个关键漏洞突破Docker/Kubernetes容器,获得对主机的root级写访问权限,并可能完全控制底层系统。 |
| 2025年11月10日 | CVE-2025-21042 | 攻击者利用三星图像处理库中的零日漏洞(CVE-2025-21042)部署了间谍软件LANDFALL——从而能够在三星Galaxy设备上远程执行代码,实现对设备的完全控制,访问通话、短信、照片、文件、位置等。 |
| 2025年11月12日 | CVE-2025-5777, CVE-2025-20337 | 黑客利用了Citrix NetScaler ADC/Gateway(CVE-2025-5777)和思科身份服务引擎(ISE)(CVE-2025-20337)中的关键零日漏洞,部署自定义恶意软件,获得预认证root访问权限,并在受影响的网络上持久化隐藏。 |
| 2025年11月13日 | CVE-2025-9242 | 黑客利用了WatchGuard Firebox防火墙中的一个关键越界写入漏洞(编号CVE-2025-9242),在易受攻击的设备上实现未经身份验证的远程代码执行,使数以万计暴露在外的防火墙面临被完全入侵的风险。 |
| 2025年11月13日 | CVE-2025-20333 和 CVE-2025-20362 | 黑客利用了思科ASA和思科Firepower防火墙中的两个关键漏洞(编号CVE-2025-20333 和 CVE-2025-20362),允许远程攻击者绕过身份验证或执行代码,从而完全控制未打补丁的设备。 |
| 上表来源:Bleeping Computer, Recorded Future |
返回顶部
警告/公告/报告/分析
| 新闻类型 | 摘要 |
|---|---|
| 报告 | 威胁行为者部署了合法的远程监控和管理工具来入侵货运经纪人和卡车运输公司,并劫持实体货物运输。 |
| 报告 | 三名美国网络安全专业人员涉嫌沦为BlackCat/ALPHV的流氓附属攻击者,在2023年5月至11月期间入侵了五家公司,加密系统并索要数百万美元加密货币赎金。 |
| 报告 | 三名前美国网络安全专业人员因涉嫌作为BlackCat(ALPHV)的附属成员而被起诉,据称他们在2023年5月至11月期间入侵了五家公司的网络,窃取数据,部署勒索软件并勒索高达1000万美元,其中一名受害者支付了约127万美元。 |
| 分析 | Sandworm对乌克兰实体(包括政府、物流、能源和农业)部署了多种破坏性数据擦除恶意软件,攻击发生在2025年6月和9月,使系统瘫痪并针对粮食行业(关键收入来源)以破坏乌克兰经济。 |
| 报告 | 在NuGet上发现的恶意软件包被发现包含"定时炸弹"破坏性有效载荷,由别名"shanhai666"发布的九个软件包嵌入了隐藏代码,会随机崩溃基于数据库的.NET应用程序或破坏工业PLC系统(特别是通过"Sharp7Extend"包)。 |
| 报告 | Synnovis;继2024年6月遭遇勒索软件攻击后,已完成为期一年的取证审查,于2024年12月恢复了所有病理学服务,截至2025年11月正在通知其数据被盗的受影响NHS医院、全科医生诊所和诊所,通知过程预计于2025年11月21日完成。 |
| 报告 | 英国通过的新《网络安全与韧性法案》要求医院、能源、水务、交通及相关服务提供商遵守更严格的网络安全标准,强制IT/管理服务供应商在24小时内报告事件,满足基本安全要求,并对不合规行为处以基于营业额的罚款。 |
| 报告 | 2025年的网络攻击迫使捷豹路罗孚主要工厂停产数周,造成约1.96亿英镑(约合2.2亿美元)的直接季度损失,并引发了整个供应链的广泛中断。 |
| 来源:Bleeping Computer, Recorded Future News, Databreaches.net |
返回顶部