2025年3月六大网络攻击与数据泄露事件

网络攻击和数据泄露正在全球范围内对组织和用户造成严重破坏。从勒索软件和分布式拒绝服务（DDoS）攻击到意外和第三方数据泄露，企业面临着持续且复杂的网络安全风险。

以下是本月登上头条的一些突出网络攻击和数据泄露事件的详细分析。

内容目录：

• 600万条记录从Oracle云中被窃取
• 虚假银行应用通过Telegram针对安卓用户
• 网络攻击袭击乌克兰铁路系统
• 受信任网站被利用进行恶意重定向
• 供应链攻击危害GitHub Action
• 新南威尔士州数千份法庭文件泄露

600万条记录从Oracle云中被窃取

安全供应商CloudSEK发现了一起针对Oracle云的重大漏洞，通过一个疑似未公开的漏洞窃取了600万条记录。超过14万个租户受到影响，攻击者要求赎金并在网上销售敏感数据。这些数据包括JKS文件、加密的单点登录密码、密钥文件和企业管理器JPS密钥。

CloudSEK表示：“虽然该威胁行为者没有先前的历史记录，但其方法表明其具有高度复杂性，CloudSEK以中等置信度评估此威胁，并将其严重性评为高级。”

虚假银行应用通过Telegram针对安卓用户

发现了一个复杂的恶意软件投放器，模仿IndusInd银行应用，并在网络钓鱼计划中针对安卓用户，以窃取敏感财务信息。该恶意应用显示虚假银行界面，诱骗用户输入PAN和Aadhaar号码以及银行凭证等信息。

受害者提交数据后，数据会被发送到网络钓鱼服务器和Telegram控制的命令与控制（C2）通道。

网络攻击袭击乌克兰铁路系统

对乌克兰铁路的大规模网络攻击迫使在线服务下线。该国国家铁路公司Ukrzaliznytsia将此次攻击描述为“非常系统化、复杂且多层次的”。该公司关闭了在线门户网站，导致一段时间内无法在线售票，尽管火车仍能运行。

Ukrzaliznytsia的最新更新中写道：“敌人的关键目标失败了：列车运行保持稳定，按计划运行无延误，所有运营流程已切换到备份模式。尽管基础设施遭受物理攻击，铁路仍在继续运营，即使是最狡猾的网络攻击也无法阻止它。由于Ukrzaliznytsia之前曾是敌人网络攻击的目标，公司内部已实施了备份协议。”

受信任网站被利用进行恶意重定向

ANY.RUN曝光的另一项活动显示，攻击者滥用长期受信任域名的重定向功能，将用户重新路由到网络钓鱼页面。通过利用弱重定向验证，威胁行为者将看似安全的URL变成了恶意网站的发射台。由于用户认为他们仍在合法页面上或在它们之间移动，因此他们更有可能上当受骗。

供应链攻击危害GitHub Action

供应链攻击危害了流行的tj-actions/changed-files GitHub Action，影响了超过23,000个代码库。攻击者追溯性地修改了多个版本标签以引用恶意提交，在工作流日志中暴露了CI/CD机密。该漏洞存在于2025年3月14日至3月15日之间，此后已得到缓解。

该攻击涉及修改tj-actions/changed-files GitHub Action以执行恶意Python脚本。该脚本从Runner Worker进程内存中提取机密，并在GitHub Actions日志中打印它们，使它们在具有公共工作流日志的代码库中公开可访问。

Endor Labs的首席技术官兼联合创始人Dimitri Stiliadis表示：“此CVE影响启用了GitHub Actions的公共GitHub代码库。所有版本都受到影响。对于构建软件的组织来说，如果他们正在使用受感染的Action，则可能需要重新配置其流水线。”

数千份新南威尔士州法庭文件泄露

新南威尔士州（NSW）法院系统在线注册处发生数据泄露，约9,000份法庭文件被泄露，包括敏感文件，如暴力禁止令和宣誓书。警方已就NSW在线注册网站的数据泄露事件发出警报，NSW州犯罪指挥部的网络犯罪侦探启动了一项涉及该州社区和司法部（DCJ）的调查。

据报道，受害者和罪犯的姓名和地址，以及涉嫌犯罪的描述可能包含在暴露的文件中。

NSW总检察长Michael Daley表示，部门和警方正在认真对待此事件，并在重大泄露后努力确保系统的完整性。他补充说：“他们还在紧急识别和联系受影响的用户，随着更多信息的出现，公众将随时了解情况。”