7月7日 – 威胁情报报告

2025年7月7日

获取7月6日当周最新网络研究成果，请下载我们的威胁情报公报。

主要攻击与数据泄露事件

• 国际刑事法院（ICC） 在2025年6月底披露一起复杂网络安全事件，这是近年来第二次类似事件。入侵发生在2025年6月，已被及时检测并控制，全面影响范围正在调查中。
• 澳洲航空（Qantas） 遭遇网络攻击，攻击者针对离岸呼叫中心并访问第三方客服平台，影响近600万客户记录。失窃数据包含个人信息和常旅客号码。澳航已控制事件、通知当局和客户，聘请取证团队，并加强支持与安全措施。
• 美国IT产品服务分销商Ingram Micro 遭受勒索软件攻击，导致内部系统（包括网站、在线订购平台、Xvantage分销平台和Impulse许可证配置平台）关闭。勒索团伙SafePay宣称对此负责。
• 西班牙电信提供商Telefónica 可能遭受与Hellcat勒索团伙关联的威胁行为者攻击。攻击者声称窃取106GB敏感内部数据，包括超过38.5万份文件，涉及欧美及拉美子公司员工和商业客户信息。
• 美国弗吉尼亚州Gloucester县 遭勒索软件攻击，3527名现任及前任政府员工的敏感信息被窃，包括社保号码、银行账户详情和医疗信息。BlackSuit勒索团伙在县政府拒绝支付赎金后宣称负责。
• 瑞士健康促进非营利组织Radix 确认遭受勒索软件攻击，导致数据被盗和加密。该组织客户包括多个联邦行政办公室，数据被窃并在暗网发布。
• 德国慈善组织Welthungerhilfe 遭勒索软件即服务团伙攻击，索要20比特币（210万美元）赎金。组织拒绝支付，关闭受影响系统并聘请网络安全专家。人道主义运作未受影响，当局正在调查。
• 哥伦比亚大学 遭遇数据泄露，黑客活动分子出于政治目的访问IT系统，窃取高达460GB敏感信息，据报包含至少180万员工、申请人、学生及其家庭成员的社保号码。

漏洞与补丁

• Wordfence 披露WordPress插件Forminator的高危漏洞（CVE-2025-6463）。未认证任意文件删除缺陷可能允许攻击者删除Web服务器上的任何文件（包括wp-config.php等关键文件），导致远程代码执行和完全站点沦陷。
• Citrix 发布公告修复NetScaler ADC和NetScaler Gateway的两个漏洞。CVE-2025-5349是管理接口的访问控制不当问题，CVE-2025-5777是配置为网关时因输入验证不足导致的内存越读缺陷。虽未确认活跃利用，但严重性和公开暴露需紧急修补，两者均可访问敏感数据。Check Point IPS提供对此威胁的防护（Citrix NetScaler越界读取CVE-2025-5777）。
• 研究人员发现Wing FTP服务器的严重远程代码执行漏洞（CVE-2025-47812）。该缺陷允许攻击者通过用户名中的空字节注入绕过认证，无需有效凭证即可登录。问题在匿名访问模糊测试中发现，通过UID cookie授予认证用户权限。Check Point IPS提供对此威胁的防护（Wing FTP服务器远程代码执行）。

威胁情报报告

• Check Point研究团队 发现针对2025年亚马逊Prime日的网络犯罪活动激增，6月出现1000多个类似亚马逊的新域名——其中87%被标记为恶意或可疑。欺诈域名旨在通过仿冒合法亚马逊登录门户的钓鱼页面窃取登录凭证，诱骗受害者在虚假网站输入个人信息或支付详情。
• 研究人员分析以经济利益为动机的网络犯罪团伙“Scattered Spider”。该威胁行为者针对个人而非直接利用软件漏洞，采用社会工程学和“就地取材”（Living-off-the-Land）技术渗透电信、游戏、交通和零售行业组织。
• Hunters International勒索团伙 宣布关闭，并向先前受害者提供免费解密工具，但其有效性受事件响应者质疑。研究人员称该团伙正转型为名为World Leaks的纯勒索平台，操作和代码与Hive勒索软件高度相似。
• 研究人员发现“RondoDox”复杂僵尸网络，利用CVE-2024-3721和CVE-2024-12856感染TBK DVR和四信路由器。获取访问后，恶意软件隐蔽建立持久性，将其流量伪装为游戏或VPN数据包，通过安全连接下载额外载荷，并使设备能发起分布式拒绝服务（DDoS）攻击。