4th August – Threat Intelligence Report

August 4, 2025

获取8月4日当周最新网络研究成果，请下载我们的威胁情报公报。

主要攻击与数据泄露事件

• 俄罗斯最大航空公司Aeroflot遭亲乌克兰黑客组织攻击，导致严重航班延误和技术中断。攻击者声称窃取了包含航班历史、工作站数据、通话录音和人员监控信息的数据库，并删除了7000台服务器总计超过22TB的数据。
• 法国电信巨头Orange遭遇网络攻击，运营中断主要影响法国客户及部分企业和消费者服务。未发现客户或公司数据泄露证据，受损数据范围尚不明确。
• 美国明尼苏达州圣保罗市遭遇网络攻击，数字服务和关键市政系统广泛中断，包括在线支付不可用、图书馆和娱乐中心临时关闭。紧急服务未受影响，但31.1万居民在获取城市资源时遭遇延迟或中断。
• 流行网络级广告拦截器Pi-hole因GiveWP WordPress捐赠插件安全漏洞导致数据泄露，捐赠者姓名和邮箱地址暴露。事件影响近3万名捐赠者。
• 塞舌尔商业银行遭遇数据泄露，导致2.2GB敏感客户信息暴露，包括姓名、出生日期、电话号码、账户类型、余额等个人数据，以及政府官员相关记录。攻击影响个人和企业账户及员工数据。
• 俄罗斯药店连锁Stolichki和Neofarm确认遭网络攻击，导致数百家分店关闭，支付系统、药品预订和客户忠诚计划中断，影响全俄数千患者获取药物。
• 约会安全应用Tea遭遇数据泄露，超过59GB敏感用户数据暴露，包括约7.2万张自拍、政府ID和应用内照片，以及包含110万条会员私信的独立数据库。
• 法国国家自然历史博物馆确认遭网络攻击，内部和协作研究系统严重中断。攻击影响科学数据库和 ongoing 研究，尤其冲击国际项目和合作。

漏洞与补丁

• 研究人员发现AI驱动开发平台Base44存在关键漏洞，允许通过滥用暴露端点未经认证访问私有应用。漏洞源于API安全配置不当，接受任意app_id值而无需凭证或SSO验证。成功利用可使攻击者未授权访问处理HR数据、内部系统或PII的敏感企业工具。
• 研究人员发布SonicWall SMA100系列设备三个关键漏洞的技术分析：CVE-2025-40596、CVE-2025-40597和CVE-2025-40598。漏洞包括栈缓冲区溢出、堆溢出和任意内存写入，均可通过未经认证的HTTP POST请求触发CGI端点。成功利用可能导致远程代码执行并获取root权限。

Check Point IPS提供针对这些威胁的保护（SonicWall SMA100栈溢出）

• Enable Security发现ngcp-rtpengine软件关键漏洞（CVE-2025-53399），允许通过特制WebSocket消息未经认证远程代码执行。问题源于处理控制协议消息时的类型混淆，使攻击者可覆盖函数指针并劫持执行流。利用结果可完全控制rtpengine进程，已有公开概念验证。

威胁情报报告

• Check Point Research发布2025年第二季度勒索软件趋势全面分析，强调多个勒索软件即服务（RaaS）团体中断后生态系统碎片化、AI在勒索操作中的实战应用，以及DragonForce等卡特尔模式的出现。Qilin勒索软件在Q2领先，拥有新勒索工具和法律服务，而Global Group等团体提供AI驱动谈判作为RaaS功能。由于对攻击者不信任增加和政策压力，全球支付率下降，但勒索团体更专注于数据勒索和创新声誉攻击。
• Check Point Research对Storm-2603进行聚焦分析，该威胁行为者与近期ToolShell利用相关，可能在整个2025年上半年针对拉丁美洲组织，同时攻击亚太地区组织。Storm-2603使用自定义恶意软件命令与控制框架，攻击者内部称为“ak47c2”，包含基于HTTP和DNS的客户端。
• Check Point Research发现名为“JSCEAL”的新恶意活动，通过恶意广告针对加密应用用户。活动使用冒充流行加密货币交易应用的虚假应用，2025年上半年投放超过3.5万条恶意广告，仅在欧盟即产生数百万次展示。JSCEAL恶意软件通过复杂多层感染流交付，窃取凭证和钱包等加密货币相关数据，对加密应用用户构成重大威胁。