6月23日 – 威胁情报报告

2025年6月23日

获取6月23日当周最新网络研究成果，请下载我们的威胁情报公报。

主要攻击与数据泄露事件

• 瑞典重型卡车和发动机制造商斯堪尼亚遭遇数据泄露，攻击者通过外部IT合作伙伴的受损凭证从其金融服务系统中窃取了保险索赔文件。失窃数据可能包含个人、财务或医疗信息。该攻击与名为"Hensi"的威胁行为者有关，其在勒索未果后将失窃数据样本发布在黑客论坛上。

• 美国保险巨头Aflac遭受数据泄露，攻击者可能窃取了敏感信息，包括客户的个人和健康数据、社会安全号码、索赔详情及其他个人信息。涉及美国和日本的数百万用户可能受到此次广泛敏感文档泄露事件的影响。

• 卫星通信公司Viasat遭遇网络攻击，攻击者通过受感染设备获得未授权访问。虽然公司声称没有证据表明客户受到影响，但此次入侵与中国关联的Salt Typhoon APT组织行为一致，该组织此前曾渗透全球电信网络并访问敏感数据。

• 《华盛顿邮报》确认正在调查针对其记者微软邮箱账户的网络攻击，特别是报道中国国家安全和经济政策团队的记者。疑似外国政府实施的入侵行为促使公司进行了全员密码重置。

• 俄罗斯联邦国家兽医监督信息系统（VetIS）遭遇网络攻击，导致用于认证动物产品的Mercury平台离线。此次中断迫使企业恢复纸质兽医认证，造成供应链混乱，并停止向Lenta和Yandex Lavka等主要零售商供货。

• 伊朗Sepah银行遭遇网络攻击，导致客户服务中断，包括账户访问、取款和卡支付，并可能影响依赖该银行系统的加油站交易。反伊朗黑客组织Predatory Sparrow声称对此次攻击负责，称这是对该银行涉嫌支持伊朗军事和核计划的报复。

• 印度汽车共享公司Zoomcar遭遇数据泄露，导致约840万用户的个人信息被窃取。泄露数据集包括姓名、电话号码、车辆注册详情、地址和电子邮件地址，但财务信息和密码似乎未受影响。目前尚无威胁行为者声称对此负责。

漏洞与补丁

• Veeam备份与复制（VBR）软件修复了一个关键远程代码执行（RCE）漏洞（CVE-2025-23121）。该漏洞可由经过身份验证的域用户利用，允许攻击者在备份服务器上远程执行代码，成功利用可能导致未授权访问和备份环境操纵。目前尚未发现该漏洞在野利用。

• 披露了Sitecore体验平台的多个漏洞详情，包括利用硬编码凭证的预认证远程代码执行（RCE）链（CVE-2025-34509），以及通过路径遍历的认证后RCE利用（CVE-2025-34510）和通过无限制文件上传的利用（CVE-2025-34511）。这些漏洞允许未授权攻击者获取有效会话cookie、绕过权限并执行任意代码。成功利用可能导致对受影响实例的完全管理控制。

• Citrix发布公告，修复了NetScaler ADC和NetScaler Gateway中的两个漏洞。CVE-2025-5349是管理界面中的不当访问控制，而CVE-2025-5777是配置为网关时因输入验证不足导致的内存过度读取缺陷。虽然尚未确认主动利用，但严重性和公开暴露需要紧急修补，因为这两个漏洞都被视为关键漏洞并允许访问敏感数据。

威胁情报报告

• Check Point Research发现了一个针对Minecraft用户的多阶段恶意软件活动，通过GitHub上的恶意存储库（伪装成合法模组）进行传播，名为Stargazers Ghost Network。该恶意软件链由俄语威胁行为者开发，始于伪装成Minecraft模组的Java下载器，启动一系列恶意活动，下载信息窃取组件并窃取敏感数据，包括Minecraft账户令牌、Discord和Telegram凭证、浏览器信息、加密货币钱包数据和VPN服务详情。 Check Point威胁仿真和Harmony端点提供针对此威胁的保护。

• Check Point研究人员发现了一个针对美国公民的复杂钓鱼活动，攻击者冒充州机动车辆管理局（DMV）。该活动利用短信钓鱼分发虚假收费违规警报，将受害者引导至克隆的DMV网站以收集个人和财务数据。技术分析显示共享基础设施、重用前端资产的钓鱼工具包以及中文代码注释，将该操作归因于可能位于中国的威胁行为者。

• 研究人员发现了一个新的基于Python的GolangGhost RAT版本，名为PylangGhost，由朝鲜关联组织Famous Chollima部署。自2025年5月以来活跃，该Windows恶意软件在功能上镜像其Golang前身，通过虚假的工作面试或技能测试网站针对印度的加密和区块链专业人士，诱骗受害者执行恶意命令。