29th June – Threat Intelligence Report

TOP ATTACKS AND BREACHES

食品零售巨头Ahold Delhaize披露了一起数据泄露事件，导致其美国业务系统中超过220万人的个人、财务、雇佣和健康信息被盗。泄露数据包括姓名、联系方式、身份证件、银行账号和医疗信息。虽然INC Ransom勒索软件组织发布了据称被盗数据的样本，但Ahold Delhaize尚未正式确认攻击者身份。

Check Point威胁仿真提供针对此威胁的保护（Ransomware.Wins.INC）

伊朗黑客组织Cyber Fattah对沙特运动会发动攻击，导致数千条包含访客、运动员、官员和IT人员敏感个人信息的记录在Telegram和暗网论坛上曝光。泄露数据包括个人身份信息、护照和身份证扫描件、银行对账单、IBAN号码和医疗表格，这些数据以SQL转储形式从活动官方注册数据库中提取。

密歇根州医疗保健提供商McLaren Health Care通报了一起勒索软件攻击事件，攻击者在2024年7月17日至8月3日期间未经授权访问患者数据库，影响74.3万人。泄露数据包括患者姓名以及可能来自McLaren Health Care和Karmanos癌症研究所的其他数据。

钢铁巨头Nucor确认遭受网络攻击，导致攻击者从其信息技术系统窃取数据并暂时限制系统访问，造成多个设施生产运营中断。泄露影响了支持公司运营的系统，但具体泄露数据量和类型尚未披露。

加密货币硬件钱包制造商Trezor遭遇数据泄露，导致其支持系统被滥用从官方邮箱发送钓鱼邮件，诱骗用户访问恶意网站以获取其加密货币钱包种子短语。自2021年底以来与支持平台交互的大约6.6万名用户通过未经授权访问第三方支持票务门户而暴露敏感信息。

夏威夷航空公司成为网络攻击受害者，导致部分IT系统访问中断。该事件未报告任何数据泄露或客户信息泄露，航班、运营和旅行计划未受影响。

格拉斯哥市议会遭受网络攻击，导致多项在线服务中断，并可能从第三方供应商管理的服务器中外泄客户数据。攻击可能暴露通过不可用网络表单提交的数据，影响议会数字运营并对居民个人信息构成风险。

VULNERABILITIES AND PATCHES

思科身份服务引擎（ISE）中存在两个关键未认证远程代码执行漏洞（CVE-2025-20281和CVE-2025-20282），允许远程攻击者通过利用暴露和内部API中的输入验证不足获得root访问权限，影响ISE和ISE-PIC版本3.3和3.4。成功利用可使攻击者无需认证执行任意操作系统命令或上传和执行文件作为root，导致目标系统完全沦陷。

Check Point IPS提供针对此威胁的保护（Cisco Multiple Products Remote Code Execution (CVE-2025-20281)）

RARLAB修复了WinRAR for Windows高达7.11版本中的高严重性目录遍历漏洞（CVE-2025-6218），该漏洞允许恶意归档文件将有效负载提取到敏感位置（如自动运行或启动文件夹），可能导致用户登录时代码执行。

IBM发布公告解决影响IBM WebSphere Application Server的关键漏洞（CVE-2025-36038）。该漏洞允许远程攻击者使用精心构造的序列化对象序列获得任意代码执行。

Mozilla发布了Firefox 140版本，修复了13个漏洞。其中两个漏洞（CVE-2025-6424和CVE-2025-6436）被视为严重级别，允许可利用崩溃和任意代码执行。

THREAT INTELLIGENCE REPORTS

Check Point Research发现了一个采用独特规避技术的恶意软件活动，试图在恶意软件分析期间通过提示注入操纵AI模型。该恶意软件包含指示AI模型忽略先前指令并不分析它的代码。技术分析显示，提示注入尝试目前对OpenAI的o3和gpt-4.1等大型语言模型无效，突显了恶意软件与AI交叉领域不断演变的战术。

Check Point Research揭露了伊朗APT组织Educated Manticore（与伊斯兰革命卫队有关联）的新鱼叉式网络钓鱼活动。该活动通过电子邮件和WhatsApp针对以色列记者和网络相关学者。攻击者诱骗受害者访问虚假登录页面，窃取Google、Yahoo和Outlook账户的凭据和双因素认证代码。他们使用多阶段基于React的工具包和超过130个域和子域支持大规模间谍活动。

Check Point研究人员报告称，网络犯罪分子迅速采用WormGPT和Xanthorox AI等先进AI技术自动化网络钓鱼和恶意软件攻击。模块化、自主的AI系统现在使用深度伪造和复杂数据分析协调高度个性化的攻击，导致重大财务损失。AI驱动技术导致2024年67.4%的网络钓鱼事件，加速了攻击速度并实现了高调的数据泄露。