7月28日威胁情报报告

发布日期：2025年7月28日
报告链接： https://research.checkpoint.com/2025/28th-july-threat-intelligence-report/

获取7月28日当周最新网络研究成果，请下载我们的威胁情报公报。

主要攻击与数据泄露事件

• 美国能源部遭遇入侵：包括国家核安全管理局（NNSA）在内的美国能源部因Microsoft SharePoint漏洞（CVE-2025-53770）被攻破，与针对政府机构的广泛间谍活动相关，NNSA的入侵范围和数据泄露程度尚不明确
• 戴尔公司数据泄露：确认遭到网络攻击，威胁行为者从其客户解决方案中心产品演示平台窃取1.3 TB主要为合成、公开或戴尔系统数据，攻击由近期从Hunters International重组而来的World Leaks勒索组织实施
• 安联人寿数据泄露：基于云的CRM系统遭入侵导致140万客户、金融专业人士及部分员工的个人身份信息暴露，ShinyHunters组织通过社会工程学手段获取敏感数据
• 印度CoinDCX加密货币盗窃：内部运营账户遭攻击损失价值超过4400万美元的加密货币，仅影响公司内部USDC和USDT稳定币储备（追踪至持有2760万和1620万美元的钱包），客户钱包和用户数据未受影响
• 德国AMEOS医院网络攻击：多家医院地点受影响，是否泄露敏感医疗数据尚未确认，数据保护监管机构正调查泄露范围
• 里士满放射学协会数据泄露：约140万人个人与医疗数据（包括受保护健康信息和社会安全号码）遭未授权访问
• 法国就业局数据泄露：攻击者通过受损合作伙伴账户访问Kairos培训平台，导致34万求职者姓名、联系方式和ID信息暴露
• 法国海军集团数据窃取声称：黑客声称窃取潜艇和护卫舰敏感数据（含源代码），泄露30GB并声称持有1TB数据，公司否认系统遭入侵或收到勒索要求

漏洞与补丁

• Check Point研究更新：关键零日远程代码执行漏洞（CVE-2025-53770）在本地Microsoft SharePoint服务器中被广泛利用，涉及反序列化问题。7月24日发现全球300多个组织遭受超过4600次攻击尝试，初始攻击针对政府、软件和电信行业，现已扩展至金融服务、商业服务和消费品领域
• Check Point IPS防护：提供针对此威胁的保护（Microsoft SharePoint服务器不安全反序列化CVE-2025-49704、CVE-2025-49704）和身份验证绕过（CVE-2025-49706、CVE-2025-53771）
• 思科关键漏洞修补：身份服务引擎（ISE）中存在关键远程代码执行漏洞（CVE-2025-20281、CVE-2025-20282、CVE-2025-20337），允许未认证攻击者通过特制消息远程执行任意代码，需立即更新且无临时解决方案
• Sophos多漏洞修补：修复5个中到严重级别漏洞（CVE-2025-6704、CVE-2025-7624、CVE-2025-7382、CVE-2024-13974、CVE-2024-13973），包括Secure PDF eXchange任意文件写入、传统SMTP代理SQL注入、WebAdmin命令注入与SQL注入导致代码执行，以及Up2Date组件业务逻辑漏洞导致远程代码执行

威胁情报报告

• 品牌仿冒钓鱼攻击：2025年第二季度技术行业成为主要仿冒目标，微软占品牌仿冒尝试25%，谷歌11%，苹果9%，Spotify（6%）自2019年来首次重返前十。报告详细分析了复制平台登录页面的Spotify凭证收集活动，以及使用个性化数据增加真实性的700多个Booking主题虚假域名激增
• Lumma Stealer恶意软件复苏：2025年5月基础设施被取缔后以更隐蔽规避策略重新出现，操作者从广泛滥用Cloudflare转向替代托管提供商（特别是俄罗斯供应商），并通过虚假破解软件、含AI生成内容的GitHub仓库、部署虚假CAPTCHA的受损网站（ClickFix活动）和社交媒体分发多样化传播方式
• 新型伊朗间谍软件DCHsy：针对中东Android用户的定向攻击中使用的间谍软件，可收集位置、通话记录和麦克风录音等敏感数据