11th August – Threat Intelligence Report

August 11, 2025

原文链接

获取8月11日当周最新网络研究成果，请下载我们的威胁情报公报。

主要攻击与泄露事件

• 法国航空遭遇数据泄露，攻击者通过受感染的外部客服平台未授权访问客户数据。泄露信息包括姓名、邮箱地址、电话号码、常旅客计划详情和近期交易记录，但未涉及客户财务或敏感个人数据。
• 谷歌发生数据泄露，约255万条商业联系记录从其Salesforce CRM中暴露，包括潜在Google Ads客户的商业名称、电话号码和销售笔记。攻击与ShinyHunters有关，可能涉及Scattered Spider，他们勒索谷歌并威胁泄露窃取数据。
• 法国互联网服务提供商Bouygues Telecom确认遭受网络攻击，640万客户账户的个人数据被未授权访问。泄露影响部分移动和光纤到户客户，暴露有限个人数据。
• 丹麦珠宝制造商和零售商Pandora遭遇数据泄露，客户姓名、出生日期和邮箱地址从其Salesforce数据库中被窃。泄露影响客户个人信息，但密码、ID或财务数据未暴露。
• 美国联邦司法系统确认遭受网络攻击，电子案件管理系统被未授权访问，暴露机密法庭文件，包括敏感密封申请和潜在机密线人身份。
• **美国公共广播服务（PBS）**遭遇数据泄露，3997名员工和关联方的企业联系信息暴露，包括姓名、企业邮箱、职位、部门、地点、爱好和主管姓名。
• **巴基斯坦石油有限公司（PPL）**遭遇网络攻击，IT系统瘫痪，服务器被加密、备份被阻断、财务操作暂停两天。关键数据（包括运营记录、合同和员工信息）被窃取并挟持。Blue Locker声称对攻击负责。
• 西澳大利亚大学遭遇数据泄露，数千名员工和学生的密码信息被未授权访问。事件导致所有用户被锁定并强制重置密码，无证据表明其他数据或系统受损。

漏洞与补丁

• Check Point Research识别出Cursor IDE中一个持久性远程代码执行漏洞，跟踪为CVE-2025-54136。漏洞源于对模型上下文协议（MCP）配置更改的验证不足。用户初始批准良性MCP插件后，具有写权限的攻击者可修改MCP命令，在每次项目打开时在受害者机器上执行任意或恶意代码，无需进一步提示或交互。
• 思科披露了Dell ControlVault3固件及其相关Windows API中的五个关键漏洞，统称为“ReVault”。这些缺陷（CVE-2025-24311、CVE-2025-25050、CVE-2025-25215、CVE-2025-24922、CVE-2025-24919）使攻击者能够实现任意代码执行、持久固件植入和权限提升，可能绕过Windows身份验证并在操作系统重装后持续存在。
• 趋势科技发布公告，解决趋势科技Apex One管理控制台中的两个关键严重性远程代码执行漏洞（CVE-2025-54987和CVE-2025-54948，CVSS 9.4）。这些漏洞已被野外积极利用。

威胁情报报告

• 研究人员分析了Raspberry Robin（自2021年活跃的复杂恶意软件下载器）的最新更新，揭示了高级混淆技术和网络加密改进，如从AES-CTR过渡到ChaCha-20，并引入每请求随机计数器和随机数。恶意软件现利用混淆堆栈指针、复杂初始化循环阻碍暴力解密、修改的RC4密钥结构，并采用新的本地权限提升漏洞（CVE-2024-38196）。

  Check Point威胁模拟和Harmony端点提供针对此威胁的保护（Trojan.Wins.RaspberryRobin.ta., Trojan.Wins.RaspberryRobin.）

• 研究人员发现一种新型AV-killer恶意软件，滥用合法ThrottleStop.sys驱动程序（CVE-2025-7771），自2024年10月起在野外使用。此恶意软件与易受攻击的驱动程序一同交付，利用两个暴露的IOCTL接口通过MmMapIoSpace执行任意物理内存读写，实现特权内核级调用来定位和终止多种防病毒和EDR进程。

• 乌克兰计算机应急响应小组（CERT-UA）分析了UAC-0099发起的一波网络间谍攻击，利用法庭传票网络钓鱼诱饵。攻击始于通过UKR.NET发送的网络钓鱼邮件，交付包含混淆VBScript的HTA文件，这些文件投放文件、创建计划任务并部署MATCHBOIL C#加载器——随后是MATCHWOK后门和DRAGSTARE窃取程序。