9月22日威胁情报报告:全球网络攻击与漏洞分析

本报告详细分析了2025年9月22日当周的全球网络安全威胁,涵盖欧洲机场系统遭袭、奢侈品牌数据泄露、WordPress插件漏洞等高危事件,同时披露了Turla与Gamaredon组织协作、MuddyWater APT攻击手法演变等高级威胁情报。

22nd September – Threat Intelligence Report

September 22, 2025

TOP ATTACKS AND BREACHES

  • 多家欧洲主要机场(包括希思罗、柏林、布鲁塞尔、都柏林和科克)遭遇网络攻击,导致使用柯林斯航空航天公司MUSE软件的电子值机和行李托运系统中断。事件造成航班延误、取消和改道,受影响机场建议乘客确认旅行计划。

  • 奢侈品牌Gucci、Balenciaga和Alexander McQueen遭遇数据泄露,导致全球数百万客户个人信息被盗。被盗数据包括姓名、邮箱地址、电话号码、实际地址和客户消费总额,但不含信用卡等财务信息。网络犯罪组织Scattered Lapsus$ Hunters声称对此次攻击负责。

  • 谷歌确认其执法请求系统平台遭黑客创建虚假账户,但未发现官方数据请求或用户数据通过该账户被访问。事件引发对未经授权访问和执法机构冒充的担忧。Scattered Lapsus$ Hunters组织声称负责。

  • 巴西等多国酒店遭遇网络攻击,前台系统通过钓鱼传播的恶意软件导致客户支付卡数据被盗。事件涉及VenomRAT实现凭证窃取、远程访问和数据外泄,影响多地区旅客财务信息。该活动归因于RevengeHotels组织,其利用了LLM生成的代码。

    Check Point Harmony Endpoint提供针对此威胁的防护(RAT.Win.Venom; Loader.Win.Venom)

  • 风投公司Insight Partners遭勒索软件攻击,导致数据外泄和服务器加密。事件影响12,657人,涉及银行和税务数据、现任及前任员工个人信息、有限合伙人数据以及基金管理和投资组合信息。

  • 美国珠宝公司Tiffany’s遭遇数据泄露,客户个人信息和礼品卡详情被盗。攻击者未经授权访问公司系统,窃取姓名、邮政和邮箱地址、电话号码、销售数据、内部客户参考号以及礼品卡号码和关联PIN码。

  • SonicWall披露安全事件,攻击者通过暴力破解访问云存储的防火墙备份偏好文件。公司称5%注册防火墙的加密凭证备份文件被访问,相关信息可能便于利用受影响设备。

VULNERABILITIES AND PATCHES

  • Fortra披露其GoAnywhere托管文件传输(MFT)软件License Servlet中存在最高严重性漏洞CVE-2025-10035。该漏洞源于不可信数据的反序列化,若攻击者能伪造有效许可证响应签名,可实现远程低复杂度命令注入。成功攻击针对外部暴露的管理控制台,可能导致未授权系统访问和命令执行。
  • WordPress插件Case Theme User存在严重身份验证绕过漏洞,允许未认证攻击者在已知目标邮箱地址时,通过Facebook社交登录实现漏洞利用,获取任意用户(包括管理员)账户权限。已观测到大规模野外利用,阻断尝试超20,900次,该漏洞可导致WordPress站点完全沦陷。
  • 谷歌发布安全补丁,修复影响Chrome的4个漏洞,包括V8引擎中的高危类型混淆漏洞CVE-2025-10585。谷歌确认野外已存在利用代码,表明该漏洞可能已被作为零日漏洞利用。

THREAT INTELLIGENCE REPORTS

  • Check Point Research分析发现复杂的ClickFix活动,通过虚假招聘信息在8天入侵中部署Rust加载器、PureHVNC RAT和Sliver C2框架。调查揭示了多个PureHVNC变种、PureRAT构建器和PureCrypter特性,以及恶意软件开发者PureCode的详细信息。

    Check Point Threat Emulation和Harmony Endpoint提供针对此威胁的防护

  • 研究人员发现俄罗斯威胁组织Turla和Gamaredon在乌克兰协作,Gamaredon工具部署并重新启动Turla的后门程序。在共享机器上,Gamaredon部署了广泛工具,而Turla仅部署了Kazuar v3。

    Check Point Threat Emulation和Harmony Endpoint提供针对此威胁的防护(APT.Win.Turla; APT.Wins.Turla.tays; APT.Wins.Turla.ta.; InfoStealer.Wins.Gamaredon; InfoStealer.Win.Gamaredon; APT.Win.Gamaredon)*

  • 研究人员分析伊朗MuddyWater APT从机会性攻击转向更具针对性的鱼叉式网络钓鱼。其部署自定义恶意软件(BugSleep、StealthCache、Phoenix),使用开源工具,并在AWS、Cloudflare、DigitalOcean、OVH、M247、SEDO及防弹主机上活动。

    Check Point Threat Emulation和Harmony Endpoint提供针对此威胁的防护(APT.Wins.MuddyWater; APT.Win.MuddyWater; APT.Wins.MuddyWater.ta.)*

  • 研究人员详细介绍了近期TA415针对美国政府和中国经济议题学术目标的攻击活动。该组织冒充关键机构和人物,使用混淆的Python加载器建立VS Code远程隧道,实现远程访问和数据窃取。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次