29日9月 – 威胁情报报告

主要攻击与数据泄露

• Stellantis：旗下拥有雪铁龙、菲亚特、吉普等品牌的汽车制造巨头遭遇数据泄露，攻击者通过与其Salesforce环境关联的第三方平台窃取北美客户联系信息。ShinyHunters威胁组织宣称对此负责，声称窃取了超过1800万条Salesforce记录。

• 沃尔沃集团北美公司：确认因第三方HR软件提供商Miljödata遭勒索攻击导致员工个人信息泄露，包含姓名和社会安全号码。DataCarry勒索组织宣称负责并公开了被盗数据。

• 俄亥俄州联合县：遭勒索软件攻击导致敏感个人数据被盗，包括姓名、社会安全号码、驾照与护照信息、金融账户详情、医疗记录及指纹数据。攻击者在2025年5月6日至18日访问县域网络，影响45,487人。

• 博伊德游戏公司：拉斯维加斯赌场巨头遭网络攻击，内部IT系统中员工信息及少量其他个人数据被窃。事件未影响业务运营或客户系统，但员工敏感数据遭泄露。

• 乐天信用卡：韩国第五大发卡机构发生数据泄露，约300万客户个人信息遭曝光，含身份证号、联系方式及卡号验证码等金融数据。泄露涉及约2700个文件，仅56%被加密，原因为支付服务器未修复漏洞。

• Circle K香港：便利店连锁遭网络攻击，近400家门店网络瘫痪，电子支付、邮件及会员系统中断。客户无法使用多数服务，个人数据是否泄露尚不明确。

• Kido幼儿园：英国连锁幼儿园遭Radiant组织攻击，威胁泄露儿童与员工敏感记录。攻击者声称窃取约8000名儿童及员工数据，含姓名、照片、地址及保护记录。警方与数据监管机构正在调查。

漏洞与补丁

• CVE-2025-26399：影响SolarWinds Web Help Desk至12.8.7版本的关键未认证远程代码执行漏洞，由AjaxProxy组件不安全反序列化引发。此为继CVE-2024-28986/28988后第三次修复，此前漏洞已被利用绕过补丁执行命令。

• Cisco零日漏洞：修复ASA和FTD软件中两个活跃利用的零日漏洞。CVE-2025-20333允许认证远程代码执行，CVE-2025-20362支持未认证访问受限端点。相关关键漏洞CVE-2025-20363同样支持未认证RCE，广泛攻击正针对暴露设备。

• CVE-2025-10184：一加OxygenOS新漏洞允许任意应用绕过READ_SMS权限读取短信数据，源于Telephony提供商权限绕过及ServiceNumberProvider更新方法中的盲SQL注入，可静默窃取短信并绕过短信多因素认证。

威胁情报报告

• Nimbus Manticore行动：伊朗威胁组织针对欧洲国防与电信行业，通过鱼叉钓鱼和虚假HR门户部署DLL侧加载链及混淆恶意软件，工具使用有效签名和高级规避技术，具备国家级攻击能力。

• 世界杯钓鱼活动：发现4300个仿冒FIFA及主办城市的域名，集中于GoDaddy等注册商，采用同步DNS设置模板进行假票务、直播和商品诈骗。

• BRICKSTORM恶意软件：持续攻击美国法律、科技及SaaS行业，使用Go语言代理后门、凭证窃取工具及VMware入侵手段，目标为间谍活动与零日漏洞开发。

• LockBit 5.0变种：针对Windows、Linux和ESXi平台的勒索软件采用混淆、DLL反射及灵活命令行选项，所有版本均避开俄罗斯系统、随机化文件扩展名并清除事件日志。ESXi变种专门加密VMware环境，体现跨平台演化趋势。