SK Telecom 2700万用户数据泄露,恶意软件潜伏近三年
发布时间 2025-05-211. SK Telecom 2700万用户数据泄露,恶意软件潜伏近三年
5月20日,SK Telecom是韩国最大的移动网络运营商,占据约一半市场份额。该公司近日披露,2025年4月19日在其网络上检测到恶意软件,并隔离疑似被黑客入侵的设备。此次事件最早可追溯至2022年,最终导致2700万用户的USIM数据泄露。攻击者窃取了包括IMSI、USIM认证密钥、网络使用数据及存储在SIM卡中的短信和联系人等数据,增加了SIM卡交换攻击的风险。为此,SK Telecom决定为所有用户发放SIM卡替换件,并加强安全措施以防止未经授权的号码移植。2025年5月8日,政府委员会宣布恶意软件感染危及25种数据类型。当时SK Telecom宣布停止接受新用户以应对后果。SK Telecom最新消息称将很快通知2695万受影响的客户其敏感数据泄露。该公司提到在23台受感染服务器中发现25种不同恶意软件类型,入侵程度超出最初预期。与此同时,公私联合调查小组对SK Telecom的30000台Linux服务器检查后称,最初Web Shell感染发生在2022年6月15日,意味着恶意软件在近三年时间里未被发现,攻击者在23台服务器上植入多个有效载荷。调查声称15台受感染服务器含个人客户信息,包括291831个IMEI号码,但SK Telecom否认。调查小组还指出,SK Telecom于2024年12月3日才开始记录受影响服务器活动,因此此前可能发生的数据泄露无法被检测到。
https://www.bleepingcomputer.com/news/security/sk-telecom-says-malware-breach-lasted-3-years-impacted-27-million-numbers/
2. Hazy Hawk团伙利用DNS配置错误劫持受信任域名
5月20日,被追踪为“Hazy Hawk”的威胁行为者正利用被遗忘的DNS CNAME记录实施网络攻击。该威胁行为者劫持指向废弃云服务的CNAME记录,接管政府、大学和财富500强公司等机构的受信任子域,用于分发诈骗、虚假应用程序和恶意广告。Infoblox研究人员指出,Hazy Hawk首先扫描CNAME记录指向废弃云端点的域,并通过被动DNS数据验证确定这些域,然后注册与废弃CNAME中名称相同的新云资源,使原始域的子域解析到威胁行为者的新云托管站点。借助这一技术,Hazy Hawk劫持了多个知名域名,如美国疾病控制与预防中心的cdc.gov、跨国企业集团honeywell.com等。控制子域名后,威胁行为者生成数百个恶意URL,因父域名信任度高,这些URL在搜索引擎中看似合法。受害者点击URL后,会被重定向到多层域名和TDS基础设施,这些设施会根据设备类型、IP地址等信息分析受害者身份。Infoblox报告称,这些网站被用于技术支持诈骗、虚假防病毒警报、虚假流媒体/色情网站和网络钓鱼页面。此外,受骗用户即使离开诈骗网站,仍会因允许浏览器推送通知而收到持续警报,为Hazy Hawk带来可观收入。
https://www.bleepingcomputer.com/news/security/hazy-hawk-gang-exploits-dns-misconfigs-to-hijack-trusted-domains/
3. RVTools遭遇供应链攻击,传播Bumblebee恶意软件
5月20日,近日,RVTools VMware管理工具遭遇供应链攻击,该工具最初由Robware开发,现归戴尔所有,是VMware管理员常用工具。攻击事件引发广泛关注,戴尔于2025年5月20日发布声明,称恶意RVTools安装程序并非从其官方网站分发,而是来自虚假域名,同时其管理的Robware.net和RVTools.com网站因遭受DDoS攻击而下线。此前,ZeroDay Labs研究员Aidan Leon在Reddit上发帖称,从RVTools网站下载的文件被植入Bumblebee恶意软件加载器,文件哈希值与实际下载的不匹配,下载版本明显更大且包含恶意文件。经进一步调查,这一攻击行为被证实。Bumblebee是一种通过SEO中毒、恶意广告和网络钓鱼攻击推广的恶意软件加载器,安装后会在受感染设备上下载并执行其他恶意有效负载,如Cobalt Strike信标、信息窃取程序和勒索软件等,且与Conti勒索软件行动有关。网络安全公司Arctic Wolf也报告发现被木马感染的RVTools安装程序通过恶意域名抢注传播,该域名与合法域名相似,仅顶级域名不同。此外,还有针对RVTools品牌的SEO中毒和恶意广告活动,旨在诱骗用户下载恶意安装程序。
https://www.bleepingcomputer.com/news/security/rvtools-hit-in-supply-chain-attack-to-deliver-bumblebee-malware/
4. 俄亥俄州凯特琳健康中心遭网络攻击导致系统中断
5月21日,俄亥俄州凯特琳健康中心旗下医院与医疗设施近日遭受网络攻击,导致全系统技术中断。凯特琳健康中心自称是一个基于信仰的基督复临安息日会系统,主要在代顿地区运营多个医疗中心和诊所,每年处理大量急诊室就诊。该非营利性医院网络发言人表示,目前正在经历因未经授权访问而引发的网络安全事件,事件始于周二早上,限制了工作人员访问部分患者护理系统的能力。凯特琳医疗中心已采取措施遏制和缓解此类活动,并积极调查和监测情况,同时取消并重新安排了周二的住院和门诊择期手术。此次攻击还导致该医院网络的呼叫中心瘫痪。不过,所有急诊室和诊所仍保持开放,继续接受患者诊治。发言人未就医院网络是否遭受勒索软件攻击的问题作出回应,但据CNN报道,医院网络IT工作人员发现一张据称来自Interlock勒索软件团伙的勒索信。该团伙上个月曾关闭透析治疗公司DaVita的网络,此前还攻击过德克萨斯理工大学健康科学中心及其埃尔帕索分校。
https://therecord.media/kettering-health-system-ohio-cyberattack
5. Cellcom确认网络攻击是造成长时间中断的原因
5月20日,威斯康星州无线服务提供商Cellcom已确认,2025年5月14日晚开始的大面积服务中断是由网络攻击导致的。此次事件影响了威斯康星州和密歇根州北部地区的客户,导致他们的语音和短信服务中断,无法拨打电话或发送短信。Cellcom首席执行官Brighid Riordan在近日证实了网络攻击的事实,并表示公司已制定应对此类情况的规程和计划。事件发生后,Cellcom严格遵循计划,包括聘请外部网络安全专家、通知联邦调查局和威斯康星州官员,并全力以赴确保系统安全恢复上线。Cellcom强调,此次攻击发生在公司网络的一个区域,与存储用户敏感信息的区域不同,且没有证据表明用户个人信息受到影响。最初,Cellcom声称中断是由技术问题引起的,并表示部分数据服务仍在运行。然而,由于平台出现问题,用户对服务中断和无法移植号码感到沮丧。5月19日,Cellcom开始恢复部分服务,包括短信以及拨打和接听其他Cellcom用户的电话。尽管无法保证何时全面恢复服务,但公司正努力在本周末前实现这一目标。
https://www.bleepingcomputer.com/news/security/mobile-carrier-cellcom-confirms-cyberattack-behind-extended-outages/
6. SideWinder APT组织精准攻击南亚多国政府机构
5月20日,斯里兰卡、孟加拉国与巴基斯坦的高级别政府机构近期成为APT组织SideWinder新一轮攻击的重点。攻击者运用鱼叉式钓鱼邮件结合地理围栏技术,确保恶意载荷仅针对特定国家目标。攻击链通过诱饵文档激活,最终部署StealerBot恶意软件,手法与SideWinder此前活动特征相符。此次攻击瞄准南亚多国关键部门,如孟加拉国电信监管委员会、国防部、财政部,巴基斯坦本土技术发展局,以及斯里兰卡外债管理局、国防部、中央银行等。攻击者利用微软Office中的历史漏洞CVE-2017-0199与CVE-2017-11882作为初始攻击媒介,部署具备持久化访问能力的恶意程序。恶意文档触发CVE-2017-0199漏洞后,通过DLL侧载技术释放后续载荷,而地理围栏技术则确保仅预设国家范围内的受害者会收到实际恶意RTF文件,该文件利用公式编辑器漏洞CVE-2017-11882触发内存破坏,执行基于shellcode的加载器以运行StealerBot。StealerBot作为模块化植入程序,能够窃取屏幕截图、键盘记录、密码、文件等敏感数据。
https://thehackernews.com/2025/05/south-asian-ministries-hit-by.html
京公网安备11010802024551号