新斯科舍电力公司确认遭勒索攻击,28万用户数据泄露
发布时间 2025-05-271. 新斯科舍电力公司确认遭勒索攻击,28万用户数据泄露
5月26日,加拿大新斯科舍电力公司于5月23日披露,其遭遇的网络安全事件被确认为“高度复杂的勒索软件攻击”。此次事件始于3月19日,攻击者通过未授权系统访问,最终窃取了约28万名客户(占该省55万用户总数的51%)的敏感数据。被泄露信息涵盖多个方面:个人身份信息,如姓名、出生日期等;财务数据,包括预授权支付账户的银行账号等;政府证件信息,像驾照号码、社会保险号码;以及能源使用细节,如用电量数据、服务请求记录等。尽管攻击者侵入商业网络系统,但电力公司核心基础设施,如发电、输电等未受影响。该公司分别在4月28日与母公司联合发布首次安全通告,5月1日确认数据遭窃,5月14日起陆续向受影响客户发送通知信。攻击者已将被盗数据发布于暗网,不过截至5月27日,尚未有勒索组织宣称对此负责。新斯科舍电力公司总裁彼得·格雷格表示,公司严格遵循法规和执法部门建议,不支付赎金。目前该公司正与第三方网络安全专家合作,评估数据泄露范围,并为受影响客户提供为期两年的TransUnion信用监控服务。能源监管机构也已启动事件审查程序。
https://www.securityweek.com/nova-scotia-power-confirms-ransomware-attack-280k-notified-of-data-breach/
2. 欧洲Elit Avia遭Qilin勒索攻击,机组信息泄露
5月26日,近日,欧洲私人飞机运营商Elit Avia被曝出现在勒索软件团伙Qilin的暗网泄露站点。攻击者声称窃取了Elit Avia的数据,并公开了机组人员的护照信息等文件。Elit Avia总部位于欧洲,成立于2006年,主营飞机管理、包机服务及高端商务机销售。Qilin在暗网发布的帖子包含多张机组人员护照截图及飞行任务文件,不过并未涉及客户信息。网络安全研究团队分析指出,从现有泄露内容来看,尚未显示出存在重大数据漏洞,但目前仍无法确认攻击者实际窃取的数据规模。研究团队警告称,机组人员护照信息等敏感数据外泄,会使员工面临钓鱼攻击、身份盗用等诸多风险。目前,Elit Avia尚未对此事件作出回应,而Qilin团伙则通过公开受害者信息的方式,向企业施压以支付赎金。该团伙自2022年活跃至今,在过去12个月里累计攻击了至少312家机构。
https://cybernews.com/security/private-charter-ransomware-attack-data-leaked/
3. Stormous团伙泄露多家法国政府机构的电子邮件和密码
5月26日,知名勒索软件团伙Stormous在暗网论坛发布大量据称属于法国政府机构及组织的电子邮件与密码数据,并声称此次泄露涉及“法国政府重要部门全面数据”。然而,网络安全研究团队调查发现,尽管数据集包含部分真实信息,但其质量存疑。泄露数据中的密码采用已被认为脆弱的MD5哈希算法加密,研究人员推测这可能是早期安全标准不完善时期的历史数据。若数据属实,攻击者可能利用这些信息实施精准钓鱼攻击,如冒充政府机构索要敏感信息,甚至通过破解哈希值获取系统访问权限,特别是当相关机构存在密码复用或弱口令问题时,风险将进一步加剧。被曝光的机构名单涵盖法国开发署、巴黎大区卫生局、家庭津贴基金等多个部门及机构,不同机构泄露的邮箱数量差异显著。联系法国国家网络安全局(ANSSI)置评,但目前尚未获得回复。
https://cybernews.com/security/french-government-email-data-leak/
4. GhostSpy:高级Android RAT窃取银行信息并绕过安全措施
5月27日,网络安全公司CYFIRMA研究人员发现一款名为GhostSpy的高度先进安卓远程访问木马,该恶意软件展现了移动端间谍软件的进化程度。GhostSpy攻击始于具有欺骗性的初始安装包,滥用安卓无障碍服务和UI自动化功能,暗中加载次级有效载荷,并通过模拟用户点击操作自动授予自身所有所需权限,绕过人工交互环节。一旦安装成功,GhostSpy就转变为功能完备的监控工具,能记录键盘输入、截取屏幕活动、获取摄像头和麦克风数据流、实时监控GPS定位信息以及执行远程指令,包括设备擦除。为维持长期驻留,GhostSpy采用多种规避手段,如滥用设备管理API、阻止系统卸载尝试,并通过全屏覆盖层限制用户操作,在用户尝试卸载时显示虚假警告。此外,GhostSpy还能绕过银行和安全应用的截图保护机制,窃取敏感信息。该恶意软件连接至活跃的C2服务器,已确认的节点包括多个网址和IP地址,尽管部分服务器已下线,但研究人员发现多个备用端口和域名,表明其仍在积极开发和广泛使用。开源情报数据将GhostSpy与巴西黑客组织相关联,相关Telegram频道和YouTube频道进一步佐证了这一关联。
https://securityonline.info/ghostspy-advanced-android-rat-steals-banking-info-bypasses-security/
5. Ghostscript漏洞导致加密PDF文件泄露明文密码
5月25日,广泛应用的PDF与PostScript处理器Artifex Ghostscript曝出CVE-2025-48708漏洞,该漏洞或致明文密码意外嵌入加密PDF,威胁用户数据安全,10.05.1之前版本均受影响。漏洞起因于base/gslibctx.c中gs_lib_ctx_stash_sanitized_arg函数参数清理不彻底,Ghostscript在生成密码保护PDF时未清除敏感值,如UserPassword和OwnerPassword,致使完整命令行(含密码)被嵌入PDF文件起始处。安全研究员Vasileios Flengas在Windows 10上测试时发现此问题,指出含明文密码的完整命令行被嵌入生成PDF的开头。重现该漏洞极为简便,从官方GitHub安装Ghostscript,运行含密码命令生成PDF,再用文本查看器打开即可见未加密的明文密码。Ghostscript已在10.05.1版本发布补丁,通过在嵌入元数据前清理命令行输入来修复漏洞。企业和用户应尽快更新至最新版本,以保障数据安全,规避因使用含漏洞旧版本而引发的数据泄露风险。
https://securityonline.info/ghostscript-flaw-leaks-plaintext-passwords-in-encrypted-pdfs/
6. TikTok现AI视频新威胁:诱骗执行命令传播窃密软件
5月24日,趋势科技最新研究揭示,TikTok平台正面临一种新型AI驱动的社交工程攻击威胁。黑客利用TikTok的广泛传播特性,通过AI生成看似无害的视频教程,诱骗用户执行恶意PowerShell命令,从而传播Vidar和StealC等复杂的信息窃取恶意软件。攻击始于@gitallowed、@zane.houghton和@sysglow.wow等TikTok账号分享的匿名教程视频,这些视频指导观众激活软件,但实际会引导用户执行特定PowerShell命令,如下载并运行远程脚本。该脚本会启动一个隐蔽且持久的恶意软件投放链,包括在APPDATA和LOCALAPPDATA创建隐藏目录、添加到Windows Defender排除列表、下载二级有效载荷(通常是Vidar或StealC)以及获取最终持久化脚本,使恶意软件能在系统重启后继续运行,并删除日志和临时文件夹以掩盖证据。趋势科技强调,脚本采用重试逻辑确保有效载荷成功下载,并以隐藏的提升权限进程启动恶意软件可执行文件。此外,恶意软件激活后还会利用新型规避技术与命令控制(C&C)服务器通信,如Vidar滥用Steam和Telegram等合法服务作为死投解析器隐藏真实服务器地址。
https://securityonline.info/ai-generated-malware-tiktok-videos-push-infostealers-with-powershell-commands/
京公网安备11010802024551号