Elasticsearch服务器配置错误致瑞典数亿条敏感数据泄露
发布时间 2025-07-251. Elasticsearch服务器配置错误致瑞典数亿条敏感数据泄露
7月23日,一个无需身份验证的公开数据库暴露了瑞典公民及企业超过1亿条敏感记录,时间跨度覆盖2019至2024年,数据总量达200GB以上。此次事件由Cybernews研究人员发现,暴露的数据包含个人法定姓名(含历史曾用名)、瑞典身份证号、出生日期、婚姻状况、国内外地址轨迹、移民信息、债务记录、破产历史、财产所有权指标及连续五年的所得税数据(2019-2023),甚至包含企业商业关系、损益表提交记录等行为日志,形成对瑞典社会成员长达五年的财务与行为全景画像。该数据库的异常暴露源于Elasticsearch集群的权限控制失效。尽管数据结构与字段命名显示其来自北欧商业智能分析公司Risika(内部标签含"dwh*"数据仓库标识),但进一步调查证实该服务器并非由Risika直接运营,而是其授权的第三方客户端。研究人员推测,数据可能通过合法商业许可提供给下游合作伙伴,却因运维疏忽导致服务器向公共互联网完全开放访问。
https://cybernews.com/security/risika-swedish-data-exposed/
2. 法国海军集团遭黑客勒索,军事机密泄露威胁国家安全
7月23日,法国国防工业巨头海军集团(Naval Group)近日陷入重大网络安全危机。据Cybernews报道,一个身份不明的威胁行为者在数据泄露论坛上宣称入侵了该公司,并威胁泄露涉及军舰作战管理系统(CMS)的敏感数据,而非索要赎金。此次事件因涉及法国核心国防技术,引发对国家安全的深度担忧。攻击者声称获取的数据包括:CMS源代码、技术文档、开发人员虚拟机访问权限及保密通信记录。为证明真实性,其附上了13GB数据样本,内含合同文件、疑似CMS内部信息及2003年潜艇监控系统视频。Cybernews研究团队初步验证部分数据后认为,泄露内容具有较高可信度。值得注意的是,攻击者未采用常规的数据售卖模式,而是试图通过威胁公开信息向海军集团施压,这一反常行为暗示其动机可能超越经济利益。此次事件对法国国防安全构成双重风险:技术层面,潜艇与护卫舰CMS源代码的泄露可能削弱法军战术优势;战略层面,敏感文档的扩散或被敌对势力用于逆向工程或网络攻击。
https://cybernews.com/security/naval-group-france-defense-data-breach/
3. WordPress网站现隐秘后门:利用mu-plugins目录实现持久控制
7月24日,网络安全研究人员近日在WordPress网站的“mu-plugins”(必须使用插件)目录中发现一个高度隐蔽的后门程序,该后门可赋予攻击者持久化访问权限并远程执行任意操作。mu-plugins作为WordPress默认启用的特殊插件,其文件位于“wp-content/mu-plugins”目录,且不会显示在后台插件管理页面,除非手动删除文件否则无法禁用,这一特性使其成为攻击者隐藏恶意代码的理想目标。此次发现的恶意程序通过“wp-index.php”脚本作为初始加载器,从使用ROT13算法混淆的URL中检索远程有效负载,并将其存储在WordPress数据库的“_hdra_core”字段(wp_options表)中。恶意代码执行后,会向主题目录注入名为“pricing-table-3.php”的隐藏文件管理器,允许攻击者远程浏览、上传或删除文件;同时创建“officialwp”管理员账户并激活恶意插件“wp-bot-protect.php”,形成双重控制链。更危险的是,该后门具备密码重置功能,可将常用管理员账户及自身创建的“officialwp”用户密码修改为攻击者预设的默认值,彻底锁定其他管理员权限。
https://thehackernews.com/2025/07/hackers-deploy-stealth-backdoor-in.html
4. 黑客将信息窃取恶意软件潜入抢先体验版Steam游戏
7月24日,知名威胁组织EncryptHub(别名Larva-208)通过入侵Steam平台游戏《Chemia》,向全球玩家分发信息窃取类恶意软件。据威胁情报公司Prodaft披露,攻击始于7月22日。黑客组织将恶意二进制文件植入由Aether Forge Studios开发的生存制作类游戏《Chemia》中。该游戏目前以"抢先体验"形式登陆Steam,尚未公布正式发行日期。攻击者通过在游戏文件中添加名为CVKRUTNP.exe的HijackLoader恶意软件,在受害设备建立持久化机制后,进一步下载具有信息窃取功能的Vidar程序(v9d9d.exe)。值得注意的是,该恶意软件通过某Telegram频道获取命令与控制(C2)服务器地址,形成隐蔽的通信链路。此次攻击呈现多重技术特征:三小时后,攻击者通过DLL文件cclib.dll植入第二款恶意软件Fickle Stealer。该文件利用PowerShell脚本worker.ps1从域名soft-gets[.]com获取主载荷,专门针对浏览器存储数据实施窃取,包括账户凭证、自动填充信息、Cookie及加密货币钱包数据。
https://www.bleepingcomputer.com/news/security/hacker-sneaks-infostealer-malware-into-early-access-steam-game/
5. 新型AI驱动Linux恶意软件Koske通过熊猫图片实施无文件攻击
7月24日,网络安全公司AquaSec近期披露一款名为Koske的新型Linux恶意软件,其创新攻击手法与疑似人工智能(AI)驱动特性引发行业高度关注。该威胁通过看似无害的熊猫主题JPEG图片部署恶意代码,直接在系统内存中执行操作,展现出复杂的技术架构与高度自动化能力。Koske被AquaSec研究人员定义为"复杂的Linux威胁",其核心特征在于利用多态文件技术实现隐蔽攻击。攻击者首先通过暴露在公网的JupyterLab实例配置错误获取初始访问权限,随后从OVH images等合法图床下载两张熊猫JPEG图片。这些图片虽显示为正常图像,却通过特殊文件结构设计同时包含有效JPEG文件头与恶意Shell脚本、C代码:文件前部为正常图片数据,后部附加可执行代码,使同一文件既能被图像查看器解析为图片,又能被脚本解释器识别为可执行程序。攻击过程中,两张熊猫图片分别释放不同载荷并同步启动:载荷一实现系统级隐藏;载荷二建立持久化机制。恶意软件会评估主机CPU与GPU性能,从GitHub下载针对硬件优化的加密货币挖矿程序,支持包括Monero、Ravencoin在内的18种加密货币。
https://www.bleepingcomputer.com/news/security/new-koske-linux-malware-hides-in-cute-panda-images/
6. 俄罗斯黑客潜伏数周,入侵荷兰司法系统
7月24日,荷兰司法系统近期遭遇严重网络攻击,俄罗斯背景黑客被列为首要嫌疑对象。荷兰公共检察署(OM)系统遭入侵事件存在强烈俄罗斯关联迹象,攻击者已在司法部网络中潜伏数周未被发现。此次事件再次暴露国家关键基础设施面临的系统性安全风险。风险预警始于6月17日,检察署远程办公平台使用的第三方软件Citrix NetScaler被曝存在严重漏洞。该漏洞在通用漏洞评分系统(CVSS)中获得9.3分高危评级,尽管检察署声称已按厂商建议完成系统更新,但有证据表明漏洞在修补前已被利用。为阻断攻击蔓延,检察署被迫主动切断内部计算机互联网连接,但此时攻击者可能已接触包括在办警方调查案卷、未审结刑事案件卷宗及员工个人信息在内的高度敏感数据,具体泄露范围尚待确认。技术分析显示,攻击者利用第三方软件漏洞建立初始访问通道后,通过长期潜伏实施数据窃取。这种"低慢小"攻击模式与俄罗斯国家支持黑客团体的战术特征高度吻合,其选择在系统修补前实施攻击,表明对目标网络维护周期的精准掌握。
https://cybernews.com/security/russian-hack-dutch-justice-system-data-breach/
京公网安备11010802024551号