北美冰制品供应商遭麒麟勒索软件入侵,敏感数据疑泄露
发布时间 2025-07-311. 北美冰制品供应商遭麒麟勒索软件入侵,敏感数据疑泄露
7月29日,北美主要冰制品供应商北极冰川(Arctic Glacier)近日被曝成为麒麟(Qilin)勒索软件团伙的最新攻击目标,其敏感企业数据、员工信息及私人资料遭窃并在暗网展示。作为美国和加拿大最大的包装冰及碎冰供应商之一,北极冰川服务对象涵盖7-Eleven等便利店巨头,运营着超过100个分销中心,为7.5万家零售、商业及工业客户提供服务,去年营收接近3亿美元,员工规模超千人。麒麟团伙在其暗网博客宣称入侵成功,并公布了多张据称来自北极冰川的泄露数据截图,内容包括护照、驾照副本、员工薪酬记录及法律财务文件。此次数据泄露可能引发多重风险:攻击者或利用个人信息实施身份盗窃、欺诈性账户注册,或通过伪装成公司客户/雇主发起针对性钓鱼攻击。更严重的是,泄露的法律文件可能被用于分析企业利益关系,为后续更具破坏性的攻击提供情报支持。
https://cybernews.com/security/arctic-glacier-data-breach-claims/
2. PyPI遭遇高隐蔽性网络钓鱼攻击
7月29日,Python包索引(PyPI)维护者近日发出紧急警告,称其用户正遭遇一场精心策划的网络钓鱼攻击。攻击者通过伪造主题为“[PyPI] 电子邮件验证”的邮件,诱导用户点击链接至虚假网站,以窃取登录凭证。此次攻击的独特之处在于,其技术手法具有高度隐蔽性,用户在虚假网站输入信息后,请求会被路由至合法PyPI服务器,使受害者误以为操作正常,实则凭证已遭截获。据PyPI管理员Mike Fiedler披露,攻击邮件发件地址为noreply@pypj[.]org(注意域名并非官方pypi[.]org),邮件内容要求用户验证邮箱地址,并引导至仿冒PyPI界面的钓鱼网站。尽管攻击未直接突破PyPI系统安全,但利用了用户对官方平台的信任,属于典型的社会工程攻击。PyPI团队强调,此类行为可能针对管理热门软件包的开发者账户,一旦得逞,攻击者或可发布恶意包,扩大危害范围。
https://thehackernews.com/2025/07/pypi-warns-of-ongoing-phishing-campaign.html
3. 非洲组织遭受大规模Microsoft SharePoint漏洞攻击
7月30日,非洲国家正面临网络攻击的空前激增,机会主义威胁行为者通过大规模扫描互联网,利用未及时修补的n-day安全漏洞,攻击其快速扩张但安全防护薄弱的数字基础设施。近期,南非国家财政部、汽车制造业、大学及地方政府等至少六家机构遭微软SharePoint软件中的ToolShell漏洞(CVE-2025-53770/53771)攻击,事件波及毛里求斯、约旦等地,凸显非洲成为全球网络犯罪的新目标。攻击者利用的漏洞最早在2025年5月Pwn2Own竞赛中被发现,微软虽于7月初发布补丁,但三天后零日变体即被用于实战。安全公司Bitdefender指出,非洲的脆弱性源于其数字化进程与网络安全能力的不匹配:为降低成本,大量组织采用本地部署软件(如存在漏洞的SharePoint),但因IT人力有限,难以有效管理安全更新。ESET研究员Anton Cherepanov补充称,攻击模式呈现两阶段特征,漏洞概念验证(PoC)代码发布后24小时内,攻击者快速建立滩头阵地,数周后再展开手动渗透。
https://www.darkreading.com/cyber-risk/african-orgs-mass-microsoft-sharepoint-exploits
4. 俄罗斯医疗与民生领域遭大规模网络攻击
7月30日,本周俄罗斯医疗及民生领域遭遇多起严重网络攻击事件,导致全国数百家药店停业、医疗机构服务瘫痪,引发社会广泛关注。俄罗斯两大连锁药店Stolichki(约1000家门店)和Neofarm(超110家门店)相继证实,周二起因黑客攻击导致支付系统、药品预订及会员服务全面中断。尽管Stolichki周三恢复半数门店运营,但两家企业员工均被遣散,在线服务仍处瘫痪状态。值得注意的是,这两家药店同属一家控股公司,其实际控制权因2022年原股东、前国家杜马议员叶夫根尼·尼凡蒂耶夫受西方制裁转让股权后,仍存间接关联争议。此次攻击波及范围超出医药领域。莫斯科家庭医生诊所网络同日报告网络故障,患者门户与预约系统瘫痪,仅能现场就诊。尽管俄罗斯互联网监管机构Roskomnadzor否认事件涉及分布式拒绝服务(DDoS)攻击,但未公布具体手法及来源,暗网论坛则出现谴责攻击"违背道德"的声音,暗示地缘政治动机。
https://therecord.media/cyberattack-shuts-down-russian-pharmacies
5. 美国零售巨头Dollar Tree遭勒索软件攻击
7月30日,美国折扣零售巨头Dollar Tree近期被知名勒索软件团伙INC Ransom列为攻击目标,该团伙在暗网博客宣称已获取其超过1.2TB的敏感数据,并威胁公开。然而,Dollar Tree迅速回应称,相关指控仅涉及2024年收购的99 Cents Only连锁店遗留系统,强调公司并未收购该品牌的企业实体、网络或数据,仅保留部分房地产租赁权,任何关于其直接卷入数据泄露的指控均不属实。此次事件源于INC Ransom将Dollar Tree列入暗网泄密网站,并发布少量文档截图作为证据。尽管目前尚未公开完整数据样本,但该团伙的“多重勒索”模式通常以泄露数据为要挟,迫使受害者支付赎金。值得注意的是,若攻击属实,这并非Dollar Tree首次遭遇数据安全问题,2023年其曾因第三方供应商系统遭入侵,导致员工及客户未加密信息泄露。尽管Dollar Tree强调此次事件与自身核心系统无关,但收购后的数据管理漏洞仍引发关注。
https://cybernews.com/security/dollar-tree-data-breach-claims/
6. 黑客积极利用WordPress Alone主题中的关键RCE漏洞
7月30日,WordPress高级主题Alone近日被曝存在未经身份验证的任意文件上传漏洞(CVE-2025-5394),威胁行为者通过该漏洞实现远程代码执行及站点接管。据安全厂商Wordfence统计,其已拦截超过12万次针对该漏洞的攻击尝试,攻击者利用主题核心函数"alone_import_pack_install_plugin()"的缺陷,通过AJAX接口接收远程URL上传恶意ZIP包,进而植入Webshell、PHP后门或创建隐藏管理员账户,甚至部署完整文件管理器以完全控制数据库。此次攻击呈现显著零日漏洞特征:Wordfence发现攻击活动早于官方补丁发布至少四天,表明攻击者通过监控版本更新日志提前锁定目标。漏洞影响Alone 7.8.3及以上版本,该主题主要服务于慈善机构、非政府组织等非营利实体,其用户群体特殊性加剧了数据泄露风险。攻击迹象包括新增管理员账户、可疑ZIP/插件文件及对"admin-ajax.php?action=alone_import_pack_install_plugin"路径的异常请求。Wordfence特别指出,来自四个源IP的攻击流量占比较高,建议立即封锁。
https://www.bleepingcomputer.com/news/security/hackers-actively-exploit-critical-rce-in-wordpress-alone-theme/
京公网安备11010802024551号