黑客组织入侵伊朗航运系统致60余艘船只通信瘫痪
发布时间 2025-08-261. 黑客组织入侵伊朗航运系统致60余艘船只通信瘫痪
8月23日,一个自称"Lip-Dochtjan"(又称"The Sewn Lips")的黑客组织向伊朗国际媒体宣称,已成功入侵伊朗国家油轮公司(NITC)与伊朗航运公司(IRISL)的核心系统,导致60余艘船只通信中断。此次攻击通过伊朗控股公司Fannava的卫星通信网络实施,该公司负责为伊朗海上运输提供卫星数据传输、存储及支付服务。据黑客组织披露,其通过渗透Fannava系统,直接侵入船只卫星终端的核心Linux操作系统,成功禁用负责伊朗海上通信的专用程序Falcon,造成39艘油轮与25艘货船无法与港口进行信息交互。此次攻击对伊朗航运体系造成双重冲击:首先,船只与陆地指挥中心的实时通信中断,导致航行调度、货物清关等关键环节陷入停滞;其次,卫星系统被控使得船只定位数据、货物清单等敏感信息面临泄露风险。尽管伊朗官方尚未对事件细节作出回应,但黑客组织选择通过媒体公开攻击事实,暗示其具备持续威胁能力。
https://www.marineinsight.com/shipping-news/major-cyberattack-disrupts-communication-on-dozens-of-iranian-ships/
2. Aspire卫生系统遭网络攻击,14万患者敏感数据泄露
8月24日,美国密歇根州农村卫生系统Aspire遭遇网络犯罪分子长期渗透,导致超过13.8万名患者的敏感数据被窃取。此次攻击持续数月未被发现,成为近年来影响范围较广的医疗领域数据泄露事件之一。根据Aspire向缅因州总检察长办公室提交的报告,攻击者获取的信息涵盖个人身份、财务信息及医疗健康数据三大类,具体包括姓名、出生日期、社会安全号码、金融账户详情、支付卡号及PIN码、医疗诊断记录、处方信息、保险数据、生物识别标识符、驾照及护照号码等16项高敏感内容。值得注意的是,部分患者数据组合完整度极高,理论上可构建出包含身份、财务与医疗信息的"全维度数字画像"。Aspire在事件通报中强调,目前尚无明确证据显示数据已被实际滥用,但为降低潜在影响,已启动补救措施:为所有受影响患者提供为期两年的免费身份保护及信用监控服务,包括实时信用报告监测、身份盗窃恢复支持及100万美元保险赔付保障。
https://cybernews.com/security/michigan-aspire-health-system-data-breach/
3. 基于Mirai的Gayfemboy僵尸网络卷土重来
8月24日,Gayfemboy僵尸网络自2024年2月首次现身以来,已演变为高度复杂化的物联网威胁,其攻击范围覆盖巴西、墨西哥、美国、德国等8个国家,目标涉及制造业、科技业、建筑业等关键行业。该恶意软件以Mirai变种为基础,通过集成N-day与0-day漏洞、Telnet弱凭据爆破及多阶段混淆技术,构建起具备自我持久化、沙盒规避和竞争性清除能力的攻击体系。研究显示,Gayfemboy的漏洞利用策略呈现显著进化。2024年11月,其通过Four-Faith工业路由器(CVE-2024-12856)、Neterbit路由器及Vimar智能家居设备的零日漏洞,每日活跃节点突破1.5万个;至2025年7月,攻击载荷已扩展至华硕、Vivo、Zyxel和Realtek等设备,并集成XMRig挖矿模块。Gayfemboy展现多层防御机制:通过修改UPX标头压缩二进制文件、引入50纳秒级延迟沙盒检测技术,以及基于公共DNS的随机域名C2通信,有效规避安全检测。该僵尸网络的攻击行为已造成多重威胁:除部署挖矿模块外,还针对研究人员发起DDoS反制,并尝试通过端口扫描横向扩散。
https://securityaffairs.com/181480/cyber-crime/iot-under-siege-the-return-of-the-mirai-based-gayfemboy-botnet.html
4. 美国Farmers Insurance因Salesforce攻击致百万客户数据泄露
8月25日,美国保险巨头Farmers Insurance披露一起影响110万客户的大规模数据泄露事件,其根源指向今年以来针对Salesforce平台的多起网络攻击。该公司通过官网公告证实,2025年5月29日,其第三方供应商数据库遭未经授权访问,攻击者通过社会工程手段侵入Salesforce系统,导致客户姓名、地址、出生日期、驾照号码及社会安全号码后四位等敏感信息被盗。Farmers于8月22日启动受害者通知程序,并向缅因州总检察长办公室提交报告,但未公开第三方供应商具体名称。Farmers在事件响应中强调,第三方供应商通过部署监控工具迅速检测到异常活动并阻断攻击路径,公司同步启动全面调查并通报执法部门。尽管采取了应急措施,但攻击者利用Salesforce平台集中存储企业客户数据的特性,仍造成百万级用户信息泄露。此次事件与今年全球多起Salesforce数据盗窃案存在关联。威胁组织UNC6040/UNC6240通过"语音钓鱼"(Vishing)实施社会工程攻击,诱骗企业员工将恶意OAuth应用与Salesforce实例关联,从而建立持久访问权限。
https://www.bleepingcomputer.com/news/security/farmers-insurance-data-breach-impacts-11m-people-after-salesforce-attack/
5. 法国欧尚零售集团遭遇大规模数据泄露,影响数十万客户
8月25日,法国跨国零售巨头欧尚(Auchan)近日披露一起影响数十万客户的数据泄露事件,其会员忠诚度计划相关的敏感信息遭未经授权访问。该公司在向受影响用户发送的通知中证实,攻击者通过网络攻击获取了客户全名、职称、客户状态、邮政地址、电子邮件地址、电话号码及会员卡号等个人信息,但强调银行账户数据、账户密码及PIN码未受波及。作为欧洲及非洲13个国家拥有超2100家分店、年收入逾350亿美元的零售集团,欧尚在事件响应中已向法国数据保护局(CNIL)正式通报,并提醒用户警惕潜在的网络钓鱼攻击。通知明确指出,欧尚绝不会通过任何渠道索取用户登录凭证、密码或会员卡PIN码,建议收到可疑消息的用户立即忽略并避免点击链接或回拨电话。
https://www.bleepingcomputer.com/news/security/auchan-retailer-data-breach-impacts-hundreds-of-thousands-of-customers/
6. Google Play已移除安装量达1900万的恶意Android应用
8月25日,Zscaler的ThreatLabs团队近日披露,Google Play商店存在77个恶意Android应用,总安装量突破1900万次,涉及Joker、Harly、Anatsa(Tea Bot)等多个恶意软件家族。其中,广告软件组件占比超66%,而Joker作为最活跃的银行木马,出现在近25%的分析样本中。此类恶意软件通过伪装成合法应用(如游戏、壁纸、工具类软件)传播,部分应用甚至采用"掩码软件"技术,在提供正常功能的同时,后台执行窃取短信、联系人、银行凭证及订阅高级服务等恶意操作。研究重点揭示了Anatsa银行木马的持续进化。该木马最新版本将目标银行及加密货币应用数量从650个扩展至831个,覆盖德国、韩国等新区域,并新增键盘记录模块。其传播策略也升级为直接安装有效载荷,替代此前的远程DEX动态加载。为规避审查,攻击者使用格式错误的APK档案突破静态分析,结合DES加密字符串解密及模拟检测技术,并定期更换软件包名称和哈希值。Anatsa还滥用Android辅助功能权限自动获取特权,通过钓鱼页面窃取数据。谷歌已删除所有涉事应用,并建议用户启用Play Protect服务、仅授权必要权限、选择可信开发者。
https://www.bleepingcomputer.com/news/security/malicious-android-apps-with-19m-installs-removed-from-google-play/
京公网安备11010802024551号