GlobalLogic遭Oracle EBS零日漏洞攻击
发布时间 2025-11-131. GlobalLogic遭Oracle EBS零日漏洞攻击
11月11日,日立旗下数字工程服务商GlobalLogic近日披露,其Oracle E-Business Suite(EBS)平台因零日漏洞CVE-2025-61882遭遇数据泄露,影响10,471名现任及前任员工。该公司总部位于加州圣克拉拉,业务覆盖全球59个工程中心。据向缅因州总检察长提交的违规通知,攻击者最早于2025年7月10日活动,8月20日完成数据窃取,10月9日访问数据库实施盗窃,涉及信息包括姓名、地址、电话、紧急联系人、电子邮箱、出生日期、国籍、护照/身份证号、工资及银行账户等敏感内容。GlobalLogic强调,此次事件仅波及Oracle平台,未影响其他系统,并指出其是众多受Oracle漏洞影响的客户之一。尽管未明确归咎于特定威胁组织,但事件细节与Clop勒索软件团伙自8月以来的攻击模式高度吻合——该组织利用同一漏洞从哈佛大学、Envoy Air及《华盛顿邮报》等机构窃取数据,并通过Tor泄露网站发布受害者信息。目前,GlobalLogic未出现在Clop的泄露名单中,可能处于谈判或已支付赎金阶段。
https://www.bleepingcomputer.com/news/security/globallogic-warns-10-000-employees-of-data-theft-after-oracle-breach/
2. 汉堡微缩景观馆遭遇网络攻击,信用卡数据遭泄露
11月11日,汉堡微缩景观馆是德国北部热门旅游胜地及全球最大铁道模型展区,近日向游客通报一起严重数据安全事件。经调查,6月6日至10月29日期间,通过线上渠道使用信用卡购票的游客信息可能被未授权第三方获取,涉及持卡人姓名、卡号、验证码及有效期等敏感数据,影响范围预计达数千至数十万人。该场馆在邮件中明确,线上购票页面存在安全漏洞,导致信用卡数据不仅传输至支付服务商,还流向了另一台独立服务器,泄露时长接近五个月。作为年接待超150万人次的热门景点,尽管并非所有游客均通过线上购票,但此次事件仍可能引发大规模财产损失或身份冒用风险。场馆方面表示,事件发现后已立即隔离受影响服务器,但具体泄露规模及攻击者身份仍待进一步调查。场馆在通知中强调,无法完全排除数据被滥用的可能性,建议受影响游客密切关注信用卡交易记录,及时联系银行冻结账户或更换卡片。
https://cybernews.com/security/miniatur-wunderland-museum-cyberattack/
3. SIAD Group遭Everest Group勒索攻击
11月11日,俄罗斯关联的勒索软件团伙Everest Group近日在暗网泄露站点宣称,已从意大利最大工业气体生产商之一SIAD Group窃取159GB数据,并启动8天倒计时威胁公开泄露。SIAD Group成立于1927年,总部位于贝加莫,2024年营业额超11亿欧元,业务涵盖食品、医疗、汽车、冶金等行业的工业气体生产与分销,同时涉及液化石油气、天然气供应、气体处理设备研发及医疗保健服务。该团伙要求SIAD Group在倒计时结束前联系支付赎金,否则将公开被盗数据。目前,暗网站点尚未发布数据样本,具体受影响系统及数据内容仍不明确。研究人员指出,若西亚德集团生产运营因攻击中断,可能影响欧盟制造业、医疗和能源行业的耗材供应,引发连锁反应。Everest Group自2021年7月活跃以来,已发动多起破坏性攻击。此次针对SIAD Group的攻击,是该团伙持续针对关键基础设施和大型企业的最新案例。
https://cybernews.com/security/siad-group-ransomware-attack/
4. DanaBot恶意软件新版本669采用Tor域名重建C2基础设施
11月12日,在执法部门5月发起“终局行动”破坏DanaBot恶意软件基础设施六个月后,该银行木马以新版本669强势回归,并重建了命令与控制(C2)基础设施。据Zscaler ThreatLabz安全研究人员披露,DanaBot新变种利用Tor域名(.onion)和“反向连接”节点构建隐蔽通信网络,同时识别出威胁行为者用于接收被盗资金的BTC、ETH、LTC、TRX等多个加密货币地址。DanaBot最初由Proofpoint研究人员披露,是一种基于Delphi的银行木马,通过电子邮件和恶意广告传播,采用恶意软件即服务(MaaS)模式运营,以订阅费形式出租给网络犯罪分子。在多年演变中,该恶意软件已发展为模块化信息窃取器和加载器,专门窃取网络浏览器存储的凭据和加密货币钱包数据,并曾多次参与大规模攻击活动,自2021年起持续对互联网用户构成威胁。
https://www.bleepingcomputer.com/news/security/danabot-malware-is-back-to-infecting-windows-after-6-month-break/
5. 黑客利用Citrix和Cisco ISE的漏洞发起零日攻击
11月12日,亚马逊威胁情报团队通过分析"MadPot"蜜罐数据发现,高级威胁行为者在Citrix Bleed 2(CVE-2025-5777)和Cisco ISE(CVE-2025-20337)漏洞公开披露前已将其作为零日漏洞使用。这两个严重漏洞分别存在于NetScaler ADC/Gateway的越界内存读取机制和Cisco ISE的反序列化逻辑中,前者于6月下旬发布修复程序,但漏洞利用程序7月初即出现并被CISA标记为已利用;后者7月17日发布后仅五天即被证实遭积极利用。攻击者利用CVE-2025-20337获取Cisco ISE预认证管理员权限,部署名为"IdentityAuditAction"的自定义Web Shell。该恶意组件伪装成合法ISE组件,注册为HTTP监听器拦截所有请求,通过Java反射注入Tomcat线程,并采用DES加密和非标准base64编码增强隐蔽性,需特定HTTP标头才能访问且几乎无取证痕迹。
https://www.bleepingcomputer.com/news/security/hackers-exploited-citrix-cisco-ise-flaws-in-zero-day-attacks/
6. 英国历史影像档案馆用户数据泄露
11月12日,英国历史影像档案馆Francis Frith因一个被遗弃的Elasticsearch数据库暴露超过30万条用户记录,该数据库无需认证即可访问,由Cybernews研究人员发现。成立于1860年的Francis Frith公司坐落于索尔兹伯里,以收藏1860至1970年间英国城镇乡村历史照片闻名,主要销售冲印照片、书籍及个性化影像制品。研究人员通过泄露信息中提及的英国遗产网站francisfrith.com锁定数据源,确认属于负责该公司产品制造的Heritage Resource Management Ltd客户。此次泄露的数据包含用户全名、邮箱地址及部分实体住址,涉及近4.4万条客户咨询记录,时间跨度从2006年至近二十年。尽管未涉及金融账户或密码,但泄露数据仍构成重大隐私威胁,尤其对在私信中透露家庭住址的用户影响更甚。网络安全研究人员警告,攻击者可能利用这些信息冒充Francis Frith品牌实施精准网络钓鱼。
https://cybernews.com/security/francis-frith-data-leak-2025/
京公网安备11010802024551号