勒索软件组织Everest入侵安德玛窃取海量数据
发布时间 2025-11-191. 勒索软件组织Everest入侵安德玛窃取海量数据
11月17日,勒索软件组织Everest在其暗网泄露网站宣称已入侵美国运动服装巨头Under Armour(安德玛),窃取343GB内部数据,涵盖员工信息及多国数百万用户个人数据。为证明真实性,该组织公布了样本数据,包含客户购物历史、电子邮件、电话号码、购买时间戳、产品SKU、名称、类别、价格、库存状态、评分、本地化描述及营销活动日志等敏感信息,甚至涉及用户语言偏好、同意状态及账户关联标识符。这些数据深度融合商业情报与个人行为,若经安德玛证实,将构成严重数据泄露事件。Everest为安德玛设定七日倒计时期限,要求通过Tox即时通讯工具联系,警告“时间耗尽前”需按步骤操作,否则可能泄露完整数据。目前,安德玛尚未官方确认或否认此指控,但安全专家建议用户采取预防措施:密切监控账户与银行活动,更改所有关联密码,在安德玛相关账户启用双因素认证,并警惕伪装成数据泄露警报的钓鱼邮件。
https://hackread.com/everest-ransomware-under-armour-users-data/
2. RondoDox僵尸网络利用XWiki漏洞展开大规模攻击
11月17日,美国网络安全和信息安全局(CISA)于10月30日将XWiki平台中的CVE-2025-24893远程代码执行(RCE)漏洞标记为"正在被积极利用"。漏洞情报公司VulnCheck最新报告显示,该漏洞已被多个威胁行为者利用,包括RondoDox僵尸网络运营商和加密货币矿工。RondoDox作为大规模僵尸网络恶意软件,最早由Fortinet于2025年7月记录,趋势科技在10月初警告其呈指数级增长,最新变种利用56个已知漏洞攻击至少30台设备,部分漏洞源自Pwn2Own黑客大赛披露的漏洞。攻击路径显示,RondoDox通过精心构造的HTTP GET请求,利用XWiki SolrSearch端点注入base64编码的Groovy代码,触发服务器下载并执行远程shell有效载荷。第一阶段下载器脚本会检索并执行主要有效载荷。研究人员观测到,11月7日出现加密货币挖矿程序部署,10月31日和11月11日则发生建立bash反向shell的尝试。此外,攻击者还通过Nuclei进行广泛扫描,尝试执行查看系统用户账户信息的命令及基于OAST的探测。
https://www.bleepingcomputer.com/news/security/rondodox-botnet-malware-now-hacks-servers-using-xwiki-flaw/
3. Eurofiber France遭黑客入侵致票务系统数据泄露
11月17日,荷兰电信集团Eurofiber Group NV旗下法国子公司Eurofiber France SAS近日披露一起数据泄露事件。该公司专注于为企业提供数字基础设施,运营覆盖荷兰、比利时、法国和德国的76,000公里光纤网络。事件发生于上周晚些时候,黑客利用漏洞入侵其票务管理系统及云部门(ATE portal),并波及区域子品牌Eurafibre、FullSave、Netiwan和Avelia。公司强调,存储在其他系统中的银行详细信息等“关键数据”未受影响,但未具体说明被盗数据类型,仅表示将通知受影响客户。威胁行为者“ByteToBreach”在数据泄露论坛声称对此负责,宣称窃取了10,000家企业及政府实体的数据,包括屏幕截图、VPN配置文件、凭据、源代码、证书、存档、电子邮件账户文件和SQL备份文件。该组织要求支付赎金,否则将公开泄露数据。Eurofiber France在发现漏洞后数小时内,已对票务平台和ATE门户实施加强安全措施并修复漏洞,同时采取额外措施防止进一步泄露。公司已向法国数据保护机构CNIL、网络安全机构ANSSI提交勒索报告,并通报事件详情。
https://www.bleepingcomputer.com/news/security/eurofiber-france-warns-of-breach-after-hacker-tries-to-sell-customer-data/
4. 伊朗APT42组织发起“SpearSpecter”间谍行动
11月14日,以色列国家数字机构(INDA)近日披露,伊朗国家支持的APT42组织(别名APT35、Charming Kitten)自2025年9月初起,针对伊斯兰革命卫队(IRGC)关注的高级国防和政府官员及其家庭成员,发起代号为“SpearSpecter”的持续性间谍行动。该行动以高度个性化的社交工程为核心手段,攻击者通过伪装成目标熟识的联系人,以邀请参加知名会议或安排重要会晤为由建立信任,甚至延伸至目标家庭成员以扩大攻击面。研究显示,攻击链呈现精密设计:攻击者通过WhatsApp发送伪装成会议所需文件的恶意链接,利用“search-ms:”协议处理程序定向至WebDAV托管的Windows快捷方式文件。该LNK文件会连接Cloudflare Workers子域名获取批处理脚本,最终加载具备模块化功能的PowerShell后门TAMECAT。该后门采用HTTPS、Discord和Telegram三重通信信道,支持系统侦察、文件窃取、浏览器数据盗取、Outlook邮箱内容收集及15秒间隔持续截屏,所有数据通过HTTPS或FTP外传。其隐身技术包括加密遥测数据、混淆源代码、利用合法系统工具隐藏行为,并主要在内存中运行以减少磁盘痕迹。
https://thehackernews.com/2025/11/iranian-hackers-launch-spearspecter-spy.html
5. 全球电池巨头LG能源遭Akira勒索软件攻击
11月19日,近日,全球最大电池制造商之一韩国LG能源解决方案公司证实遭受勒索软件攻击。据公司发言人透露,此次攻击目标为海外某处特定设施,总部及其他大洲设施未受影响。受影响设施在采取恢复措施后已恢复正常运转,公司正开展安全调查作为预防措施。该事件与Akira勒索软件团伙直接相关。该团伙上周被美国联邦调查局(FBI)列为重点关注对象。FBI于11月13日发布最新通知,指出Akira团伙通过勒索软件已勒索超2.44亿美元赎金,其攻击不仅窃取金钱,更破坏医院、学校及企业运行系统。FBI警告,该组织正瞄准制造业及其他多个行业。据悉,Akira团伙已将LG能源列入其泄露网站,声称窃取了包含公司文件、员工信息数据库在内的1.7TB数据。作为韩国跨国公司LG的子公司,LG能源预计2024年将通过向汽车制造商供应电池获得175亿美元收入,其行业地位使其成为网络犯罪目标。
https://therecord.media/lg-energy-solution-ransomware-incident-battery-maker
6. 法国Pajemploi数据泄露事件波及120万人
11月18日,法国社会保障服务机构Pajemploi近日遭遇重大数据泄露事件,可能影响约120万名使用其服务的私营雇主员工及专业护理人员。据该机构公告,11月14日发现的网络攻击导致用户全名、出生地、邮政地址、社会安全号码、银行机构名称、Pajemploi账号及认证编号等敏感信息被盗,但银行账号(IBAN)、电子邮箱、电话号码及账户密码未被获取。此次事件主要涉及通过URSSAF(法国社会保障缴款机构)使用Pajemploi服务的家长及家庭托儿服务提供者。Pajemploi强调,尽管数据泄露,但其核心运营未受影响,申报表处理及工资支付等服务仍正常运作。事件发生后,机构立即启动应急措施阻止攻击,并已向法国数据保护局(CNIL)和国家信息系统安全局(ANSSI)报告,同时承诺单独通知每位受影响人员。URSSAF亦提醒公众警惕诈骗风险,因泄露信息可能被用于钓鱼邮件、短信或电话诈骗。截至目前尚无勒索软件组织宣称对此次攻击负责。
https://www.bleepingcomputer.com/news/security/french-agency-pajemploi-reports-data-breach-affecting-12m-people/
京公网安备11010802024551号