美国军工承包商数据泄露事件曝光员工数据
发布时间 2025-12-091. 美国军工承包商数据泄露事件曝光员工数据
12月7日,美国军事承包商MAG Aerospace于8月下旬遭遇数据泄露事件,该公司随后启动应急响应并通知数千名可能受影响的个人。作为年收入超14亿美元、员工超1400人的军工企业,MAG Aerospace为美国军方提供情报、监视和侦察服务,其客户涵盖美国陆军、联邦紧急事务管理局(FEMA)、国防情报局(DIA)等核心政府机构。事件起因于公司网络内出现可疑活动警报。为控制影响,MAG Aerospace迅速采取多项措施:隔离受影响资产、禁用相关账户及域名、阻止外部访问、重置密码并联系执法部门。后续调查显示,攻击者虽访问了“有限的电子存储个人信息”,但未发现数据被不当处理的证据。然而,公司未明确披露具体泄露的数据类型。为保护受影响人员,MAG Aerospace提供为期24个月的免费欺诈检测和身份盗窃保护服务。鉴于该公司所处行业的敏感性,泄露的个人数据对威胁行为者和国家级攻击者具有极高价值。
https://cybernews.com/security/mag-aerospace-military-contractor-data-breach/
2. 勒索软件团伙滥用Shanya打包平台逃避检测并禁用EDR
12月8日,多个勒索软件组织正利用名为Shanya的打包即服务平台部署恶意载荷,以绕过端点检测与响应(EDR)系统。该平台于2024年末兴起,通过加密、压缩及自定义包装器技术混淆恶意代码,使有效载荷在内存中解密执行而不触及磁盘,从而规避多数安全工具检测。Sophos Security监测显示,突尼斯、阿联酋等多国已发现含Shanya打包痕迹的恶意样本,Medusa、Qilin、Crytox及Akira等勒索软件组织均涉其中,其中Akira使用频率最高。Shanya的运作机制包括:将用户提交的恶意载荷嵌入Windows系统文件shell32.dll的内存映射副本,通过覆盖其头部及.text部分实现隐蔽加载;采用非标准模块内存加载与独特加密算法,确保每个客户获得“相对唯一”的存根,增强检测难度。该平台还通过调用RtlDeleteFunctionTable函数触发异常,干扰用户模式调试器分析,中断自动化检测流程。勒索软件在攻击数据窃取与加密阶段前,常通过DLL侧加载技术禁用EDR。除勒索软件外,ClickFix活动亦利用Shanya打包CastleRAT恶意软件。
https://www.bleepingcomputer.com/news/security/ransomware-gangs-turn-to-shanya-exe-packer-to-hide-edr-killers/
3. VS Code Marketplace现恶意扩展窃取开发者敏感信息
12月8日,微软Visual Studio Code Marketplace近日曝出两个恶意扩展程序Bitcoin Black与Codo AI,由发布者"BigBlack"以颜色主题和AI助手形式伪装上架,目前已对开发者计算机安全构成严重威胁。据安全机构Koi Security披露,Bitcoin Black通过"*"激活事件在每次VSCode操作时自动执行,早期版本利用PowerShell下载加密有效载荷并触发可见窗口,新版则改用隐藏窗口的批处理脚本调用curl下载恶意DLL,实现更隐蔽的攻击。Codo AI虽声称提供ChatGPT/DeepSeek代码辅助功能,但实际包含恶意模块。这两个扩展均采用DLL劫持技术,将合法Lightshot截图工具与恶意DLL捆绑,以runtime.exe名义部署信息窃取程序。恶意软件会在"%APPDATA%\Local\Evelyn"目录存储窃取数据,包括进程详情、剪贴板内容、WiFi凭据、系统信息、屏幕截图、已安装程序列表及加密货币钱包数据(如Phantom、Metamask、Exodus)。为劫持用户会话,该恶意软件还会无头启动Chrome/Edge浏览器窃取cookie,并针对性搜索密码凭证。
https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-on-microsofts-registry-drop-infostealers/
4. Petco数据泄露事件波及多州,敏感信息遭曝光
12月8日,宠物用品巨头Petco证实上周发生重大客户数据泄露事件,涉及姓名、社会保障号码、驾照号码、银行账号、信用卡/借记卡信息及出生日期等敏感内容。根据德克萨斯州、加州、马萨诸塞州和蒙大拿州总检察长办公室披露的法律通知,此次事件影响范围覆盖多州:马萨诸塞州仅1名居民受影响,蒙大拿州3名,而加州因法律要求显示受害者人数可能远超500人,具体数字Petco尚未公开。Petco在声明中透露,泄露源于“某款软件应用配置问题导致部分文件在线可访问”,公司已“立即修复漏洞并实施额外安全措施”。尽管如此,该公司未回应关于具体受影响客户总数、技术溯源能力、问题发现时间及涉事应用等关键问题。作为年服务超2400万客户的行业巨头,Petco仅表示已向受影响个人“提供更多信息”。Petco正为加州、马萨诸塞州和蒙大拿州受害者提供免费信用与身份盗窃监控服务。
https://techcrunch.com/2025/12/08/petcos-security-lapse-affected-customers-ssns-drivers-licenses-and-more/
5. Tri-Century Eye Care遭勒索攻击致20万人数据泄露
12月8日,近日,美国宾夕法尼亚州巴克斯县提供眼科护理服务的Tri-Century Eye Care披露重大数据泄露事件,影响约20万人。据美国卫生与公众服务部(HHS)医疗保健数据泄露追踪器显示,该事件源于9月3日发现的安全漏洞,公司于10月下旬通过官网发布通知,承认患者及员工的个人与受保护健康信息可能遭泄露。调查显示,尽管电子病历系统未被直接入侵,但攻击者获取了包含姓名、出生日期、社会保障号码、医疗诊断信息、健康保险详情、支付记录及税务财务信息等敏感文件。Pear勒索软件组织宣称对此次攻击负责,声称窃取超3TB数据,涵盖人力资源、财务、业务文件、电子邮件及数据库等,并公开部分文件,暗示因Tri-Century拒绝支付赎金而采取曝光行动。Tri-Century Eye Care在通知中强调已采取补救措施,但未详细说明具体技术修复细节或后续防护方案。
https://www.securityweek.com/tri-century-eye-care-data-breach-impacts-200000-individuals/
6. 美国多所大学遭网络钓鱼攻击
12月8日,安全公司Infoblox最新报告披露,2025年4月至11月期间,至少18所美国大学遭受有组织网络钓鱼攻击,攻击者利用开源工具Evilginx成功绕过多因素身份验证(MFA),窃取学生及教职工账户信息。该工具通过中间人攻击(AiTM)策略,在受害者点击钓鱼链接后介入其与大学真实登录页面之间,模拟登录流程并窃取用户名、密码及完成MFA后的会话cookie,从而完全控制账户。攻击链接多采用短时TinyURL伪装成学校单点登录(SSO)门户,增强欺骗性。为掩盖踪迹,攻击者频繁更换攻击域名,并利用Cloudflare等服务隐藏服务器位置。Infoblox通过分析DNS模式,追踪到该阴谋中使用的近70个不同域名,首次攻击发生于2025年4月12日,目标为圣地亚哥大学。据攻击量统计,受影响最严重的前五所学校为加州大学圣克鲁兹分校、加州大学圣巴巴拉分校、圣地亚哥大学、弗吉尼亚联邦大学和密歇根大学。
https://hackread.com/us-universities-domains-phishing-attacks/
京公网安备11010802024551号