大韩航空前子公司遭Clop勒索团伙攻击
发布时间 2025-12-301. 大韩航空前子公司遭Clop勒索团伙攻击
12月29日,韩国国家航空公司大韩航空近日披露,其机上餐饮供应商及前子公司大韩航空餐饮免税公司(KC&D)遭遇黑客攻击,导致约3万名员工个人信息泄露。KC&D于2020年从大韩航空分拆为独立公司,此次事件中,其ERP系统中存储的员工姓名、银行账号等敏感信息被窃取。大韩航空首席执行官禹基洪在内部备忘录中强调,尽管事件发生在外部合作伙伴管理范围内,但涉及员工信息安全,公司高度重视。作为韩国最大航空公司,大韩航空拥有超2万名员工、160余架飞机,2024年运送乘客超2300万人次,营收超110亿美元。此次数据泄露规模巨大,当地媒体报道称攻击者窃取了约3万条数据记录,尽管大韩航空未明确具体数量,但已向有关部门报告并启动调查。目前尚未发现被盗数据被用于欺诈的证据,但公司提醒员工警惕冒充公司或金融机构的诈骗邮件及短信。值得注意的是,Clop勒索软件团伙已宣称对此次攻击负责,并在其暗网泄露网站发布被盗数据,允许通过Torrent下载。
https://www.bleepingcomputer.com/news/security/korean-air-data-breach-exposes-data-of-thousands-of-employees/
2. EmEditor遭供应链攻击:恶意软件窃取数据并部署扩展
12月29日,近日,广受欢迎的文本和代码编辑软件EmEditor遭遇供应链攻击,导致信息窃取恶意软件传播。EmEditor由雷德蒙德Emurasoft公司开发,是一款高性能Windows工具,专为编码、文本编辑及处理大型文件设计。12月19日18:39至22日12:50期间,通过EmEditor主页“立即下载”按钮下载安装程序的用户可能遭遇恶意版本。该按钮的URL被篡改,指向网站不同位置托管的恶意.msi文件。假安装程序与真品名称、体积相似,但签名证书属于其他公司。运行后,恶意程序执行PowerShell命令,从伪造域下载并执行文件。该恶意软件收集系统信息、桌面/文档/下载文件夹文件、VPN配置、浏览器数据及Zoho Mail、Discord、Slack等应用凭据。值得注意的是,若系统语言为前苏联国家或伊朗,恶意软件会终止运行。更严重的是,攻击者部署了名为“Google Drive Caching”的浏览器扩展,该扩展具备完整信息窃取功能,可持久化收集浏览器历史、书签、cookie,实施剪贴板劫持(替换加密货币地址)、键盘记录及窃取Facebook广告账户。
https://www.securityweek.com/infostealer-malware-delivered-in-emeditor-supply-chain-attack/
3. FortiGate防火墙2FA绕过漏洞持续遭利用
12月29日,网络安全厂商Fortinet近日向客户发出警告,威胁行为者仍在积极利用编号为CVE-2020-12812的严重漏洞攻击未修复的FortiGate防火墙设备。该漏洞最早于2020年7月被披露并修复,攻击者可通过修改用户名大小写绕过双因素身份验证(2FA)机制,在配置了LDAP远程身份验证且启用"用户本地"2FA的FortiGate SSL VPN设备上实现未授权访问。漏洞成因在于本地身份验证与远程LDAP身份验证之间的大小写匹配逻辑不一致。Fortinet当时通过发布FortiOS 6.4.1/6.2.4/6.0.10版本修复该问题,并建议无法立即升级的客户关闭用户名区分大小写功能。然而,最新监测显示,攻击者仍在针对配置了LDAP关联本地用户且启用2FA的特定系统实施攻击。若辅助LDAP组配置不当,攻击成功率将进一步提升,该组本应在主LDAP认证失败时启用,但若非必要应直接删除。
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-5-year-old-fortios-2fa-bypass-still-exploited-in-attacks/
4. LangChain Core现"LangGrinch"高危漏洞
12月27日,安全研究员Yarden Porat于2025年12月4日披露了LangChain生态核心Python包langchain-core中的严重漏洞CVE-2025-68664(代号"LangGrinch"),CVSS评分达9.3。漏洞根因在于函数未对含"lc"键的用户字典进行转义处理。攻击者可利用metadata、response等业务字段注入恶意对象结构,在后续load()/loads()反序列化时,在langchain_core、langchain_community等受信任命名空间内实例化Serializable子类。部分类在初始化时可能触发副作用,如环境变量泄露、Jinja2模板代码执行、危险类实例化等,甚至可通过提示注入将恶意对象隐藏于用户可控字段,实现隐蔽攻击。该漏洞尤为严重:其一,位于langchain-core本体而非外围工具,影响面广;其二,dumps()/dumpd()作为框架核心API,全球累计安装量数亿;其三,攻击可通过单条LLM输出间接触发,正常业务流程中,LLM生成的metadata若被序列化,即可触发漏洞,隐蔽性强且攻击门槛低。修复方案已随版本1.2.5、0.3.81发布。
https://securityaffairs.com/186185/hacking/langchain-core-vulnerability-allows-prompt-injection-and-data-exposure.html
5. 救世军遭Interlock勒索团伙攻击
12月29日,国际慈善组织救世军近日遭遇严重数据泄露事件,攻击者宣称窃取了93GB敏感信息并发布在Interlock勒索软件团伙的暗网博客上。此次泄露涉及160万笔美国居民捐款交易记录,总额达数千万美元,包含全名、电话、住址、捐款金额等个人身份信息(PII),数据结构显示攻击者获取了详尽的捐赠人名单。救世军作为全球最大慈善机构之一,成立于1865年,2024年收入近50亿美元,位列美国第六大慈善机构,在134个国家开展援助项目,并担任联合国附属机构。此次事件并非首例,今年5月,Chaos勒索软件集团曾攻击救世军并发布数据;而本次攻击者Interlock团伙自2024年末出现,过去12个月已侵害至少66个组织,采用双重勒索策略,通过入侵网站或社会工程学获取初步立足点,6月和8月攻击尤为活跃。网络安全团队分析指出,泄露数据源于微软SQL Server数据库备份,攻击者可能利用这些结构化数据实施身份盗窃、虚假账户创建或诈骗。尤其值得关注的是,攻击者可能冒充救世军或其他慈善机构进行诈骗,利用捐赠者的善心诱导转账,或通过财务分析精准定位高价值目标。
https://cybernews.com/security/salvation-army-data-breach-donors/
6. Lynx勒索团伙攻击马萨诸塞州会计事务所
12月29日,近日,与俄罗斯关联的Lynx勒索软件团伙宣称,从拥有75年历史的马萨诸塞州会计事务所CSA Tax & Advisory窃取了大量纳税申报数据及社会保障号码,并以此勒索赎金。CSA作为专营税务服务的机构,其客户数据若遭泄露,将面临严重网络钓鱼攻击和身份盗窃风险。Lynx团伙于12月26日在暗网泄露网站发布公告,声称已获取该公司及客户的敏感信息,并强调“鼓励对话解决问题而非混乱破坏”。为证明攻击真实性,该团伙公布了包含全名、社会安全号码、物理地址、配偶医疗保险协议、服务发票、个人所得税申报数据、国税局电子申报签名授权表格及公司内部信函的截图。若数据属实,攻击者可利用这些详细个人信息实施精准诈骗,例如冒充税务机构或银行,诱导受害者转账或泄露更多敏感信息。
https://cybernews.com/security/lynx-ransomware-csa-tax-breach/
京公网安备11010802024551号