Resecurity蜜罐陷阱揭露网络攻击真相
发布时间 2026-01-041. Resecurity蜜罐陷阱揭露网络攻击真相
1月3日,近日,网络安全公司Resecurity与“分散的漏洞猎人”(SLH)威胁行为者之间的攻防事件引发关注。SLH宣称已成功入侵Resecurity系统并窃取员工数据、内部通信、威胁情报报告及客户信息,包括Mattermost协作实例截图显示与Pastebin的恶意内容通信,并声称此次攻击是对Resecurity社会工程手段的报复,涉及ShinyHunters、Lapsus$等组织。然而,ShinyHunters发言人随后否认参与此次活动。Resecurity对此回应称,被攻击的系统实为故意部署的蜜罐,用于监控威胁行为者活动。该公司表示,2025年11月21日首次检测到威胁行为者探测其公开暴露系统,随后在隔离环境中部署包含虚假数据的蜜罐账户,包括由Stripe API生成的28,000条合成消费者记录和190,000条合成支付交易记录。攻击者在12月12日至24日期间通过大量住宅代理IP生成超188,000个请求,期间因代理连接故障暴露真实IP地址,Resecurity借此收集攻击者战术、技术及基础设施信息,并报告执法部门。
https://www.bleepingcomputer.com/news/security/hackers-claim-resecurity-hack-firm-says-it-was-a-honeypot/
2. RondoDox僵尸网络借React2Shell漏洞发起全球攻击
12月31日,近日,网络安全研究揭示,RondoDox僵尸网络正利用React2Shell严重漏洞(CVE-2025-55182)大规模感染Next.js服务器,部署恶意软件及加密货币挖矿程序。该漏洞为未经认证的远程代码执行漏洞,可通过单个HTTP请求触发,影响所有实现React Server Components“Flight”协议的框架,包括Next.js。截至2025年12月30日,Shadowserver基金会已检测到超94,000个暴露于互联网的易受攻击资产。RondoDox最早由Fortinet于2025年7月记录,是一个利用多n天漏洞发起全球攻击的大型僵尸网络。其2025年运营分为三个阶段:3月至4月进行侦察与漏洞测试;4月至6月实施自动化Web应用漏洞利用;7月至今则转向大规模物联网僵尸网络部署。11月,VulnCheck发现其新变种利用XWiki平台的CVE-2025-24893漏洞。CloudSEK报告指出,RondoDox自12月8日起扫描存在漏洞的Next.js服务器,三天后开始部署僵尸网络客户端,并在12月六天内发起超40次攻击尝试,每小时针对Linksys、Wavlink等消费级及企业级路由器发起物联网攻击浪潮,以招募新僵尸节点。
https://www.bleepingcomputer.com/news/security/rondodox-botnet-exploits-react2shell-flaw-to-breach-nextjs-servers/
3. Covenant Health遭麒麟勒索软件攻击
1月3日,天主教医疗机构Covenant Health于2025年5月遭遇严重网络攻击,导致478,188人敏感信息泄露,涉及姓名、地址、出生日期、医疗记录号码、社会保障号码、健康保险信息及治疗详情等。该组织在缅因州、马萨诸塞州、新罕布什尔州、宾夕法尼亚州、罗德岛州和佛蒙特州运营三家医院及多家康复中心、辅助生活住所和社区健康机构。调查显示,黑客于5月18日至26日期间访问其IT系统,事件已于12月10日调查结束并通报联邦执法部门。此次攻击对缅因州圣约瑟夫医院、圣玛丽健康系统及新罕布什尔州圣约瑟夫医院造成显著影响:圣玛丽医院实验室仅能处理纸质医嘱,新罕布什尔州圣约瑟夫医院实验室服务受限且需纸质医嘱。Covenant Health于除夕夜开始向受害者寄送违规通知信,并提供一年期信用监控服务。麒麟勒索软件团伙宣称对此次攻击负责。
https://therecord.media/covenant-health-breach-qilin
4. 新西兰ManageMyHealth数据泄露影响超10万用户
1月2日,近日,新西兰数字健康平台ManageMyHealth发生数据泄露事件,约180万注册用户中可能有6%至7%(即10.8万至12.6万用户)受到影响。此次事件涉及允许临床医生访问患者医疗记录的在线服务,受影响客户将在未来48小时内收到公司通知,明确其信息是否及如何被访问。ManageMyHealth首席执行官Vino Ramayah强调,公司始终将健康信息保护视为核心责任。他表示:“我们深知健康信息的私密性与敏感性,此类事件可能引发用户焦虑。目前团队正全力确定受影响人员,并将以直接、透明的方式与其沟通。”隐私专员办公室已获悉事件,并正与平台合作履行隐私立法义务。新西兰卫生部长西蒙·布朗称此次违规“令人担忧”,但明确表示“目前无证据表明包括我的健康账户在内的任何HNZ(新西兰健康促进协会)系统遭到破坏,因ManageMyHealth拥有独立系统”。他强调,新西兰卫生部正与平台密切合作,确保事件妥善处理,且医疗服务将持续正常运转,无临床影响。
https://www.1news.co.nz/2026/01/02/managemyhealth-data-breach-more-than-108k-users-potentially-affected/
5. 东京FM数据泄露,超300万用户信息受威胁
1月1日,日本知名广播电台东京FM广播株式会社遭遇重大网络安全事件。一个自称“受害者”的团体宣称已入侵该公司内部计算机系统,并窃取超过300万条个人及技术数据记录。此次事件因涉及敏感信息量庞大且发生在跨年特殊时段,引发广泛关注。据攻击者披露,被盗数据涵盖用户全名、生日、电子邮件地址等基础个人信息,以及IP地址、用户代理(可识别设备类型)等技术细节。更严重的是,攻击者声称获取了公司内部系统的登录ID及员工工作信息,若属实,可能威胁企业运营安全及员工隐私。目前,数据真实性仍处于专家核实阶段,但潜在风险已引发安全机构警觉。东京FM作为日本最具影响力的广播电台之一,掌握大量听众及员工信息,长期成为网络犯罪分子目标。尽管此次事件被初步定性为普通网络犯罪案件,但数据泄露规模及涉及维度(从个人隐私到企业系统凭证)已远超常规范畴。安全专家提醒,若攻击者掌握真实数据,可能导致精准诈骗、身份盗用等次生风险。
https://hackread.com/tokyo-fm-data-breach-hacker-3-million-records-stolen/
6. Google Cloud工具被滥用发动新型网络钓鱼攻击
1月2日,Check Point研究人员发现,网络犯罪分子正利用Google Cloud Application Integration中的合法功能发起大规模网络钓鱼攻击。该攻击通过多层重定向技术绕过传统安全检测,两周内发送近9400封伪造邮件,影响约3200名用户。攻击者滥用Google Cloud的"发送电子邮件"自动化工具,从官方域名mailto:noreply-application-integration@google.com发送邮件,利用受信任的云服务基础设施提高可信度。邮件高度模仿Google官方风格,以语音邮件提醒、共享文件访问等常规场景为诱饵诱导点击。攻击链包含三个阶段:首先通过storage.cloud.google.com链接建立初始信任;随后重定向至googleusercontent.com显示虚假验证码规避自动扫描;最终指向非微软域名的伪造微软登录页面窃取凭证。此次攻击主要针对制造业和工业企业,科技/SaaS及金融机构次之,专业服务、零售、媒体、教育、医疗、能源、政府等行业也受到不同程度影响。地域分布显示,美国受害者最多,亚太和欧洲活动活跃,拉丁美洲中巴西和墨西哥受影响最严重。
https://securityaffairs.com/186425/cyber-crime/phishing-campaign-abuses-google-cloud-application-to-impersonate-legitimate-google-emails.html
京公网安备11010802024551号