门罗大学32万人数据泄露事件
发布时间 2026-01-161. 门罗大学32万人数据泄露事件
1月14日,美国门罗大学2024年12月9日至23日遭遇严重网络攻击,威胁行为者入侵其系统,窃取超过32万人的个人、财务及健康信息。该校在2025年9月经文件审查确认,受影响者涉及当前及往届学生、教职员工等,泄露数据涵盖姓名、出生日期、社会保障号码、护照号码、医疗信息、电子账户密码及财务账户详情等敏感内容。作为应对措施,学校自2026年1月2日起向受影响用户邮寄通知,提醒监控信用报告及账户异常,并提供CyberScout提供的为期一年免费信用监控服务。门罗大学历史可追溯至1933年,现发展为拥有纽约布朗克斯、新罗谢尔及圣卢西亚三大校区的私立大学,在校生超9000人。门罗大学虽启动信用监控服务,但关键信息如攻击者身份、具体漏洞类型仍未披露,引发公众对透明度的质疑。
https://www.bleepingcomputer.com/news/security/monroe-university-says-2024-data-breach-affects-320-000-people/
2. 网络罪犯窃取Facebook用户凭证新手段
1月13日,网络犯罪分子正大量采用“浏览器套浏览器”技术对Facebook用户发起隐蔽攻击,企图窃取其登录凭证并实施后续欺诈。据Trellix网络安全团队研究,此类攻击通过钓鱼邮件激增,邮件常伪装成律师事务所警告、账户安全通知等,利用用户对版权侵权索赔、未授权登录提醒或账户关闭警告的恐慌心理,诱使其点击伪装成Facebook官方链接的虚假短链接。攻击的核心在于“浏览器套浏览器”弹窗的逼真性:攻击者在受害者浏览器内创建自定义虚假登录窗口,该窗口包含硬编码的真实Facebook登录页面URL,并预先部署虚假验证码窗口,使整个流程与用户熟悉的Facebook认证界面高度一致,视觉上难以察觉异常。受害者在“申诉”页面首先被要求填写姓名、邮箱、电话、出生日期等个人信息,随后在第二页面“确认”密码,导致敏感信息及凭证被窃取。此类攻击的动机包括劫持账户、窃取个人数据、实施身份欺诈或向用户联系人传播诈骗。
https://www.infosecurity-magazine.com/news/phishing-scams-exploit-browser/
3. 微软联合多国捣毁RedVDS网络犯罪平台
1月15日,微软近日宣布成功瘫痪全球网络犯罪平台RedVDS,该平台自2025年3月以来仅在美国就造成超4000万美元损失。作为"网络犯罪即服务"(CaaS)典型代表,RedVDS通过redvds[.]com等域名向Storm-0259等犯罪集团提供每月仅需24美元的虚拟Windows服务器,支持无限制管理员控制,使欺诈行为实现低成本、规模化且难以追踪。在欧洲刑警组织与德国当局配合下,微软在美国、英国提起民事诉讼,查封其恶意基础设施并下线市场门户。调查显示,RedVDS自2019年运营至今,所有虚拟机均使用克隆的Windows Server 2022镜像,共享计算机名称"WIN-BUNS25TD77J"的技术特征成为追踪关键。其服务器租用自美、英、法等六国第三方托管商,使犯罪分子能获取目标地域IP地址,轻松绕过地理安全过滤。攻击者结合AI工具生成高仿真钓鱼邮件,甚至使用换脸、语音克隆冒充可信组织。数据显示,控制2600台虚拟机的犯罪分子日均发送百万封钓鱼邮件,四个月内攻破近20万微软账户,全球超19.1万组织受波及。
https://www.bleepingcomputer.com/news/security/microsoft-seizes-servers-disrupts-massive-redvds-cybercrime-platform/
4. 波兰挫败针对能源基础设施的严重网络攻击
1月15日,波兰政府宣布成功挫败一起针对其能源基础设施的重大网络攻击,称这是近年来对该国能源系统最严重的威胁。据能源部长米沃什·莫蒂卡披露,此次攻击发生于2025年12月底,黑客将目标锁定在波兰全国大部分地区可再生能源设施(包括太阳能发电场和风力涡轮机)与电力配电运营商之间的通信系统,试图通过破坏关键通信链路引发大规模停电。数字化事务部长克日什托夫·加尔科夫斯基在1月13日的新闻发布会上强调,该事件“非常接近导致全国性停电”,且攻击呈现“协调破坏行动的明显特征”。他进一步指出,攻击的规模、入侵路径及幕后策划均表明这是一次“蓄意切断波兰公民电力供应的破坏行为”,并直指俄罗斯为幕后黑手。与以往针对大型发电厂或输电网络的网络攻击不同,本次事件首次同时瞄准多个分布式小型能源设施,这种新型攻击模式引发波兰官方高度警惕。
https://therecord.media/poland-cyberattack-grid-russia
5. 争议网站“ICE名单”遭DDoS攻击瘫痪
1月15日,美国国土安全部数据泄露事件衍生出的争议性网站“ICE名单”因持续DDoS攻击被迫下线。该网站由创始人多米尼克·斯金纳于近日透露,自周二晚间起遭受“持久且复杂”的分布式拒绝服务攻击,导致服务器瘫痪,用户无法查询美国移民和海关执法局(ICE)及边境巡逻队4500名探员的身份信息。斯金纳表示,攻击流量疑似来自俄罗斯僵尸网络农场,但通过代理IP难以追踪真实来源。他强调,此类长时间、高复杂度的攻击需专业团队策划。目前团队正尝试更换服务器恢复网站,但承认其将持续成为攻击目标。该网站成立于DHS内部举报人泄露数据之后,包含探员的姓名、工作邮箱、电话、职位头衔及简历式背景信息。若恢复上线,这些数据将与现有2000名联邦移民官员信息库合并。
https://www.infosecurity-magazine.com/news/ice-agent-doxxing-site-ddosed/
6. Gootloader恶意软件升级反检测技术
1月15日,Gootloader恶意软件自2020年起持续活跃,被用于勒索软件部署等网络犯罪活动。近期,研究人员发现其通过连接500至1000个畸形ZIP存档实现反检测升级,这种结构导致依赖7-Zip、WinRAR等工具的分析程序崩溃,而Windows默认解压工具仍可处理。该恶意软件的核心是一个归档的JScript文件,通过Windows Script Host(WScript)执行,并利用向启动文件夹添加快捷方式(.LNK)实现持久性,有效载荷在系统启动时通过NTFS短名称触发CScript,进而生成PowerShell进程。为逃避检测,威胁行为者实施了多重混淆技术:利用解析器从文件末尾读取的特性连接多个ZIP文件;截断中央目录结束符(EOCD)缺少两个必需字节,导致大多数工具无法解析;随机化磁盘编号字段模拟不存在的多磁盘归档;制造本地文件头与中央目录条目间的元数据不匹配;为每次下载生成唯一ZIP/JScript样本规避静态检测;将ZIP作为XOR编码的blob传递,在客户端解码并追加至所需大小以规避网络检测。
https://www.bleepingcomputer.com/news/security/gootloader-now-uses-1-000-part-zip-archives-for-stealthy-delivery/
京公网安备11010802024551号