Stryker遭伊朗黑客Handala攻击致全球系统瘫痪
发布时间 2026-03-121. Stryker遭伊朗黑客Handala攻击致全球系统瘫痪
3月11日,财富500强医疗科技企业Stryker遭遇与伊朗情报部门相关的亲巴勒斯坦黑客组织Handala发起的毁灭性网络攻击。该组织宣称通过恶意软件窃取50TB关键数据并清除全球20余万台系统、服务器及移动设备数据,导致Stryker在79个国家的分支机构被迫关闭,引发公司成立以来最严重危机。此次攻击造成Stryker全球微软环境全面中断,员工Windows设备及移动终端在半夜遭远程数据擦除。据员工透露,部分使用个人手机注册工作权限的设备同样丢失数据,公司被迫要求员工卸载Intune、Teams等管理应用及VPN客户端。多地办公室因系统瘫痪恢复“纸笔”操作模式,内部服务访问中断影响日常运营。Handala组织成立于2023年12月,与伊朗情报安全部(MOIS)存在关联,此前以针对以色列组织及使用破坏性恶意软件擦除设备闻名。该组织通过篡改Stryker的Entra登录页面展示其标志,并在数据泄露门户发布敏感信息。
https://www.bleepingcomputer.com/news/security/medtech-giant-stryker-offline-after-iran-linked-wiper-malware-attack/
2. WordPress插件Ally漏洞致超25万网站面临风险
3月11日,Ally是Elementor开发的WordPress可访问性插件,安装量超40万次,因存在编号为CVE-2026-2313的高危SQL注入漏洞引发安全警示。该漏洞由Acquia攻击性安全工程师Drew Webber(mcdruid)发现,其严重性评分极高,源于插件4.0.3及更早版本中get_global_remediations()方法对用户提供的URL参数处理不当,未对SQL上下文进行充分清理,导致攻击者可通过URL路径注入SQL查询。WordFence技术分析指出,尽管esc_url_raw()函数用于URL安全处理,但无法阻止SQL元字符(如单引号、括号)的注入,使未经身份验证的攻击者能够附加额外SQL查询,利用基于时间的盲注技术从数据库窃取敏感信息。值得注意的是,漏洞利用需满足插件连接Elementor账户且修复模块处于活动状态的条件。Elementor于2月23日发布4.1.0版本修复该漏洞,并向研究人员颁发800美元漏洞赏金。然而,WordPress.org数据显示,仅约36%的Ally用户完成升级,仍有超25万网站暴露在CVE-2026-2313风险中。
https://www.bleepingcomputer.com/news/security/sqli-flaw-in-elementor-ally-plugin-impacts-250k-plus-wordpress-sites/
3. CISA紧急要求政府机构修补n8n高危漏洞
3月11日,美国网络安全和基础设施安全局(CISA)强制要求联邦机构在3月25日前修补n8n平台存在的CVE-2025-68613远程代码执行漏洞,该漏洞正被积极利用。n8n作为开源工作流自动化平台,在AI开发中广泛用于数据摄取,每周npm下载量超5万次,Docker Hub拉取量超1亿次,常存储API密钥、数据库凭证等敏感数据,成为攻击者重点目标。CVE-2025-68613源于n8n工作流表达式评估系统对动态代码资源控制不当,允许已认证攻击者以n8n进程权限执行任意代码。n8n团队12月发布的v1.122.0版本已修复此漏洞,并建议管理员立即升级。临时缓解措施包括限制工作流编辑权限至完全信任用户、降低操作系统权限及网络访问限制。Shadowserver监测发现,全球超4万个未打补丁的n8n实例暴露于互联网,其中北美占18,000余个,欧洲超14,000个。
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-n8n-rce-flaw-exploited-in-attacks/
4. 贝尔救护车公司23.8万人数据泄露
3月11日,美国威斯康星州密尔沃基的救护车服务提供商贝尔救护车公司近日披露,其2025年2月发生的网络入侵事件导致近23.8万人个人、财务及医疗健康信息泄露。根据提交给缅因州总检察长办公室的文件,黑客于2025年2月7日至14日期间入侵该公司网络,贝尔公司于2月13日首次检测到异常,但直至4月14日才对外公布事件,约一个月后,Medusa勒索软件团伙声称从贝尔公司窃取219.50GB数据,并公开部分被盗内容。此次泄露的信息范围广泛,包括姓名、社会保障号码、出生日期、驾驶执照号码,以及财务账户、医疗记录和健康保险信息等高度敏感数据。贝尔公司表示,事件调查已于2026年2月20日完成,确认数据泄露规模远超最初披露的11.4万人,实际受影响人数达237,830人。为应对此次危机,贝尔公司采取了多项补救措施:全面加强网络安全防护、强制重置所有账户密码,并为受影响个体提供为期12个月的免费信用监控和身份保护服务,同时提醒用户警惕潜在欺诈及身份盗窃风险。
https://www.securityweek.com/238000-impacted-by-bell-ambulance-data-breach/
5. 俄APT28部署定制恶意软件长期监视乌军方
3月10日,据ESET最新报告,隶属于俄罗斯联邦军事情报总局(GRU)第26165部队的国家级黑客组织APT28(别名包括Fancy Bear、Sednit等)自2024年4月起,使用三款定制恶意软件BEARDSHELL、COVENANT及SLIMAGENT,对乌克兰军方人员开展长期监视活动。SLIMAGENT作为核心间谍工具,可记录键盘输入、捕获屏幕截图并收集剪贴板数据,其起源可追溯至APT28在2010年代使用的XAgent植入程序。BEARDSHELL后门程序通过合法云存储服务Icedrive建立命令与控制(C2)通道,执行PowerShell命令。其采用独特的“不透明谓词”混淆技术,该技术同样出现在APT28于2016年攻击美国民主党全国委员会(DNC)时使用的XTunnel隧道工具中。COVENANT作为开源.NET后渗透框架,经深度修改后自2025年7月起采用基于云的新网络协议,滥用Filen云存储服务进行C2通信。此前,该框架变体曾使用pCloud(2023年)、Koofr(2024-2025年)。
https://thehackernews.com/2026/03/apt28-uses-beardshell-and-covenant.html
6. UNC6426利用供应链攻击72小时完全入侵云环境
3月11日,nx npm包供应链2025年8月遭破坏后,威胁行为者UNC6426利用窃取的GitHub令牌,在72小时内完成对受害者云环境的完全入侵。此次供应链攻击源于nx npm包易受攻击的pull_request_target工作流被利用,攻击者通过“Pwn Request”攻击获取提升权限并访问GITHUB_TOKEN,将木马化包推送到npm注册表。木马包包含QUIETVAULT凭证窃取程序,通过LLM工具扫描系统敏感信息,数据被上传至公共GitHub存储库。受害者员工运行Nx Console插件时触发更新,导致QUIETVAULT执行。UNC6426利用被盗PAT,通过Nord Stream工具从CI/CD环境提取机密,泄露GitHub服务账户凭据后,利用“--aws-role”参数生成临时AWS STS令牌,在AWS环境立足。由于GitHub Actions CloudFormation角色权限过高,攻击者部署新AWS Stack,附加AdministratorAccess策略,72小时内将权限提升至完整管理员权限。随后,攻击者枚举S3存储桶对象、终止生产环境EC2和RDS实例、解密应用密钥,并将所有内部GitHub代码库重命名为“/s1ngularity-repository-[随机字符]”并公开。
https://thehackernews.com/2026/03/unc6426-exploits-nx-npm-supply-chain.html
京公网安备11010802024551号