警惕Kali365平台:新型网络钓鱼可绕过微软MFA
发布时间 2026-05-265月25日,美国联邦调查局(FBI)近日发布警告,一种名为“Kali365”的网络钓鱼即服务平台(PhaaS)正利用OAuth设备代码身份验证流程,大规模劫持Microsoft 365账户。该平台于2026年4月首次出现,通过Telegram频道传播,其核心特点是无需窃取用户密码或拦截多因素认证(MFA)验证码,即可直接盗取会话令牌,从而绕过多因素认证的保护机制。Kali365的攻击手段基于对微软合法OAuth 2.0设备授权授予流程的滥用。该流程本是为输入功能有限的设备(如智能电视、打印机、物联网设备)设计的便捷登录方式,允许用户通过另一台设备访问微软设备代码登录门户,并输入短码完成身份验证。然而,攻击者主动启动设备授权进程生成代码,然后利用钓鱼邮件、社会工程学等手段诱骗受害者在微软官方登录页面输入该代码。一旦受害者完成MFA验证,微软便会颁发OAuth访问令牌,攻击者随即获得账户完全访问权限,可登录包括Microsoft 365、Salesforce在内的各类云SaaS平台,窃取邮件、数据,甚至创建恶意收件箱规则隐藏行踪或在受害者的微软环境中注册新设备以扩大访问范围。
https://www.bleepingcomputer.com/news/security/fbi-warns-of-kali365-phishing-service-targeting-microsoft-365-accounts/
2. 肿瘤研究所数据泄露确认影响患者信息
5月25日,美国肿瘤研究所(TOI)近日确认,此前披露的一起网络安全事件已实际影响患者数据。TOI是一家成立于2007年的肿瘤治疗机构,通过遍布五个州的100多家诊所网络提供专业癌症治疗服务。该机构于2025年11月向美国证券交易委员会(SEC)报告称,其第三方软件服务提供商遭遇网络安全事件,当时由于供应商调查尚未完成,无法确定患者信息是否已被泄露。然而在2026年5月20日,作为供应商第三方管理机构的Kroll公司通知TOI,检测到有人未经授权访问了TOI的某些信息系统,其中包括存储患者数据的系统。TOI在上周提交给SEC的新文件中表示,该网络安全事件已影响到其他多家医疗服务提供商,供应商已建立患者门户网站,计划通过该网站提供相关信息并回复患者咨询。虽然TOI未明确指明涉事的第三方软件供应商,但根据事件时间线以及该漏洞对多家医疗机构造成影响的事实,业界普遍认为Cognizant旗下的医疗技术公司TriZetto Provider Solutions很可能就是相关方。目前,Kroll正在处理TriZetto的信息披露事宜。TriZetto今年早些时候曾报告其遭遇数据泄露,影响了多家客户,涉及约340万人。
https://www.securityweek.com/oncology-institute-discloses-third-party-data-breach/
3. 里士满放射学会数据泄露影响26.6万人
5月25日,里士满放射学会(RAR)近日披露了一起重大数据泄露事件,约26.6万名个人的受保护健康信息受到影响。根据该医疗机构发布的事件通知,数据泄露发生在2025年7月25日左右,当时黑客成功侵入了其内部系统。RAR未透露具体何时发现此次入侵,但表示已立即与外部网络安全专家合作,以遏制攻击并调查其影响范围。经过广泛的法证调查和人工文件审查,RAR的调查于2026年4月6日左右得出结论:由于该事件,包含部分个人受保护健康信息的文件已被未经授权的方式获取。2026年5月21日,RAR开始向可能受影响的个人寄送通知信。根据该组织向缅因州总检察长办公室提交的文件,共有266,183人收到了此类信件。RAR发布的事件通告及提交给多个州当局的经编辑信件样本显示,泄露的信息可能包括姓名和社会安全号码。然而,这些文件并未提供受影响数据的完整细节。根据德克萨斯州总检察长网站上的清单,此次攻击中可能被盗的信息还包括政府颁发的身份证号码、财务信息(含信用卡或借记卡号码),以及医疗和健康保险详情。
https://www.securityweek.com/266000-affected-by-data-breach-at-radiology-associates-of-richmond/
4. Lazarus Group利用RemotePE攻击金融机构
5月25日,网络安全研究人员近日揭露了一种名为RemotePE的跨平台恶意软件,该软件已被与朝鲜有关的黑客组织Lazarus Group用于攻击金融和加密货币机构。据NCC集团旗下Fox-IT公司的安全研究人员云正虎和米克·库门披露,RemotePE是一个多阶段攻击链的最终载荷,整个攻击过程涉及两个加载器,分别被跟踪为DPAPILoader和RemotePELoader。DPAPILoader利用Windows数据保护API从磁盘解密并加载RemotePELoader,后者随后向命令与控制服务器发送信标,等待接收最终阶段的RemotePE。这是一种完全在内存中执行、不写入磁盘的远程访问木马,因此不会在文件系统中留下任何痕迹。RemotePE最早于2025年9月被安全厂商关注,当时它与一起针对去中心化金融领域某未具名组织的攻击有关,那次攻击还部署了PondRAT和ThemeForestRAT两个恶意软件家族。入侵通常始于社交工程手段:攻击者伪装成贸易公司员工,通过Telegram接近受害者,并在虚假的Calendly和Picktime域名上安排会议。
https://thehackernews.com/2026/05/lazarus-deploys-remotepe-memory-only.html
5. Station Casinos确认数据泄露
5月22日,拉斯维加斯最大的赌场运营商之一Station Casinos近日在一份监管文件中证实了网络安全漏洞事件,成为又一家被网络犯罪分子列入攻击目标名单的大型博彩运营商。根据该公司向缅因州总检察长办公室提交的正式数据泄露通知,安全事件发生于2026年3月5日,并于当天被发现。消费者通知工作于2026年5月21日开始。截至目前,此次数据泄露的具体范围尚不明确,公司尚未公开披露哪些系统遭到入侵,也未透露哪些数据可能已被泄露。泄露通知显示,至少有一名缅因州居民的数据受到影响。Station Casinos表示,一名员工的账户遭到未经授权的第三方访问,攻击者获取了该账户及其相关文件。公司发言人称,此次网络安全事件并未对公司的财产或业务运营造成任何影响。事件发生后,Station Casinos立即采取措施应对,得到了外部网络安全专家的协助,并与执法部门合作。公司表示已通知受影响的个人和监管机构,并为所有可能受影响的个人提供信用监控和身份盗窃保护。公司认为此次事件不会对财务状况或经营业绩产生重大不利影响。
https://cybernews.com/security/station-casinos-data-breach-las-vegas-hacking/
6. 黑客声称入侵法国医疗支付巨头Almerys
5月22日,一名黑客声称已入侵法国主要医疗保健支付运营商Almerys的系统,并在知名网络犯罪市场上出售大量数据,据称包含超过4400万条记录和1500多万个法国公民的唯一社会保障号码。Almerys成立于2000年,总部位于克莱蒙费朗,是法国主要的医疗支付运营商之一,通过84个医疗机构组成的网络为2000万参保人员处理医疗支付数据。网络新闻研究人员对威胁行为者发布的帖子和数据样本进行了审查,样本记录中包含全名、出生日期、部分社会安全号码以及雇主或组织详情等个人身份信息。然而,研究人员指出,样本中的社会保障号码仅显示了13位基数,缺失了最后两位密钥,这引发了关于数据真实性和完整性的疑问。样本可能被攻击者故意删减,或是为了保留数据价值以供出售,或是为了降低立即识别的可能性。目前,该数据集的真实性尚未得到独立验证,尚不清楚是否确实包含声称的4400万条记录。研究人员警告称,如果泄露数据确实包含可拼凑出个人完整信息的详情,受影响的个人将面临身份盗窃风险,此外工作场所也存在被侦查的风险。
https://cybernews.com/security/almerys-french-healthcare-data-leak/
京公网安备11010802024551号