ShinyHunters勒索JCPenney,限期公开敏感数据
发布时间 2026-06-166月12日,黑客组织ShinyHunters近日将目标对准了美国标志性百货连锁店JCPenney。该团伙在其泄露网站上发布了JCPenney及其他几个隶属于Catalyst Brands和Authentic Brands Group的零售品牌的相关信息。帖子发布于2026年6月12日,声称“数十万条”记录已被盗,并发出最后通牒:受影响的组织必须在6月15日之前联系相关部门,否则数据将被公开。据ShinyHunters声称,被盗数据包含高度敏感的个人和就业信息,具体包括社会安全号码、出生日期、W-2税务记录、工资信息、政府签发身份证明文件的纸质扫描件、驾驶执照以及其他个人身份信息。这些数据类型极为敏感,一旦属实,将成为身份盗窃和金融诈骗的绝佳素材。与可以重置的泄露密码不同,政府颁发的身份识别信息如社会安全号码和驾驶执照详细信息,可以保持多年有效,给受害者带来长期风险。W-2表格和工资信息的加入进一步放大了潜在危害,因为这些文件通常包含足够的信息,足以支撑复杂的网络钓鱼和社会工程攻击。然而,截至目前,ShinyHunters并未公布任何数据样本来支持其说法,因此外界尚无法独立验证此次数据泄露的真实性和规模。
https://cybernews.com/security/shinyhunters-jcpenney-retail-data-leak-claim/
2. 思科SD-WAN管理器零日漏洞遭利用
6月15日,思科近日发布安全更新,修复了Catalyst SD-WAN管理器(原名SD-WAN vManage)中的一个高危零日漏洞(编号CVE-2026-20262)。该漏洞已被攻击者积极利用,可借此将权限提升至root级别。Catalyst SD-WAN管理器是一款网络管理软件,允许管理员从单一控制面板管理多达6000台SD-WAN设备。此次修复的漏洞影响所有部署类型,包括本地部署、云托管及政府云环境等,无论设备配置如何均受波及。思科在公告中解释称,该漏洞源于文件上传过程中对用户输入验证不足。低权限的远程攻击者可向受影响的API端点发送精心构造的HTTP请求,从而以root身份执行任意命令,创建或覆盖系统文件系统上的任何文件,最终实现权限提升。思科产品安全事件响应团队(PSIRT)于本月初发现该漏洞,并强烈建议客户尽快修补系统。思科已公布受影响版本及对应的修复版本,如20.9.9.1及更早版本需升级至20.9.9.2,20.12.7.1及更早版本需升级至20.12.7.2等。此外,思科还提供了入侵检测指标(IOC),建议管理员检查SD-WAN相关日志文件,查找可疑的上传行为。
https://www.bleepingcomputer.com/news/security/cisco-fixes-sd-wan-vmanage-flaw-exploited-in-zero-day-attacks/
3. WordPress三大插件遭供应链攻击
6月15日,近日,WordPress插件OptinMonster、TrustPulse和PushEngage在一次供应链攻击中被入侵,攻击源头指向其开发商Awesome Motive的内容分发网络(CDN)。Awesome Motive发布的安全公告解释了事件缘由:黑客利用UpdraftPlus WordPress插件中的一个已知漏洞,获得了对其营销网站服务器的访问权限。该服务器虽然未连接生产基础设施或数据系统,但托管了公司CDN账户的凭据,这些凭据被黑客窃取。攻击者利用窃取的CDN API密钥,修改了通过CDN分发的JavaScript文件,导致网站直接从CDN静默加载恶意代码。恶意脚本在特定时间窗口内被提供给OptinMonster和TrustPulse的用户,具体为周五UTC时间22:17至22:42。而PushEngage的恶意JavaScript代码则持续投放至周六19:02 UTC。该恶意软件仅在WordPress管理员访问受感染网站页面时触发,它会收集身份验证令牌和随机数,进而创建恶意管理员账户。入侵者随后安装了一个自隐藏后门插件,与冒充Tidio的域名建立通信通道以传输窃取的数据。该后门提供完整的远程访问功能,包括Web Shell和任意PHP代码执行,使攻击者能够完全控制被入侵的网站。
https://www.bleepingcomputer.com/news/security/optinmonster-wordpress-plugin-hacked-in-cdn-supply-chain-attack/
4. 俄罗斯软件公司Kaluga Astral遭网络攻击
6月15日,俄罗斯软件公司Kaluga Astral周一披露,该公司本月早些时候遭受网络攻击,导致多项服务中断约一周时间,严重影响了依赖其软件进行税务申报、电子文档管理及其他业务运营的客户。该公司表示,只有在完成全面的安全审查后才会恢复每项服务,强调不愿为了速度而牺牲安全性,这也是恢复过程比预期更长的原因。由于俄罗斯政府机构已参与调查,Astral无法就此次攻击事件公开发表更多评论。据公司内部调查,目前未发现客户数据泄露或被盗用的证据。Astral并未将此次攻击归咎于任何特定的黑客组织,也未披露任何技术细节或可能的攻击动机。然而,根据客户投诉,此次中断已对企业使用的多种服务造成广泛影响,具体表现为:收银机操作中断、某些受管制商品的销售出现困难、客户门户和公司电子邮件访问权限丧失,以及电子人力资源文档管理系统和使用数字证书进行身份验证时出现问题。
https://therecord.media/cyberattack-on-russian-tech-firm-astral-disrupts-business-government-services
5. 澳大利亚主要糖企麦凯糖业遭勒索软件攻击
6月15日,澳大利亚第二大原糖生产商麦凯糖业公司近日遭遇勒索软件攻击,导致部分糖厂被迫关闭,运营受到严重干扰。该公司于6月10日首次披露正在应对一起影响其部分业务的网络安全事件,并表示已制定临时流程来支持关键业务职能,尽可能减少中断。麦凯糖业在昆士兰州经营着三家甘蔗加工厂,此次网络攻击主要影响了其中两家糖厂的运营。6月12日,该公司宣布已在一家糖厂“恢复有限的人工压榨作业”,以处理事件发生前收获的甘蔗。不过,关键的甘蔗供应和物流系统仍在持续恢复中,糖厂暂不接收任何额外的甘蔗。截至6月15日,公司在恢复支持甘蔗供应、收割和糖厂运营的系统方面取得了重大进展,蒸汽试验正在进行中,预计本周将恢复部分收割工作,为分阶段重启压榨作业做准备。公司同时负责任地建议种植户和收割者在收到通知前不要恢复收割工作。6月15日,名为“绅士”(Gentlemen)的勒索软件组织在其基于Tor的网站上公布了麦凯糖业的名字,但截至目前尚未泄露任何数据。麦凯糖业的最新通报也未提供有关潜在数据泄露的具体信息。
https://www.securityweek.com/ransomware-attack-shuts-down-mills-of-australias-second-largest-sugar-producer/
6. 美国查封AI生成非自愿裸体内容网站
6月15日,美国司法部周五宣布,已查封CFAKE.com和SOCFAKE.com两个网站,涉嫌托管未经女性同意的AI生成裸体图片和视频。这似乎是依据《取缔虚假图像法案》首次公开宣布的域名查封行动。据司法部称,这些网站分享了深度伪造图像,描绘了来自多个国家的政治家、名人、运动员、音乐家乃至皇室成员。深度伪造是指利用人工智能生成或操纵的媒体,使人物以从未发生过的方式出现,常被用于生成未经同意的裸露内容、冒充他人进行诈骗等犯罪活动。周四,美国司法部和国土安全调查局在联邦法官认定有合理理由相信这些域名违反《删除恶意域名法案》后将其查封。目前域名已显示查封通知,此次行动是美国、意大利和法国联合执法的一部分。调查始于意大利邮政和网络安全警察接到投诉,称有人工智能生成描绘多名公众女性人物的露骨性图像。意大利当局获得法院禁令封锁境内访问后,美国执法部门收集证据并与法国共享。随后,法国检察官于6月10日在尼斯逮捕了一名嫌疑人,并缴获了据称与该行动有关的加密货币。
https://www.bleepingcomputer.com/news/security/doj-seizes-cfake-socfake-deepfake-nude-sites-under-take-it-down-act/
京公网安备11010802024551号