KDDI软件漏洞致1420万邮箱账户遭泄露
发布时间 2026-06-291. KDDI软件漏洞致1420万邮箱账户遭泄露
6月28日,日本电信巨头KDDI株式会社于2026年6月17日检测到一起严重的数据泄露事件,导致其向六家互联网服务提供商提供的电子邮件系统中,多达1420万个账户信息可能被外部非法获取。该公司拥有超6万名员工,年营业额约400亿美元,业务涵盖移动、固网、云计算及物联网等多个领域,此次事件主要影响其国内服务商网络。据KDDI调查,攻击者利用了电子邮件系统所使用的第三方软件漏洞实施了入侵,公司在发现后立即进行技术干预以阻断进一步损害,并已定位到未经授权的访问点。受影响的服务商包括STNet、KDDI Web Communications、JCOM、中部电信、Nifty及BIGLOBE,泄露的数据范围涵盖电子邮件地址及密码,虽然密码经过哈希或加密处理,但公司仍警告存在被破解的风险。目前,KDDI已向日本隐私和电信监管机构报告此事件,并正协调各服务商共同应对,同时敦促所有受影响用户立即更改密码,以防范潜在的安全威胁。公司承诺将继续与ISP合作,确保用户及时获得通知并采取适当防护措施。
https://securityaffairs.com/194387/data-breach/kddi-data-breach-impacts-up-to-14-2-million-email-accounts-at-six-isps.html
2. 微软揭酒店业遭复杂钓鱼攻击
6月27日,微软威胁情报披露,自2026年4月起有黑客持续针对全球酒店业发起精密攻击。攻击者通过筛选含“reception”、“frontdesk”等关键词的设备,锁定酒店前台及预订部门,利用Calendly与谷歌URL重定向构建能通过邮件身份验证的“多跳”投递链。诱饵邮件冒充“Booking Manager”,以床虱、卫生检查等紧急内容诱使受害者点击,经多重重定向及Cloudflare过滤后,下载伪装成图片的.lnk文件,启动经七层混淆的PowerShell脚本,最终从官方源下载Node.js并执行“TonRAT”恶意程序。其最突出的特点是冗余持久化机制:既通过HKCU\Run建立常规自启,又利用HKCU\RunOnce反复重写载荷形成循环,确保单点清除后仍能恢复。微软EDR曾拦截PE载荷,但因Node.js启动项残留,两天后程序经新C2服务器重新激活。部分失陷主机还向非标准端口发信标、进行地理位置检查甚至强制关机。攻击者最终意图尚不明确,但其强大的持久化能力值得警惕。彻底清除需移除Run与RunOnce相关注册项、删除Node.js运行时及脚本,并优先排查前台系统,对存在Node.js进程的设备保持高度怀疑。
https://securityaffairs.com/194349/uncategorized/hospitality-sector-hit-by-phishing-campaign-using-fake-guest-complaint-emails.html
3. AI编码助手遭攻击:无恶意代码仓库可植入后门
6月27日,Mozilla零日调查网络(0DIN)近日披露,攻击者可利用AI编码助手(如Claude Code)的工作流程,通过一个表面无害的GitHub仓库,在开发者设备上植入反向shell,整个过程不包含任何传统恶意代码,对安全扫描器、AI代理乃至人工审查均保持“隐身”。这种攻击方式不依赖漏洞或可疑命令,而是通过三个孤立来看毫无威胁的环节构成攻击链:首先,攻击者提供一个标准的GitHub仓库,包含正常的安装说明;其次,其中的Python包被设计为在初始化时故意报错,并提示用户执行python3 -m axiom init,Claude Code将此视为普通设置问题而自动运行建议命令;最后,该初始化命令调用一个shell脚本,从攻击者控制的DNS TXT记录中动态获取配置值并直接执行。0DIN研究人员强调,Claude Code从未主动决定打开shell,只是在“修复一个错误”,而反向shell的触发与AI实际评估的内容之间隔了三层间接关系,一条受信任的错误消息、一个获取值的脚本,以及一条从未被AI见过的DNS记录。一旦成功,攻击者即可获得以开发者权限运行的交互式shell,从而访问环境变量、API密钥、配置文件并建立持久化。
https://www.bleepingcomputer.com/news/security/clean-github-repo-tricks-ai-coding-agents-into-running-malware/
4. 新型Mistic后门借员工社会工程入侵企业
6月26日,安全研究人员发现一款名为Backdoor.Mistic(亦被追踪为MLTBackdoor)的新型远程访问木马,自2026年4月起被特定组织用于在企业内部建立隐蔽入口,充当初始访问代理,将渗透后的网络权限出售给Qilin、Rhysida、Akira等主流勒索软件团伙。该活动关联至自2024年5月起活跃的黑客组织Woodgnat(又名KongTuke),其攻击目标随机覆盖学校、保险公司及IT服务机构。攻击手法以社会工程为核心:早期通过劫持WordPress网站推送虚假技术警报,自2026年4月起则升级为通过Microsoft Teams冒充IT服务台直接向员工发送消息,诱骗其运行恶意指令。一旦得手,多阶段PowerShell链即下载Mistic后门,该木马具备文件管理、虚假登录界面密码窃取等功能,并利用Windows内置工具进行内网侦察,通过Curl外传数据。其突出特点在于极高的隐蔽性:依赖DLL侧加载技术利用可信Windows文件绕过安全软件,且完全在计算机临时内存中运行,不写入硬盘,显著增加检测难度,同时内置终止开关可在被发现时立即自毁。
https://hackread.com/woodgnat-hackers-mistic-rat-access-ransomware-gangs/
5. 法国国家统计局遭攻击,1.28万员工信息泄露
6月26日,法国国家统计与经济研究所(Insee)近日证实遭受网络攻击,导致其内部员工名录中约12,800名现任和前任员工及相关公务员的个人数据遭到泄露。据Insee官方声明,泄露信息仅限于身份资料和职业联系方式,不含密码、家庭住址、银行账户、社会保障号码或医疗记录等高度敏感数据。然而,据法语网络安全媒体Cyberattaque报道,化名“Saturne”的黑客已在网络犯罪论坛上公开了据称来自Insee内部目录(trombi.insee.fr)的数据库,该目录主要用于员工间查询专业联系方式、工作安排及行政详情。此次泄露事件与法国政府近期频发的网络安全事故形成呼应:此前政府即时通讯工具Tchap遭入侵,致73,467名用户数据流向暗网;今年4月,法国政府用于保护身份文件的数据库也被攻破,约1,900万条包含护照、身份证及驾照信息的记录外泄。系列事件凸显法国公共部门在数据安全保护方面面临的严峻挑战。
https://cybernews.com/security/france-statistics-agency-insee-cyberattack-taff-data/
6. 美保险监管机构NAIC遭零日攻击,3.1TB数据泄露
6月26日,美国全国保险监督官协会(NAIC)近日证实,本月早些时候因Oracle PeopleSoft软件零日漏洞遭攻击导致数据被盗,臭名昭著的勒索团伙ShinyHunters随后在暗网发布了据称达3.1TB的缓存数据。NAIC于6月11日首次发现该安全事件,并表示被盗数据已被相关组织公开。NAIC官方声明称,个人身份信息、支付信息、各州保险部门系统及核心系统(如SERFF、OPTins、UCAA等)未受影响,员工个人数据、保单持有人信息等亦未被访问。然而,ShinyHunters披露的数据集远超普通保险文件,据称包含2017至2024年间超过26.4万份保险公司监管备案PDF、约2,000条客户与批量订单记录(含姓名、邮箱及支付交易标识符)、来自穆迪、惠誉、标普等主要评级机构的约4.5万份文件、保险公司法定年度及季度财务报表,以及生产环境AWS基础设施日志、云配置文件、SQL脚本和与SERFF等系统关联的存储凭据。安全专家警告,基础设施文件、配置数据和生产备份可能为攻击者提供NAIC内部环境的路线图,暴露系统连接与数据流转方式,威胁敏感凭证与管理功能。NAIC表示运营已基本恢复,仅在线发票支付等两项例外仍在处理中,并正等待第三方信用评级机构确认系统安全。
https://cybernews.com/news/naic-breach-shinyhunters-3tb-insurance-systems-data/


京公网安备11010802024551号