首頁 > 安全研究 > 安全通報 > 安全簡訊

英國皇家郵政遭重大數據泄露,144GB敏感信息曝光

發布時間 2025-04-03

1. 英國皇家郵政遭重大數據泄露,144GB敏感信息曝光


4月2日,英國皇家郵政集團(Royal Mail Group)近期疑似遭遇重大數據泄露事件,涉及144GB的內部文件、客戶信息和營銷數據被公開。該事件由網絡犯罪論壇Breach Forum的用戶“GHNA”于2025年3月31日首次披露,其上傳了包含293個文件夾和16,549個文件的數據包,并提及感謝德國數據分析公司Spectos的“協助”。泄露數據涵蓋客戶個人身份信息(PII)、內部通信記錄、運營數據及營銷基礎設施信息,引發外界對攻擊來源的猜測,即可能是直接入侵皇家郵政系統或通過其供應商Spectos進行的第三方攻擊。GHNA自2024年底活躍于Breach Forum,此前已泄露多家知名企業數據,包括三星電子、Touchworld Technology LLC等,此次皇家郵政數據泄露是其發布的最大規模攻擊之一,疑似為其“訪問即服務”(Access-as-a-Service)運營的一部分。Spectos多次出現在泄露數據中,包括內部文件和會議視頻,其角色尚不明確,但黑客暗示其系統或為攻擊切入點?;始亦]政集團回應稱正與Spectos合作調查事件,評估數據影響。


https://hackread.com/hacker-leaks-royal-mail-group-data-supplier-spectos/


2. FIN7團伙利用Anubis后門劫持Windows系統


4月2日,網絡安全研究人員揭示,以經濟利益驅動的網絡犯罪團伙FIN7(亦稱Carbon Spider等多個別名)正利用一種名為Anubis的Python后門惡意軟件,對Windows系統實施劫持。瑞士網絡安全公司PRODAFT技術報告顯示,該惡意軟件賦予攻擊者遠程執行Shell命令及系統操作能力,從而完全控制被感染設備。FIN7作為一個具有俄羅斯背景的網絡犯罪組織,長期以開發復雜多變的惡意軟件家族著稱,其工具鏈旨在獲取初始訪問權限并竊取數據。近年來,該團伙被指轉向勒索軟件即服務(RaaS)模式以拓展非法收益渠道。Anubis后門通過精心設計的釣魚郵件進行傳播,誘導受害者執行托管在遭入侵SharePoint站點上的惡意載荷。惡意軟件以ZIP壓縮包形式交付,內含直接在內存中解密執行的Python腳本,繼而加載核心混淆負載。建立連接后,后門通過TCP套接字以Base64編碼與遠程服務器通信,支持收集主機IP、文件傳輸、目錄操作、環境變量獲取、注冊表修改等功能,甚至能加載DLL至內存實現無文件攻擊。


https://thehackernews.com/2025/04/fin7-deploys-anubis-backdoor-to-hijack.html


3. 下蘇族社區遭網絡攻擊,RansomHub團伙宣稱負責


4月3日,明尼蘇達州下蘇族印第安人社區向居民發出警告,該部落遭受網絡攻擊,導致當地醫療機構、政府服務中心及部落運營的Jackpot Junction賭場運營中斷。此次事件迫使部落啟動應急響應機制,主動關閉部分關鍵系統以控制事態,包括電話、傳真及郵件服務。官方通過社交媒體表示,正與網絡安全專家合作,力求在安全前提下盡快恢復系統正常運行,并公布了衛生中心、牙科診所等場所的臨時聯系電話。網絡攻擊影響深遠,賭場酒店預訂系統全面癱瘓,無法處理新訂房及取消請求,電子游戲機臺亦因網絡中斷停止運作。該部落擁有約982名居民,主要聚居在1,743英畝的保留地及周邊區域。值得注意的是,RansomHub勒索軟件團伙于本周一公開宣稱對此次攻擊負責。該團伙今年2月曾襲擊密歇根州另一原住民部落,并在全球勒索軟件領域迅速崛起,尤其在去年LockBit和AlphV遭執法打擊后,其活躍度顯著上升。


https://therecord.media/native-minnesota-tribe-says-cyber-incident-disrupted-healthcare-casino


4. 數千Android設備預裝Triada木馬,供應鏈安全現重大威脅


4月2日,卡巴斯基實驗室近期披露,數千臺新型Android設備在出廠前即被植入最新變種的Triada木馬,構成嚴重的供應鏈安全威脅。該惡意軟件最早于2016年現身,以其獨特的內存駐留技術規避檢測,此次新變種更展現出深度系統滲透能力。攻擊者通過假冒流行手機型號,在非官方渠道以低價吸引消費者購買已感染的終端設備。2025年3月13日至27日間,僅俄羅斯就有2,600名用戶確認感染。該木馬具備多維度攻擊能力:竊取即時通訊與社交媒體賬戶、篡改加密貨幣錢包地址實施劫持、操控通話路由及短信功能、甚至遠程加載額外惡意程序。其通過偽裝系統進程實現持久化駐留,即便設備重啟仍能維持控制。分析顯示,攻擊者已通過替換錢包地址盜取至少27萬美元加密貨幣,實際損失可能因涉及門羅幣等匿名加密資產而更高??ò退够鶎<彝茰y此次事件系供應鏈環節遭滲透,惡意軟件在設備抵達用戶前即被植入固件,連經銷商都可能蒙在鼓中。為降低風險,安全專家建議消費者僅通過官方授權渠道采購設備,對存疑設備應使用Google官方純凈鏡像或可信開源系統(如LineageOS)進行刷機。


https://www.bleepingcomputer.com/news/security/counterfeit-android-devices-found-preloaded-with-triada-malware/


5. Outlaw僵尸網絡利用SSH漏洞自動傳播,威脅Linux系統安全


4月2日,網絡安全專家近日披露了一個名為Outlaw(又名Dota)的自動化加密貨幣挖礦僵尸網絡,該惡意軟件持續活躍已逾四年,通過SSH暴力破解攻擊和蠕蟲式傳播感染Linux系統。Elastic安全實驗室分析指出,該惡意軟件由羅馬尼亞黑客團體開發,其攻擊鏈始于利用弱密碼的SSH服務器,通過植入自身SSH密鑰建立持久化訪問。攻擊者采用多階段滲透策略,首先通過下載器腳本獲取加密壓縮包,解壓后啟動挖礦程序,并自動清除競爭挖礦進程及自身舊版本。核心組件BLITZ負責掃描脆弱SSH服務,配合暴力破解模塊實現橫向擴散,其目標列表由C2服務器動態更新。值得注意的是,該團伙還利用Dirty COW等歷史漏洞及弱Telnet憑證擴大攻擊面。感染成功后,惡意軟件部署SHELLBOT模塊,通過IRC頻道接收控制指令,可執行任意系統命令、發起DDoS攻擊、竊取敏感數據。為提升挖礦效率,惡意軟件會檢測系統CPU特性并啟用大頁面內存配置,同時維持與攻擊者基礎設施的持續通信。


https://thehackernews.com/2025/04/outlaw-group-uses-ssh-brute-force-to.html


6. 基因數據網站openSNP因隱私風險將關閉并刪除數據


4月2日,基因數據共享平臺openSNP宣布將于2025年4月30日終止服務并全面刪除用戶數據,該決定由聯合創始人Bastian Greshake Tzovaras基于隱私保護與倫理風險考量作出。作為運行14年的開源項目,openSNP致力于推動基因數據民主化,打破商業機構對基因組信息的壟斷,累計存儲了海量用戶自愿提交的基因與表型數據,支撐了多項獨立科研及公共健康研究。項目關閉的直接誘因是23andMe公司破產導致的用戶數據流入斷絕,但更深層原因在于全球數據濫用風險的加劇。Tzovaras指出,當前基因數據被私人法醫機構、執法部門乃至部分政府以偽科學名義不當獲取的風險顯著上升,這與項目啟動時相對寬松的數據倫理環境已發生根本變化。盡管openSNP始終拒絕商業收購并保持數據控制權,但面對不斷演變的隱私威脅和政治環境,團隊認為主動刪除數據是更負責任的選擇。作為開源社區低成本運作的典范,該平臺曾有效促進公眾對基因研究的參與。關閉公告特別提醒用戶,若需保留個人數據副本須在截止日期前自行下載,此后所有公開數據將被永久清除。


https://www.bleepingcomputer.com/news/security/genetic-data-site-opensnp-to-close-and-delete-data-over-privacy-concerns/

上一篇 下一篇