首頁 > 安全研究 > 安全通報 > 安全簡訊

SK Telecom 2700萬用戶數據泄露,惡意軟件潛伏近三年

發布時間 2025-05-21

1. SK Telecom 2700萬用戶數據泄露,惡意軟件潛伏近三年


5月20日,SK Telecom是韓國最大的移動網絡運營商,占據約一半市場份額。該公司近日披露,2025年4月19日在其網絡上檢測到惡意軟件,并隔離疑似被黑客入侵的設備。此次事件最早可追溯至2022年,最終導致2700萬用戶的USIM數據泄露。攻擊者竊取了包括IMSI、USIM認證密鑰、網絡使用數據及存儲在SIM卡中的短信和聯系人等數據,增加了SIM卡交換攻擊的風險。為此,SK Telecom決定為所有用戶發放SIM卡替換件,并加強安全措施以防止未經授權的號碼移植。2025年5月8日,政府委員會宣布惡意軟件感染危及25種數據類型。當時SK Telecom宣布停止接受新用戶以應對后果。SK Telecom最新消息稱將很快通知2695萬受影響的客戶其敏感數據泄露。該公司提到在23臺受感染服務器中發現25種不同惡意軟件類型,入侵程度超出最初預期。與此同時,公私聯合調查小組對SK Telecom的30000臺Linux服務器檢查后稱,最初Web Shell感染發生在2022年6月15日,意味著惡意軟件在近三年時間里未被發現,攻擊者在23臺服務器上植入多個有效載荷。調查聲稱15臺受感染服務器含個人客戶信息,包括291831個IMEI號碼,但SK Telecom否認。調查小組還指出,SK Telecom于2024年12月3日才開始記錄受影響服務器活動,因此此前可能發生的數據泄露無法被檢測到。


https://www.bleepingcomputer.com/news/security/sk-telecom-says-malware-breach-lasted-3-years-impacted-27-million-numbers/


2. Hazy Hawk團伙利用DNS配置錯誤劫持受信任域名


5月20日,被追蹤為“Hazy Hawk”的威脅行為者正利用被遺忘的DNS CNAME記錄實施網絡攻擊。該威脅行為者劫持指向廢棄云服務的CNAME記錄,接管政府、大學和財富500強公司等機構的受信任子域,用于分發詐騙、虛假應用程序和惡意廣告。Infoblox研究人員指出,Hazy Hawk首先掃描CNAME記錄指向廢棄云端點的域,并通過被動DNS數據驗證確定這些域,然后注冊與廢棄CNAME中名稱相同的新云資源,使原始域的子域解析到威脅行為者的新云托管站點。借助這一技術,Hazy Hawk劫持了多個知名域名,如美國疾病控制與預防中心的cdc.gov、跨國企業集團honeywell.com等??刂谱佑蛎?,威脅行為者生成數百個惡意URL,因父域名信任度高,這些URL在搜索引擎中看似合法。受害者點擊URL后,會被重定向到多層域名和TDS基礎設施,這些設施會根據設備類型、IP地址等信息分析受害者身份。Infoblox報告稱,這些網站被用于技術支持詐騙、虛假防病毒警報、虛假流媒體/色情網站和網絡釣魚頁面。此外,受騙用戶即使離開詐騙網站,仍會因允許瀏覽器推送通知而收到持續警報,為Hazy Hawk帶來可觀收入。


https://www.bleepingcomputer.com/news/security/hazy-hawk-gang-exploits-dns-misconfigs-to-hijack-trusted-domains/


3. RVTools遭遇供應鏈攻擊,傳播Bumblebee惡意軟件


5月20日,近日,RVTools VMware管理工具遭遇供應鏈攻擊,該工具最初由Robware開發,現歸戴爾所有,是VMware管理員常用工具。攻擊事件引發廣泛關注,戴爾于2025年5月20日發布聲明,稱惡意RVTools安裝程序并非從其官方網站分發,而是來自虛假域名,同時其管理的Robware.net和RVTools.com網站因遭受DDoS攻擊而下線。此前,ZeroDay Labs研究員Aidan Leon在Reddit上發帖稱,從RVTools網站下載的文件被植入Bumblebee惡意軟件加載器,文件哈希值與實際下載的不匹配,下載版本明顯更大且包含惡意文件。經進一步調查,這一攻擊行為被證實。Bumblebee是一種通過SEO中毒、惡意廣告和網絡釣魚攻擊推廣的惡意軟件加載器,安裝后會在受感染設備上下載并執行其他惡意有效負載,如Cobalt Strike信標、信息竊取程序和勒索軟件等,且與Conti勒索軟件行動有關。網絡安全公司Arctic Wolf也報告發現被木馬感染的RVTools安裝程序通過惡意域名搶注傳播,該域名與合法域名相似,僅頂級域名不同。此外,還有針對RVTools品牌的SEO中毒和惡意廣告活動,旨在誘騙用戶下載惡意安裝程序。


https://www.bleepingcomputer.com/news/security/rvtools-hit-in-supply-chain-attack-to-deliver-bumblebee-malware/


4. 俄亥俄州凱特琳健康中心遭網絡攻擊導致系統中斷


5月21日,俄亥俄州凱特琳健康中心旗下醫院與醫療設施近日遭受網絡攻擊,導致全系統技術中斷。凱特琳健康中心自稱是一個基于信仰的基督復臨安息日會系統,主要在代頓地區運營多個醫療中心和診所,每年處理大量急診室就診。該非營利性醫院網絡發言人表示,目前正在經歷因未經授權訪問而引發的網絡安全事件,事件始于周二早上,限制了工作人員訪問部分患者護理系統的能力。凱特琳醫療中心已采取措施遏制和緩解此類活動,并積極調查和監測情況,同時取消并重新安排了周二的住院和門診擇期手術。此次攻擊還導致該醫院網絡的呼叫中心癱瘓。不過,所有急診室和診所仍保持開放,繼續接受患者診治。發言人未就醫院網絡是否遭受勒索軟件攻擊的問題作出回應,但據CNN報道,醫院網絡IT工作人員發現一張據稱來自Interlock勒索軟件團伙的勒索信。該團伙上個月曾關閉透析治療公司DaVita的網絡,此前還攻擊過德克薩斯理工大學健康科學中心及其埃爾帕索分校。


https://therecord.media/kettering-health-system-ohio-cyberattack


5. Cellcom確認網絡攻擊是造成長時間中斷的原因


5月20日,威斯康星州無線服務提供商Cellcom已確認,2025年5月14日晚開始的大面積服務中斷是由網絡攻擊導致的。此次事件影響了威斯康星州和密歇根州北部地區的客戶,導致他們的語音和短信服務中斷,無法撥打電話或發送短信。Cellcom首席執行官Brighid Riordan在近日證實了網絡攻擊的事實,并表示公司已制定應對此類情況的規程和計劃。事件發生后,Cellcom嚴格遵循計劃,包括聘請外部網絡安全專家、通知聯邦調查局和威斯康星州官員,并全力以赴確保系統安全恢復上線。Cellcom強調,此次攻擊發生在公司網絡的一個區域,與存儲用戶敏感信息的區域不同,且沒有證據表明用戶個人信息受到影響。最初,Cellcom聲稱中斷是由技術問題引起的,并表示部分數據服務仍在運行。然而,由于平臺出現問題,用戶對服務中斷和無法移植號碼感到沮喪。5月19日,Cellcom開始恢復部分服務,包括短信以及撥打和接聽其他Cellcom用戶的電話。盡管無法保證何時全面恢復服務,但公司正努力在本周末前實現這一目標。


https://www.bleepingcomputer.com/news/security/mobile-carrier-cellcom-confirms-cyberattack-behind-extended-outages/


6. SideWinder APT組織精準攻擊南亞多國政府機構


5月20日,斯里蘭卡、孟加拉國與巴基斯坦的高級別政府機構近期成為APT組織SideWinder新一輪攻擊的重點。攻擊者運用魚叉式釣魚郵件結合地理圍欄技術,確保惡意載荷僅針對特定國家目標。攻擊鏈通過誘餌文檔激活,最終部署StealerBot惡意軟件,手法與SideWinder此前活動特征相符。此次攻擊瞄準南亞多國關鍵部門,如孟加拉國電信監管委員會、國防部、財政部,巴基斯坦本土技術發展局,以及斯里蘭卡外債管理局、國防部、中央銀行等。攻擊者利用微軟Office中的歷史漏洞CVE-2017-0199與CVE-2017-11882作為初始攻擊媒介,部署具備持久化訪問能力的惡意程序。惡意文檔觸發CVE-2017-0199漏洞后,通過DLL側載技術釋放后續載荷,而地理圍欄技術則確保僅預設國家范圍內的受害者會收到實際惡意RTF文件,該文件利用公式編輯器漏洞CVE-2017-11882觸發內存破壞,執行基于shellcode的加載器以運行StealerBot。StealerBot作為模塊化植入程序,能夠竊取屏幕截圖、鍵盤記錄、密碼、文件等敏感數據。


https://thehackernews.com/2025/05/south-asian-ministries-hit-by.html

上一篇 下一篇