首頁 > 安全研究 > 安全通報 > 安全簡訊

新斯科舍電力公司確認遭勒索攻擊,28萬用戶數據泄露

發布時間 2025-05-27

1. 新斯科舍電力公司確認遭勒索攻擊,28萬用戶數據泄露


5月26日,加拿大新斯科舍電力公司于5月23日披露,其遭遇的網絡安全事件被確認為“高度復雜的勒索軟件攻擊”。此次事件始于3月19日,攻擊者通過未授權系統訪問,最終竊取了約28萬名客戶(占該省55萬用戶總數的51%)的敏感數據。被泄露信息涵蓋多個方面:個人身份信息,如姓名、出生日期等;財務數據,包括預授權支付賬戶的銀行賬號等;政府證件信息,像駕照號碼、社會保險號碼;以及能源使用細節,如用電量數據、服務請求記錄等。盡管攻擊者侵入商業網絡系統,但電力公司核心基礎設施,如發電、輸電等未受影響。該公司分別在4月28日與母公司聯合發布首次安全通告,5月1日確認數據遭竊,5月14日起陸續向受影響客戶發送通知信。攻擊者已將被盜數據發布于暗網,不過截至5月27日,尚未有勒索組織宣稱對此負責。新斯科舍電力公司總裁彼得·格雷格表示,公司嚴格遵循法規和執法部門建議,不支付贖金。目前該公司正與第三方網絡安全專家合作,評估數據泄露范圍,并為受影響客戶提供為期兩年的TransUnion信用監控服務。能源監管機構也已啟動事件審查程序。


https://www.securityweek.com/nova-scotia-power-confirms-ransomware-attack-280k-notified-of-data-breach/


2. 歐洲Elit Avia遭Qilin勒索攻擊,機組信息泄露


5月26日,近日,歐洲私人飛機運營商Elit Avia被曝出現在勒索軟件團伙Qilin的暗網泄露站點。攻擊者聲稱竊取了Elit Avia的數據,并公開了機組人員的護照信息等文件。Elit Avia總部位于歐洲,成立于2006年,主營飛機管理、包機服務及高端商務機銷售。Qilin在暗網發布的帖子包含多張機組人員護照截圖及飛行任務文件,不過并未涉及客戶信息。網絡安全研究團隊分析指出,從現有泄露內容來看,尚未顯示出存在重大數據漏洞,但目前仍無法確認攻擊者實際竊取的數據規模。研究團隊警告稱,機組人員護照信息等敏感數據外泄,會使員工面臨釣魚攻擊、身份盜用等諸多風險。目前,Elit Avia尚未對此事件作出回應,而Qilin團伙則通過公開受害者信息的方式,向企業施壓以支付贖金。該團伙自2022年活躍至今,在過去12個月里累計攻擊了至少312家機構。


https://cybernews.com/security/private-charter-ransomware-attack-data-leaked/


3. Stormous團伙泄露多家法國政府機構的電子郵件和密碼


5月26日,知名勒索軟件團伙Stormous在暗網論壇發布大量據稱屬于法國政府機構及組織的電子郵件與密碼數據,并聲稱此次泄露涉及“法國政府重要部門全面數據”。然而,網絡安全研究團隊調查發現,盡管數據集包含部分真實信息,但其質量存疑。泄露數據中的密碼采用已被認為脆弱的MD5哈希算法加密,研究人員推測這可能是早期安全標準不完善時期的歷史數據。若數據屬實,攻擊者可能利用這些信息實施精準釣魚攻擊,如冒充政府機構索要敏感信息,甚至通過破解哈希值獲取系統訪問權限,特別是當相關機構存在密碼復用或弱口令問題時,風險將進一步加劇。被曝光的機構名單涵蓋法國開發署、巴黎大區衛生局、家庭津貼基金等多個部門及機構,不同機構泄露的郵箱數量差異顯著。聯系法國國家網絡安全局(ANSSI)置評,但目前尚未獲得回復。


https://cybernews.com/security/french-government-email-data-leak/


4. GhostSpy:高級Android RAT竊取銀行信息并繞過安全措施


5月27日,網絡安全公司CYFIRMA研究人員發現一款名為GhostSpy的高度先進安卓遠程訪問木馬,該惡意軟件展現了移動端間諜軟件的進化程度。GhostSpy攻擊始于具有欺騙性的初始安裝包,濫用安卓無障礙服務和UI自動化功能,暗中加載次級有效載荷,并通過模擬用戶點擊操作自動授予自身所有所需權限,繞過人工交互環節。一旦安裝成功,GhostSpy就轉變為功能完備的監控工具,能記錄鍵盤輸入、截取屏幕活動、獲取攝像頭和麥克風數據流、實時監控GPS定位信息以及執行遠程指令,包括設備擦除。為維持長期駐留,GhostSpy采用多種規避手段,如濫用設備管理API、阻止系統卸載嘗試,并通過全屏覆蓋層限制用戶操作,在用戶嘗試卸載時顯示虛假警告。此外,GhostSpy還能繞過銀行和安全應用的截圖保護機制,竊取敏感信息。該惡意軟件連接至活躍的C2服務器,已確認的節點包括多個網址和IP地址,盡管部分服務器已下線,但研究人員發現多個備用端口和域名,表明其仍在積極開發和廣泛使用。開源情報數據將GhostSpy與巴西黑客組織相關聯,相關Telegram頻道和YouTube頻道進一步佐證了這一關聯。


https://securityonline.info/ghostspy-advanced-android-rat-steals-banking-info-bypasses-security/


5. Ghostscript漏洞導致加密PDF文件泄露明文密碼


5月25日,廣泛應用的PDF與PostScript處理器Artifex Ghostscript曝出CVE-2025-48708漏洞,該漏洞或致明文密碼意外嵌入加密PDF,威脅用戶數據安全,10.05.1之前版本均受影響。漏洞起因于base/gslibctx.c中gs_lib_ctx_stash_sanitized_arg函數參數清理不徹底,Ghostscript在生成密碼保護PDF時未清除敏感值,如UserPassword和OwnerPassword,致使完整命令行(含密碼)被嵌入PDF文件起始處。安全研究員Vasileios Flengas在Windows 10上測試時發現此問題,指出含明文密碼的完整命令行被嵌入生成PDF的開頭。重現該漏洞極為簡便,從官方GitHub安裝Ghostscript,運行含密碼命令生成PDF,再用文本查看器打開即可見未加密的明文密碼。Ghostscript已在10.05.1版本發布補丁,通過在嵌入元數據前清理命令行輸入來修復漏洞。企業和用戶應盡快更新至最新版本,以保障數據安全,規避因使用含漏洞舊版本而引發的數據泄露風險。


https://securityonline.info/ghostscript-flaw-leaks-plaintext-passwords-in-encrypted-pdfs/


6. TikTok現AI視頻新威脅:誘騙執行命令傳播竊密軟件


5月24日,趨勢科技最新研究揭示,TikTok平臺正面臨一種新型AI驅動的社交工程攻擊威脅。黑客利用TikTok的廣泛傳播特性,通過AI生成看似無害的視頻教程,誘騙用戶執行惡意PowerShell命令,從而傳播Vidar和StealC等復雜的信息竊取惡意軟件。攻擊始于@gitallowed、@zane.houghton和@sysglow.wow等TikTok賬號分享的匿名教程視頻,這些視頻指導觀眾激活軟件,但實際會引導用戶執行特定PowerShell命令,如下載并運行遠程腳本。該腳本會啟動一個隱蔽且持久的惡意軟件投放鏈,包括在APPDATA和LOCALAPPDATA創建隱藏目錄、添加到Windows Defender排除列表、下載二級有效載荷(通常是Vidar或StealC)以及獲取最終持久化腳本,使惡意軟件能在系統重啟后繼續運行,并刪除日志和臨時文件夾以掩蓋證據。趨勢科技強調,腳本采用重試邏輯確保有效載荷成功下載,并以隱藏的提升權限進程啟動惡意軟件可執行文件。此外,惡意軟件激活后還會利用新型規避技術與命令控制(C&C)服務器通信,如Vidar濫用Steam和Telegram等合法服務作為死投解析器隱藏真實服務器地址。


https://securityonline.info/ai-generated-malware-tiktok-videos-push-infostealers-with-powershell-commands/

上一篇 下一篇