文章总结: 本周全球安全态势聚焦BlackCat勒索案:两名美安全从业者认罪,暴露勒索产业链已渗透“合法服务”环节;RondoDox僵尸网络借React2Shell漏洞自动化挖矿,MongoDB“MongoBleed”被在野利用,Fortinet老洞绕过2FA再遭滥用;Coupang拟赔11.7亿美元、EmEditor官网供应链投毒、AI生成漏洞利用脚本等事件显示数据泄露与AI武器化风险同步升级,假期窗口与遗留系统成高发攻击面。 综合评分: 88 文章分类: 威胁情报,漏洞分析,数据泄露,恶意软件,AI安全
国外:一周网络安全态势回顾之第132期,美安全从业人员承认勒索软件攻击
祺印说信安
2026年1月5日 00:00 河南
以下文章来源于河南等级保护测评 ,作者铸盾安全
河南等级保护测评 .
等级保护,不只是等级测评!一起探讨更全面的等级保护制度! 做对用户有真实价值的网络安全服务,等级保护测评、风险评估、网络安全培训、网络安全咨询、网络安全合规。 传播网络安全知识,分享网络安全政策,共建风清气正的网络安全氛围。
以下是本周新闻:
1、BlackCat勒索软件案件:安全从业者认罪
两名曾从事网络安全谈判与应急响应工作的美国从业者,被证实暗中协助BlackCat/ALPHV勒索软件团伙实施攻击与勒索。案件显示勒索产业链已渗透进“合法安全服务”环节,执法机构正重点打击中介、谈判人和内部协助者,行业信任体系面临冲击。
2、RondoDox僵尸网络利用React2Shell
RondoDox Botnet本周被发现持续扫描并利用React2Shell漏洞,对基于Next.js的服务器实施远程命令执行。攻击以自动化方式部署挖矿和后门组件,表明前端框架漏洞已成为僵尸网络的新入口,开发安全与部署配置问题风险显著上升。
3、Adobe ColdFusion遭大规模扫描
圣诞假期期间针对Adobe ColdFusion的扫描与利用请求激增,涉及多个历史漏洞。攻击呈现高度自动化特征,目标多为未及时修补的互联网暴露服务器,反映假期窗口期仍是漏洞武器化与资产摸排的高发阶段。
4、MongoDB“MongoBleed”漏洞被在野利用
一个高危MongoDB信息泄露漏洞被安全研究人员证实已在真实攻击中使用。攻击者可在无需身份验证的情况下读取内存或敏感数据,部分云部署实例风险尤高。该事件再次凸显数据库默认配置与云暴露面管理的长期隐患。
5、Fortinet老漏洞绕过2FA再被滥用
Fortinet警告称,一个多年前披露的FortiOS身份验证绕过漏洞被重新利用,可绕过双因素认证。攻击者主要针对仍运行旧版本系统的组织,说明“历史漏洞”在现实攻击中仍具长期价值,补丁滞后成为关键风险点。
6、Covenant Health医疗数据泄露
美国医疗机构Covenant Health披露遭Qilin勒索软件攻击,约47.8万名患者的个人与医疗信息受影响。攻击导致系统中断并触发数据泄露,反映医疗行业在勒索软件面前仍高度脆弱,业务连续性与数据保护难以兼顾。
7、Aflac披露2200万人信息泄露
保险巨头Aflac确认一起历史入侵事件影响超过2200万人,涉及姓名、社保号等高敏感信息。事件虽发生在早期,但长期未被完全识别,凸显大型企业在日志留存、威胁检测与事后溯源方面的现实挑战。
8、韩国航空前子公司Oracle EBS被入侵
韩国航空披露,其前子公司系统因Oracle E-Business Suite遭入侵,导致约3万名员工数据泄露。事件表明即便业务剥离,遗留系统与历史账号仍可能成为攻击入口,企业在并购与剥离阶段的安全治理存在明显盲区。
9、Sax会计师事务所延迟披露数据泄露
美国会计师事务所Sax LLP披露一起持续一年以上的数据泄露事件,影响超22万人。攻击长期未被完全察觉,反映专业服务机构在监测能力、事件响应和合规披露方面的不足,也暴露“低频高价值目标”的安全短板。
10、Wired/Condé Nast数据被兜售
黑客在地下论坛声称掌握Wired约230万条数据,并威胁将进一步泄露Condé Nast集团更多记录。事件显示媒体集团的集中式用户数据库已成为高价值目标,且攻击者通过“分批披露”方式持续施压,制造舆论与合规风险。
11、Coupang数据泄露补偿事件
韩国电商Coupang因历史数据泄露事件宣布发放总额约11.7亿美元的补偿券,涉及3300多万用户。该举措凸显亚洲市场对用户信任修复的重视,也反映数据泄露已从“技术问题”演变为重大财务与品牌风险。
12、EmEditor官方网站遭供应链攻击
据报道,流行的文本编辑器EmEditor官方网站遭到未经授权的篡改攻击,攻击者在12月19日至22日期间修改了官网安装程序文件,使访问者下载到嵌入信息窃取恶意软件的安装包。该恶意安装器被数以百万计的开发人员、系统管理员和技术人员下载,由此引发了广泛的供应链安全风险。这种攻击说明即使是较小工具的官方网站一旦遭篡改,也可能对全球用户安全造成巨大影响。
13、威胁行为者利用LLM自动化漏洞利用代码
报道称,威胁行为者正在利用大型语言模型(LLMs)自动生成针对企业软件的漏洞利用代码。这类AI工具原本设计用于提高开发效率,却逐渐被攻击者武器化,用以将抽象漏洞描述转化为可执行的攻击脚本,从而降低了漏洞利用门槛。安全界普遍认为,这一趋势正在改变传统安全假设,即技术复杂性曾长期构成攻击障碍,现在潜在恶意人员可更加轻易地发动高级攻击。
14、CISA警告MongoDB Server漏洞被积极利用
美国网络安全与基础设施安全局(CISA)已将高危MongoDB Server漏洞CVE-2025-14847列入其“已知被利用漏洞”目录,并确认该缺陷已在现实攻击中被利用。该漏洞因处理压缩协议头时的长度参数不当而允许未认证的远程攻击者读取服务器内存中未经初始化的数据。这意味着攻击者无需登录凭证即可窃取敏感内存数据。CISA要求联邦机构在规定期限内修补或停止受影响产品的使用,并建议组织立即部署补丁,以减少数据泄露风险。
15、“MongoBleed”数据库漏洞成年度重大威胁
MongoDB披露的“MongoBleed”漏洞在本周引起安全界极大关注,该漏洞(CVE-2025-14847)被评为高严重性,可让未经认证的攻击者直接从数据库内存中窃取敏感信息。据报道,截至目前全球有数万台MongoDB实例可能暴露于此风险之下。安全研究人员强调,这类预身份验证的内存泄露漏洞不仅影响数据机密性,还可能成为更复杂攻击链的起点,因此相关组织必须优先修复。
16、针对以色列安全从业人员的新型鱼叉式钓鱼攻击
以色列国家网络局发布紧急警告,指出一波定向鱼叉式钓鱼攻击正针对在安全和防务领域工作的专业人士展开。攻击者通过伪装成可信组织的WhatsApp消息发送虚假会议邀请,并附带缩短链接,诱骗目标访问伪造的钓鱼网站以收集个人和职业敏感信息。此次攻击显示出明显的精心策划痕迹,表明威胁行为者正在利用社交平台与信任机制来提升攻击成功率。
17、DarkSpectre活动长时间感染近880万浏览器用户
最新研究揭示名为DarkSpectre的黑客组织通过长期协调的恶意软件活动,感染了约880万用户的Chrome、Edge和Firefox浏览器。这波感染行动持续长达七年之久,显示出攻击者在浏览器生态中持续隐蔽行动的能力,利用多次的恶意活动在全球浏览器用户中建立了广泛的感染基础。研究人员认为,这类大规模攻击可能长期被忽视,强调对长期恶意活动的持续监测必要性。
18、NeuroSploitv2:AI驱动的渗透测试工具发布
一款名为NeuroSploitv2的AI驱动渗透测试框架,其集成了Claude、GPT和Gemini等大型语言模型,可以自动化许多安全测试操作。该工具旨在提高漏洞检测与渗透测试的效率,但同时也引发了安全讨论,即此类自动化攻击性工具一旦落入恶意行为者手中,可能加速攻击脚本开发与漏洞滥用。AI在安全攻防双方的应用趋势正在快速演进。
19、ESET警告AI驱动恶意软件与勒索经济快速增长
安全厂商ESET发布警告称,人工智能驱动的恶意软件攻击已从理论阶段进入操作阶段,同时勒索软件经济正在迅速扩张。此次报告强调,AI技术已被威胁行为者用于加速恶意软件开发、规避检测和定制复杂攻击手法,而勒索软件团伙利用这些能力在全球范围内加剧破坏性攻击。这表明安全防御体系需要重新评估AI应用风险与安全对策。
美网络安全从业人员承认参与勒索软件攻击
美国司法部本周宣布,两名来自美国的网络安全从业人员已就其在BlackCat(又称ALPHV)勒索软件攻击活动中所扮演的角色正式认罪。
今年10月,美国检方起诉了三名涉嫌对多家美国公司发动勒索软件攻击的嫌疑人。其中两人分别为36岁的德克萨斯州居民凯文·马丁(Kevin Martin) 以及另一名身份尚未公开的人员,两人均曾受雇于威胁情报与事件响应公司DigitalMint,在公司内担任勒索软件谈判专员。第三名嫌疑人是40岁的佐治亚州居民Ryan Goldberg,其曾在网络安全公司Sygnia担任事件响应经理。
检方指控称,这三名嫌疑人非法入侵多家企业的信息系统,窃取敏感和有价值的数据,并在受害网络中部署BlackCat勒索软件,导致多家企业运营中断。
根据美国司法部披露的细节,三人作为BlackCat勒索软件组织的关联成员,与该团伙的核心运营方存在分成关系。他们需将从受害者处获得的赎金中20%上交给勒索软件管理员,以换取对加密恶意软件以及用于管理勒索行动的平台的使用权限。
司法部称,这三名嫌疑人至少从一名受害者处收取了价值约120万美元的比特币赎金。目前,戈德堡和马丁已承认 串谋敲诈勒索罪,他们因利用勒索软件攻击瘫痪多家企业运营而面临最高20年监禁,量刑听证会定于2026年3月12日 举行。
调查显示,在2021年11月至2023年12月 期间,超过1000家机构 成为 BlackCat勒索软件攻击的受害者。该勒索软件团伙最终在执法行动中被瓦解,但其残余成员在随后数月内仍持续活动,直至从Change Healthcare公司获得2200万美元赎金后彻底消失。
自2024年初起,美国政府已悬赏1000万美元,征集有关BlackCat勒索软件组织关键成员的信息,但截至目前尚未公布新的刑事指控。
值得注意的是,此次认罪消息公布的时间,正值乌克兰公民阿尔乔姆·斯特里扎克(Artem Stryzhak) 在美国法院承认其作为Nefilim勒索软件关联者参与犯罪活动相关指控的数日之后,显示美国执法部门正持续加大对勒索软件生态链的打击力度。
—往期回顾 —
2025收集更新信通院白皮书系列合集(665个)下载
——等级保护
数据安全风险评估培训杂谈
打破“一考定终身”测评师迎来严峻挑战
欲等保定级先数据分类分级
2025公安部网安局等保工作最新要求逐条解析
公网安〔2025〕1846号文:风险隐患及工作方案释疑浅谈
公网安〔2025〕1846号文:数据摸底调查释疑浅谈
公网安〔2025〕1846号文:第五级网络系统释疑浅谈
公网安〔2025〕1846号文:定级备案的最新释疑浅谈
关于25年定级备案公安部网安局释疑的一点浅谈
公网安〔2025】1846号关于对网络安全等级保护有关工作事项进一步说明的函
新等保测评真的取消打分了吗?一点杂谈!
新定级备案模板明确数据安全纳入等级保护体系
等保定级新模板新要求,2025定级工作新变化
2025新形势下新等保备案如何开展
测评机构老板与销售注意:浅谈测评机构如何更好的满足属地网安监管?
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
河南省新规定测评与密评预算再调低
四川省等级测评与商密评估预算计算方法
广西壮族自治区等级测评与商密评估预算为几何?
黑龙江财政关于等级测评与商密评估预算为几何?
和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》
和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》
与Deepseek一起谈开展等级测评的必要性!
——数据安全
《网络数据安全管理条例》解读
跟着DAMA专家看数据管理的未来
市场监管总局印发《网络交易合规数据报送管理暂行办法》
数据安全知识:什么是数据安全?
网警提醒 | 3.31世界备份日:重视你的数据安全
网络和数据安全合规:15部门发布指导意见助力中小企业全面合规
数码复印机数据安全:企业指南
《数据安全法》中有关数据安全保护的法律义务
——错与罚
江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万
网络安全无小事!某企业因疏于防护被依法查处
江苏灌南农商行因违反数据安全管理规定等被罚97.5万
网安企业“内鬼”监守自盗,窃取个人信息2.08亿条
郑州3家公司未履行网络安全保护义务被网信部门约谈
25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚
驻马店市委网信办就网络安全问题依法约谈相关责任单位
两家银行因数据安全相关问题,被罚款
河北保定竞秀区委网信办依法约谈网站负责人
贵港市网信办公布2起网络安全违法违规典型案例
公安机关依法严厉打击侵犯公民个人信息犯罪,10起典型案例公布
重庆网信部门近期就企业违法违规情况开展多起约谈与处罚
新华社:中国电信、中国移动、中国联通,集体回应!
重庆网信部门就一企业系统遭境外组织攻击,开展联合公安约谈
——其他
浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案
精彩回顾:祺印说信安2024之前
祺印说信安2024年一年回顾
网警提醒 | 3.31世界备份日:重视你的数据安全
网络安全知识:什么是技术债务?
网络安全知识:网络威胁情报解析
5月1日起,《国家秘密定密管理规定》正式施行
黑客攻击远程服务器十大弱口令
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:祺印说信安 《国外:一周网络安全态势回顾之第132期,美安全从业人员承认勒索软件攻击》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论