2026-01-09 03:10:33 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周安全快报汇总多起全球网络攻击事件。俄黑客利用Viber向乌克兰军队投递RemcosRAT；ESA被窃取200GB敏感数据；透明部落针对印度政府植入RAT；Rondox僵尸网络利用React2Shell漏洞劫持IoT设备。医疗与保险行业遭重创，CovenantHealth、Aflac等机构遭勒索，致数百万患者信息泄露。 综合评分： 65 文章分类： 威胁情报,数据泄露,安全大事件,漏洞预警,应急响应

cover_image

安全快报 | 与俄罗斯结盟的黑客组织利用Viber消息平台入侵乌克兰军队和政府网络实体

天懋信息

2026年1月8日 11:35 广东

本周安全事件速览

01月01日-01月07日

与俄罗斯结盟的黑客组织利用Viber消息平台入侵乌克兰军队和政府网络实体

简要介绍

据报道，与俄罗斯结盟的黑客组织UAC-0184利用Viber消息平台针对乌克兰军方和政府网络实体发送恶意ZIP压缩包。该黑客组织也被称为Hive0156，主要以利用带有战争主题的钓鱼邮件诱饵，向乌克兰境内网络实体实施Hijack Loader攻击而闻名。恶意软件加载器随后成为Remcos RAT感染的路径，该攻击链涉及利用Viber作为初始入侵载体，分发包含多个Windows快捷方式（LNK）文件的恶意ZIP压缩包，伪装成官方Microsoft Word和Excel文档，诱使接收者打开这些文件。LNK文件设计用于向受害者提供一个诱饵文档以降低其被怀疑的可能，同时通过PowerShell脚本从远程服务器获取第二个ZIP压缩包，并在后台执行Hijack Loader。该攻击通过多阶段过程在内存中重建并部署劫持加载器，采用DLL侧载和模块踩踏等技术，以规避安全工具的检测。

文章来源：The Hacker News

黑客声称已窃取欧洲航天局超过200GB敏感内部数据

简要介绍

一名化名888的黑客声称对欧洲航天局（ESA）重大数据泄露事件负责，超过200GB的内部数据在DarkForums被指控遭到窃取，该事件导致其私人开发和文献资产被全面撤出。根据帖子报道，数据包括私有Bitbucket仓库、内部文档、基础设施定义以及敏感凭证。黑客分享的截图显示，这些环境似乎与ESA相关的内部环境。其中一张图片显示了一个配置文件，引用了PSA摄取工作流程、内部主机结尾、SMTP设置以及数据库连接详情。另一张截图显示了内部技术文件，标记为专有和机密，包括带有Thales Alenia Space内部通知和空客防务与航天品牌的文件。这些文件包括航天器参考框架、子系统描述以及通常仅限合作伙伴和内部团队使用的详细工程图。这些文件以官方交付物的形式出现，标注参考编号、发行日期和页数。

文章来源：Hack Read

黑客组织针对印度政府和学术界网络实体发起新一轮远程木马入侵

简要介绍

名为透明部落的黑客被归因于一系列针对印度政府、学术和战略网络实体的新一轮攻击有关，利用远程访问木马（RAT）使他们能够持续控制被攻破的主机。CYFIRMA在一份技术报告中表示：“该活动采用了欺骗性的传递手段，包括伪装成合法PDF文档并嵌入完整PDF内容的武器化Windows快捷方式（LNK）文件，以规避用户怀疑。”透明部落也被称为APT36，是一个黑客组织，以对印第安组织发动网络间谍活动而闻名。近年来透明部落使用的木马包括CapraRAT、Crimson RAT、ElizaRAT和DeskRAT等。最新一轮攻击始于一封鱼叉式钓鱼邮件，邮件中包含一个ZIP压缩包和一个伪装成PDF的LNK文件。打开文件会触发使用“mshta.exe”的远程HTML应用程序（HTA）脚本，解密并直接加载最终的RAT负载到内存中。同时，HTA下载并打开一份诱饵PDF文件，以避免引起用户怀疑。

文章来源：The Hacker News

多国大量物联网设备和网页服务器遭僵尸网络利用React2Shell关键漏洞劫持

简要介绍

网络安全研究人员披露了一项持续九个月的网络攻击活动，其目标是物联网（IoT）设备和网络应用，试图将其纳入名为Rondox的僵尸网络。截至2025年12月，CloudSEK在分析中指出，该活动利用最近披露的React2Shell（CVE-2025-55182，CVSS评分：10.0）漏洞作为初始访问向量，React2Shell是指React服务器组件（RSC）和Next.js中一个关键的安全漏洞，该漏洞可能允许未经认证的攻击者在易受攻击的设备上实现远程代码执行。根据Shadowserver基金会的统计数据，截至2025年12月31日，仍有约90,300个实例仍易受该漏洞影响，其中68,400个实例位于美国，其次是德国（4,300个）、法国（2,800个）和印度（1,500个）。RondoDox于2025年初出现，通过新增N日安全漏洞（包括CVE-2023-1389 和CVE-2025-24893）扩大了其规模。

文章来源：The Hacker News

美国天主教医疗机构Covenant Health通告约48万名患者健康信息遭勒索组织窃取

简要介绍

近48万名服务于新英格兰及宾夕法尼亚部分地区的天主教医疗网络患者收到通知，称黑客可能在2025年5月窃取了他们的健康信息。勒索软件团伙Qilin声称去年春天对总部位于马萨诸塞州的Covenant Health发动了攻击，该卫生网络表示此次泄露影响了约48万人。Covenant表示，他们于5月26日意识到影响整个组织连接的异常情况。为遏制事件，Covenant表示立即停止外部访问其医院、诊所和医疗机构的所有数据系统。麒麟声称窃取了852GB的数据，勒索软件监控网站Ransomware.live此前截获了麒麟对Covenant上线的截图。可能受影响的信息包括患者姓名、地址、出生日期、医疗记录号码、社会保障号码、健康保险信息及治疗信息，如诊断、治疗日期和治疗类型。

文章来源：Bank Info Security

新西兰政府调查一起影响医疗服务提供商约12.6万人信息泄露的黑客勒索事件

简要介绍

新西兰政府正在调查一起年终针对私人医疗服务提供商Manage My Health的勒索软件攻击，该事件影响了数千名患者。数字勒索组织Kazu已宣称对此负责，并威胁若不支付6万美元赎金，将于1月15日泄露数据。Manage My Health是一个在线门户网站，已有超过185万新西兰人用于预约医疗预约以及获取健康记录和处方。Kazu声称窃取了4.15TB的数据，相当于700多个文件。该公司承认黑客入侵其网络，并估计此次泄露影响了7%的客户，约12.6万人。该公司表示，黑客并未入侵其核心患者数据库。据1News报道，政府的初步评估确定该事件未影响新西兰卫生系统的运作。据悉，Manage My Health使用了弱域加密和终端安全。其基于域的消息认证、报告和合规功能仅启用了监控功能，这意味着它记录了伪造尝试，但未采取反制措施。

文章来源：Bank Info Security

美国最大的补充健康保险提供商Aflac通告约2,270万人敏感信息疑遭泄露

简要介绍

美国最大的补充健康保险提供商Aflac正在通知约2,270万人的敏感健康和个人信息（包括社会保障号码）在六月的数据盗窃事件中可能被泄露。Aflac对此次泄露受影响人数的统计尚未公布在美国卫生与公共服务部HIPAA泄露报告工具网站上。Aflac于8月向HHS民权办公室提交了一份关于该事件的HIPAA泄露报告，暂时估计有500人受影响。当HHS的OCR网站更新为Aflac最新估计的2,265万人时，这起黑客事件很可能成为2025年向美国联邦监管机构报告的最大健康数据泄露事件。安全研究人员曾推测，网络犯罪团伙Scattered Spider是对Aflac以及去年同期遭受袭击的其他几家大型保险公司的幕后黑手。Aflac在泄露通知中表示，2025年6月12日，其在美国业务中检测到部分系统存在可疑活动，但安全事件在数小时内被控制住了。

文章来源：Bank Info Security

全球理赔管理和风险服务提供商Sedgwick遭勒索软件组织窃取3.4GB数据

简要介绍

Sedgwick是一家领先的全球理赔管理和风险服务提供商，专注于保险和风险解决方案领域。Sedgwick证实了一起影响其联邦承包子公司Sedgwick Government Solutions的网络安全事件，此前TridentLocker勒索软件组织声称在除夕夜窃取了3.4GB的数据。该公司为美国联邦机构处理理赔和风险管理，包括国土安全部（DHS）、移民美国移民局（ICE）、边境边境保护局（CBP）、美国公民及移民服务局（USCIS）、劳工部（DOL）和移民与统计局（CISA）。Sedgwick立即启动了事件响应协议，并得到外部网络安全专家的支持。公司正在调查事件的范围。公司强调，Sedgwick政府解决方案与其他Sedgwick业务分隔开来，确保不会影响更广泛的系统或数据。据悉，没有证据显示有人访问理赔管理服务器，该事件也没有影响Sedgwick政府解决方案继续为客户提供服务的能力。

文章来源：Security Affairs

往期回顾：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天懋信息《安全快报 | 与俄罗斯结盟的黑客组织利用Viber消息平台入侵乌克兰军队和政府网络实体》