文章总结： 新型Osiris勒索软件利用POORTRY驱动程序实施BYOVD攻击以禁用安全软件，攻击者可能关联INC团伙；美国医疗厂商Veradigm因泄露200万患者数据支付7300万元和解；攻击者滥用SharePoint发起中间人钓鱼攻击渗透能源行业；思科统一通信产品零日漏洞CVE-2026-20045遭野外利用；研究显示单次SaaS数据泄露平均成本达136.5万美元；Fortinet警告新攻击可绕过已修补设备的SSO认证；欧盟拟更新《网络安全法》建立强制ICT供应链安全框架；GNUtelnetd存在11年的高危漏洞CVE-2026-24061可无需密码获取根权限；俄罗斯沙虫组织使用DynoWiper擦除软件攻击波兰电力系统；UnderArmour疑遭泄露7200万客户记录。 综合评分： 82 文章分类： 勒索软件,漏洞分析,数据泄露,威胁情报,安全建设

新型Osiris勒索软件采用POORTRY驱动攻击安全软件，企业终端防护面临高级别对抗威胁

汇能云安全

2026年1月27日 10:18 广东

01月27日，星期二，您好！中科汇能与您分享信息安全快讯：

01

新型Osiris勒索软件采用POORTRY驱动攻击安全软件，企业终端防护面临高级别对抗威胁

网络安全研究人员披露了针对东南亚大型企业的新型勒索软件“Osiris”。该勒索软件在攻击中利用了一个名为POORTRY的恶意驱动程序，实施“自带漏洞驱动”攻击。这种技术旨在直接禁用受害主机上的终端安全软件，为勒索软件部署扫清障碍。攻击者在加密前还利用Rclone等工具窃取数据至云存储桶，并使用了包括定制版远程桌面工具在内的多种实用程序进行横向移动。

此次攻击标志着勒索软件战术的持续升级。BYOVD攻击滥用驱动程序的高权限来对抗安全软件，使得传统依赖特征码检测的终端防护极易失效。更值得警惕的是，初步分析显示攻击者可能与另一知名勒索软件团伙INC存在关联。这种工具、手法的交叉与共享，意味着防御方面对的可能是一个技术娴熟、资源充足且不断进化的犯罪生态。事件表明在高级持续性威胁面前，仅依赖单点防护的不足，企业必须建立覆盖终端、网络和数据的纵深防御与实时监测体系。

02

美国医疗软件厂商泄露200余万患者数据，支付超7300万元达成和解

美国医疗科技公司Veradigm Inc.（前身为Allscripts）同意支付1050万美元（约合人民币7311万元），就一起涉及超200万患者数据的泄露事件达成集体诉讼和解。该公司为医疗机构提供电子病历等软件，2024年12月其网络遭入侵，患者姓名、联系方式、出生日期、健康记录、保险理赔乃至社会安全号码等敏感信息可能被盗。诉讼指控该公司因未能实施合理的网络安全措施而存在过失。

此次天价和解再次表明医疗数据泄露的沉重代价。泄露的数据类型极其敏感，不仅使受害者面临精准诈骗、身份盗窃的长期风险，也严重违反了《健康保险可携性和责任法案》等法规。对于Veradigm而言，除直接经济损失外，其作为医疗行业关键软件供应商的声誉和客户信任也遭受重创。该案例为所有处理敏感健康信息的机构敲响警钟：保护患者数据不仅是法律义务，疏于防护将引发巨额赔偿与品牌危机，强化数据安全是必不可少的运营成本。

03

攻击者滥用SharePoint发起中间人钓鱼攻击，能源行业企业邮箱遭大规模渗透

微软威胁情报团队揭露了一场针对能源行业的复杂中间人钓鱼攻击。攻击者首先攻陷了一家可信供应商的邮箱，随后通过发送看似合法的SharePoint文件共享链接发起钓鱼。当受害者点击链接并在高度仿真的假登录页面输入凭证时，其会话Cookie即被窃取。攻击者利用这些凭证接管账户，设置邮件规则隐藏行迹，并以此为据点，向组织内外部联系人发送了超过600封钓鱼邮件，意图扩大战果。

此类AiTM攻击危害极大，因为它能绕过多因素认证。攻击者获取会话Cookie后，即使密码被修改，仍能维持登录状态。在此次事件中，攻击者展现出高度的自动化与隐蔽性，通过监控和清理邮箱、冒充真人回应质疑等手段，实现了长期潜伏与横向移动。对于能源等关键基础设施行业，企业邮箱被渗透不仅可能导致商业机密、运营数据泄露，更可能被用于进一步的社会工程攻击，危及整个供应链安全，防御此类威胁需着重于实时会话监控与异常登录检测。

04

思科统一通信产品关键零日漏洞遭野外利用，企业通信系统面临被完全控制风险

思科公司紧急发布安全更新，修复其统一通信与管理套件中一个正被积极利用的零日漏洞。该漏洞编号为CVE-2026-20045，存在于产品的基于Web的管理界面中，源于HTTP请求处理不当。未经身份验证的远程攻击者可利用此漏洞完全攻陷受影响的系统。尽管思科未透露漏洞利用细节及攻击者身份，但确认该漏洞影响包括统一通信管理、会话管理版、Unity Connection等多个核心协作平台。

由于统一通信系统承载着企业内部语音、视频、即时消息等核心通信业务，并常存储大量通讯录、通话记录等敏感信息，其被攻陷后果极为严重。攻击者不仅能窃取所有通信数据，还可利用该系统作为跳板，在网络内部进行横向移动。鉴于该漏洞已被野外利用且影响广泛，所有使用受影响版本思科统一通信产品的企业必须立即应用更新。这是思科近期继邮件安全网关漏洞后，又一起关键产品遭利用的事件，凸显了网络基础设施组件持续面临的高风险。

05

研究量化单次SaaS数据泄露平均成本达136.5万美元，安全投入产出比获关键依据

SaaS安全公司AppOmni联合第三方机构发布研究报告，首次为SaaS数据泄露事件给出了具体的平均成本数字：136.5万美元。该研究基于对其已验证客户的定量调查与深度访谈，重点衡量了客户在部署其安全产品前后，在运营效率、审计准备及风险可见性等方面的变化。报告指出，客户通过自动化每月可节省约146小时，相当于近一个全职员工的工作量，且审计所需时间平均减少两周。

此项研究为长期困扰安全团队的难题——如何向管理层证明安全投资的商业价值——提供了有力论据。报告显示，83%的客户审计结果得到改善，发现问题数量平均下降24%，核心手工工作量减少47%，SaaS安全事件检测率则提升了一倍。这些数据将安全效果从难以衡量的“降低风险”转化为可量化的“节省时间与金钱”、“提升合规效率”。在董事会与财务部门日益关注安全支出回报的背景下，此类研究有助于安全负责人争取预算，并将资源精准配置于能带来最大运营与风控收益的领域。

06

Fortinet警告新攻击可绕过已修补设备的单点登录，防火墙管理通道面临持续威胁

网络安全厂商Fortinet确认，即使设备已完全安装修复此前两个关键SSO漏洞的补丁，攻击者仍能找到新路径，成功绕过其FortiCloud单点登录认证。此次新攻击与2025年12月观察到的活动类似，具有高度自动化特征：攻击者在获得访问权限后，会迅速创建后门账户、修改防火墙策略以启用VPN访问，并窃取包含哈希密码的设备配置文件，为后续攻击做准备。

该事件暴露了单点登录这种集中化身份验证机制一旦被攻破所产生的连锁风险。由于SSO通常是管理员访问网络设备的统一入口，其失效意味着所有依赖该通道的防火墙、安全网关等边界防护设备都可能被操控。攻击者可以任意更改安全策略、开辟非法访问通道，使整个网络边界形同虚设。Fortinet表示此问题可能影响所有基于SAML的SSO实现，并正在开发修复。在补丁发布前，用户被迫在“禁用便捷的云SSO”与“承受设备被控风险”之间做出艰难权衡，凸显了复杂身份认证体系中的隐蔽弱点。

07

欧盟拟议更新《网络安全法》，拟建立强制认证与ICT供应链安全新框架

欧盟委员会正式提出对2019年《网络安全法案》的修订提案，旨在应对日益复杂的网络威胁与ICT供应链风险。此次被称为“网络安全法2.0”的修订，核心转变在于从“自愿认证”转向更严格的合规要求。新规计划为欧盟18个关键行业建立可信ICT供应链安全框架，强制移动网络剔除高风险供应商，并将网络安全认证作为符合欧盟其他法规的推定依据。

若提案通过，将对在欧运营的科技企业产生深远影响。一方面，认证流程被要求加速（默认12个月内完成），为市场带来确定性；另一方面，强制性的供应链风险管控与更高标准的认证要求，将显著增加企业的合规成本与准入壁垒。新规还大幅增强了欧盟网络安全局的权力，使其能协助审核关键供应商、领导重大事件响应。这标志着欧盟正通过立法手段，系统性强化其“技术主权”与数字市场防线，企业需为即将到来的更严苛、更复杂的监管环境做好准备。

08

GNU网络工具telnetd曝出存在11年的超高危漏洞，数百万设备面临无需密码的根权限劫持

安全研究人员在GNU Inetutils套件的telnetd服务中发现一个存在近11年之久的关键漏洞。该漏洞编号为CVE-2026-24061，CVSS评分高达9.8，影响1.9.3至2.7的所有版本。漏洞根源在于telnetd服务在处理客户端传入的“USER”环境变量时未进行净化，直接传递给系统登录程序。攻击者可构造特殊的“-f root”字符串作为用户名，从而完全绕过认证流程，直接以最高权限登录系统。

尽管Telnet协议因明文传输已不推荐使用，但其服务仍在大量遗留系统、嵌入式设备及网络设备中运行。这个潜伏超过十年的漏洞影响范围难以估量，且利用方式简单直接，堪称“漏洞利用教科书”。更令人担忧的是，安全公司已监测到针对此漏洞的利用尝试。对于尚未升级或无法立即升级的旧设备而言，面临被瞬间完全接管的风险。管理员必须立即更新所有相关系统，或彻底禁用不再必要的telnet服务，以关闭这一危险的“古董级”后门。

09

俄罗斯沙虫组织使用新型擦除恶意软件攻击波兰电力，关键基础设施再遭国家级网络攻击威胁

网络安全公司ESET发布报告，将2025年底针对波兰电力系统的未遂攻击归因于俄罗斯高级持续性威胁组织“沙虫”，并发现攻击中使用了一种名为“DynoWiper”的新型数据擦除恶意软件。此次攻击发生在12月29日至30日，目标是热电厂及可再生能源管理系统。波兰政府称这是“多年来最强的一次”网络攻击，并指责与俄罗斯军方有关的团体策划了此事。

“沙虫”组织以攻击关键基础设施（尤其是能源设施）而臭名昭著，十年前的2015年曾成功导致乌克兰大范围停电。使用DynoWiper这类破坏性恶意软件，意图并非窃密，而是直接造成物理运营中断，甚至设备损坏。虽然此次攻击被挫败，但它清晰地表明，国家级黑客组织持续将敌对国家的基础设施作为网络战的目标。对于能源、交通、水利等关键行业，此类攻击威胁的已不仅是数据安全，更是社会秩序与公共安全，防御必须提升至国家安全战略高度，并加强OT系统防护。

10

运动品牌Under Armour疑遭重大数据泄露，7200万客户记录被曝在网络犯罪论坛售卖

运动服装品牌Under Armour正在紧急调查一起潜在的大规模数据泄露事件。此前，有网络犯罪组织在黑客论坛上发布了一个据称包含7200万条Under Armour客户记录的数据库，并声称这些数据于2025年11月通过Everest勒索软件攻击获取。泄露信息可能包括用户的电子邮件地址、姓名、出生日期、性别、地理位置及购买记录等。数据泄露追踪网站“Have I Been Pwned”已就此事件发布通知。

如果数据属实，这将是一起影响数千万消费者的严重隐私泄露事件。尽管Under Armour在声明中否认支付系统或用户密码受影响，并称“数千万客户敏感信息泄露的说法没有根据”，但大量个人身份信息与消费习惯数据的结合，已足够使受害者面临精准钓鱼、欺诈营销甚至身份冒用的高风险。该事件再次提醒消费者，即使在非金融类消费平台，其个人数据的价值也备受犯罪团伙青睐；对企业而言，任何存储海量用户数据的系统都是高价值目标，必须实施与之匹配的安全防护等级。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《新型Osiris勒索软件采用POORTRY驱动攻击安全软件，企业终端防护面临高级别对抗威胁》