Aggregator

Researchers at Stripe OLT’s SOC have uncovered a large-scale, targeted phishing campaign aimed at senior executives and top

The post Warning: A New Phishing Campaign Is Targeting Senior Executives appeared first on Penetration Testing Tools.

Researchers at Kaspersky Lab have reported the resurgence of ransomware operations by the group OldGremlin, which has once

The post OldGremlin Ransomware Returns to Haunt Russian Businesses appeared first on Penetration Testing Tools.

The North Korean threat group APT37 (also known as ScarCruft, InkySquid, Reaper, and Ricochet Chollima) has launched a

The post North Korean Hackers Launch Widespread Cyberespionage Campaign appeared first on Penetration Testing Tools.

Between June and July 2025, researchers recorded hundreds of thousands of password brute-force attempts targeting SSL VPN and

The post Anatomy of an Attack: Inside a Massive Brute-Force Campaign appeared first on Penetration Testing Tools.

On August 26, China hosted the 2025 China Operating System Industry Conference, jointly organized by the China Copyright

The post China Unveils a New Operating System to Challenge Windows and macOS appeared first on Penetration Testing Tools.

Entrepreneur Dan Shapiro encountered an unexpected obstacle: a popular AI chatbot refused to transcribe business documents, citing copyright

The post Call Me an Idiot: How to Persuade an AI to Break Its Rules appeared first on Penetration Testing Tools.

Austria’s Federal Ministry of the Interior (BMI) has fallen victim to a targeted cyberattack, details of which emerged

The post Austria’s Ministry of the Interior Hit by Targeted Cyberattack appeared first on Penetration Testing Tools.

CISO Shift Technology | France | Remote – View job details As a CISO, you will develop and execute a comprehensive enterprise information security strategy aligned with company goals and risk tolerance. Lead incident response efforts and continuously improve detection, response, and recovery capabilities. Conduct risk assessments and implement appropriate mitigation strategies. CISO Demandbase | USA | On-site – View job details As a CISO, you will establish governance and technical controls to ensure safe … More →

The post Cybersecurity jobs available right now: September 2, 2025 appeared first on Help Net Security.

On July 24, 2025, the cryptocurrency platform WOO X suffered a sophisticated targeted attack in which $14 million

The post Lazarus Group’s New Target: How North Korean Hackers Stole $14M from WOO X appeared first on Penetration Testing Tools.

据统计，2025年夏季网络攻击事件频发。勒索软件重创医院，零售巨头遭遇数据泄露，保险公司遭到钓鱼攻击，国家支持的黑客组织也发起了破坏性攻击行动。从隐蔽的PowerShell加载器到SharePoint零日漏洞利用，攻击者让防御者疲于应对。

本报告剖析了夏季影响最严重的几起事件，以及安全团队在面对攻击浪潮来临前可采取的措施。

医疗行业日益增长的勒索软件风险

医院经不起网络攻击，攻击者们深谙此道。今年夏天，勒索软件团伙将目标对准医疗行业，利用患者身份数据的价值和医疗服务的紧迫性大肆牟利。

Interlock成美国医疗行业主要威胁

2025年7月22日，美国网络安全与基础设施安全局、联邦调查局和卫生与公众服务部联合发布的公告指出，Interlock是医疗与公共卫生（HPH）领域的主要威胁。仅2025年，该组织就涉嫌参与约14起事件，其中三分之一的受害者是医疗服务机构。

Interlock的特别之处在于其使用的“FileFix”工具——这是一种PowerShell启动器，能将恶意脚本隐藏在诱饵文件路径后。它诱使用户通过文件资源管理器运行恶意程序，从而绕过常规安全检测。

Rhysida勒索软件攻击另一家美国医疗中心

2025年7月8日，Rhysida勒索软件团伙据称泄露了佛罗里达手部中心的敏感数据，包括医疗影像、驾照和保险信息等。 这家为Punta Gorda、Port Charlotte和Fort Myers地区患者提供服务的诊所，被要求在7天内对该勒索软件团伙作出回应，否则会将数据公开。

Qilin复用Scattered Spider战术，掀起医疗行业数据泄露浪潮

2025年6月，Qilin成为最活跃的勒索软件团伙，记录在案的受害者达81家，其中52家来自医疗行业。 该团伙利用Fortinet产品的未修复漏洞（CVE-2024-21762和CVE-2024-55591）获取访问权限，部署勒索软件，并窃取电子健康记录（EHRs）、保险记录等敏感数据。

为最大化施压，Qilin不仅进行数据加密，还采用法律主题的勒索手段——例如设置“联系律师”功能和自动化谈判工具，以促使受害者更快支付赎金。

多家零售业品牌在网络犯罪浪潮中遭入侵

2025年夏季，零售业也未能躲过席卷而来的网络攻击浪潮。

路易威登遭遇本季度第三次数据泄露

2025年7月2日，英国路易威登发生数据泄露事件，导致客户联系信息和购买记录外泄。这是三个月内路威酩轩集团（LVMH）旗下品牌遭遇的第三起泄露事件，此前迪奥和韩国路易威登已先后中招。

7月10日，英国警方逮捕了四名嫌疑人，他们涉嫌参与对M&S、Co-op和Harrods的网络攻击。 据称，该团伙与Scattered Spider存在关联。Scattered Spider是一个本土黑客团伙，以社会工程学手段见长，并与DragonForce等勒索软件运营商合作，这表明本土网络犯罪分子对大型零售商的影响正日益扩大。 

DragonForce攻击美国零售连锁品牌Belk

2025年5月7日至11日，知名零售商Belk遭遇数据泄露。DragonForce声称对此负责，并表示窃取了156GB的客户及员工数据，包括姓名、社会安全号码、电子邮件、订单历史和人力资源文件。在赎金谈判陷入僵局后，这些数据被发布到其泄露网站上。

据了解，DragonForce于2023年末首次出现，以勒索软件即服务（RaaS）卡特尔模式运作。截至2025年3月，其列出的受害者约有136家，其中不少是美国和英国的零售企业。

UNC3944的攻击目标从零售业转向保险业

2025年4月至5月，UNC3944利用以身份为核心的社会工程学、语音钓鱼、多因素认证（MFA）疲劳攻击、冒充服务台以及域名仿冒等手段，入侵了英国的M&S、Co-op和Harrods等零售商。

2025年6月中旬，研究人员发现，UNC3944已将攻击目标从零售业转向美国的保险公司。

·2025年6月12日，美国Aflac发现并遏制了一起未授权访问事件，客户和员工的个人数据（包括社会安全号码、健康索赔信息等）可能已遭泄露。

·6月上旬至中旬，保险公司Erie Insurance和Philadelphia Insurance Companies也报告了类似的网络干扰事件，导致业务中断。

这些入侵事件与UNC3944已知的战术特征相符，不过攻击者并未部署勒索软件，系统仍能运行。

涵盖国家背景的网络活动与地缘政治因素

今年夏天的网络威胁并非都以牟利为目的。有国家支持的黑客和黑客活动分子也纷纷现身，利用动荡的地缘政治环境发起攻击。

·2025年6月14日至17日：亲以色列的黑客活动组织Predatory Sparrow攻击了伊朗的Sepah银行，扰乱了银行业务；随后又入侵了加密货币交易所Nobitex，将约9000万美元的加密货币转入销毁钱包，使其永久失效。

·2025年6月30日：美国国土安全部与网络安全与基础设施安全局联合发布警报，警告伊朗可能对美国和欧洲的关键基础设施发起网络报复。

这些事件表明，网络冲突现已成为地缘政治紧张局势的前沿延伸，其影响可远超出国界和行业范畴。

关键漏洞引起公众关注

今年夏天，在一场名为“ToolShell”的大规模网络间谍活动中，多个微软SharePoint漏洞被利用。

·CVE-2025-53770是一个严重的远程代码执行漏洞，允许未授权攻击者在易受攻击的本地SharePoint服务器上运行任意代码。威胁者利用该漏洞部署webshell、窃取凭据，并在企业网络中横向移动。2025年7月20日，CISA将该漏洞纳入其已知被利用漏洞（KEV）目录。

·CVE-2025-49704和CVE-2025-49706在被用于连环攻击后，也于7月22日被加入KEV目录。这两个漏洞可实现身份验证绕过和代码注入，即使用户已修复了早期漏洞，攻击者仍能利用未打补丁的SharePoint系统。

ToolShell活动的目标涵盖美国、欧洲和中东的各类组织，包括政府机构、能源公司和电信提供商。安全研究人员表示，攻击者可能逆向破解了微软7月“补丁星期二”发布的修复程序，从而开发出针对CVE-2025-53770的绕过方法。

从夏季频发的网络安全事件中能学到什么

从医院到零售巨头，从保险公司到国家层面，这个夏天暴露出即便是防御最严密的环境也存在漏洞。以下是安全团队接下来应采取的措施：

1.及时打补丁——在关键行业尤其重要。可从CISA的KEV条目和高严重性CVE开始，但不止于此。还要深入思考一个更严峻的问题：你所在的组织是否属于攻击者的目标类型？所以要验证每个CVE在你的环境中是否真的可被利用。

2.将身份安全加固作为新的安全边界。今年夏天，社会工程学手段比恶意软件更奏效。要阻止MFA攻击，加强服务台验证，并限制特权访问。

3.对人员进行培训，因为他们是漏洞的突破口。Scattered Spider等团伙并未利用某个CVE，而是利用了相关人员钻了安全空子。企业定期开展模拟演练，更新钓鱼攻击场景，并让高风险岗位人员做好应对真实诱饵的准备尤其重要。

4.关注初始访问后的动向。像Interlock和Qilin这样的网络犯罪团伙不只是投放勒索软件，他们还会横向移动、囤积数据并规避检测。应针对PowerShell滥用、凭据窃取和隐秘数据外泄等技术手段实施行为监控。

5.不要忽视遗留系统和被遗忘的基础设施。ToolShell活动利用了未打补丁的本地SharePoint服务器，其中许多运行的是不受支持或过时的版本。无论是老旧的本地SharePoint、各类设备还是未受监控的遗留设备，对于无法升级的要进行隔离；对于无法打补丁的要加强监控；对于被忽视的要及时更换。

Docker Desktop针对Windows和macOS系统的版本存在一个严重漏洞，即便“增强容器隔离（ECI）”保护功能处于开启状态，攻击者仍可通过运行恶意容器入侵主机。

该安全问题属于服务器端请求伪造（SSRF）漏洞，目前已被编号为CVE-2025-9074，其严重等级被评定为9.3分（极高）。

在Docker Desktop上运行的恶意容器，无需挂载Docker套接字，就能访问Docker引擎并启动更多容器。这可能导致主机系统上的用户文件被未授权访问，且增强容器隔离（ECI）无法缓解该漏洞带来的风险。

安全研究员兼漏洞赏金猎人Felix Boulet发现，任何运行中的容器都能未经认证访问“http://192.168.65.7:2375/”地址下的Docker Engine API。他通过演示证明，只需两个wget HTTP POST请求，就能创建并启动一个新容器，将Windows主机的C盘挂载到该容器的文件系统中。

Boulet的概念验证（PoC）漏洞利用代码无需在容器内获取代码执行权限。Pvotal Technologies公司的DevSecOps工程师、NorthSec网络安全会议的挑战设计员Philippe Dugre证实，该漏洞影响Docker Desktop的Windows和macOS版本，但不涉及Linux版本。

由于操作系统本身的安全防护机制，该漏洞在macOS系统上的危险性相对较低。他能在Windows系统的用户主目录中创建文件，但在macOS系统上，若未获得用户许可，则无法完成同样的操作。 

在Windows系统中，Docker Engine通过WSL2运行，攻击者可作为管理员挂载整个文件系统，读取任何敏感文件，最终甚至能通过覆盖系统DLL文件，将权限提升至主机系统管理员级别。

然而在macOS系统中，Docker Desktop应用仍存在一层隔离机制，尝试挂载用户目录时会向用户请求许可。默认情况下，Docker应用无法访问文件系统的其他部分，也不会以管理员权限运行，因此相比Windows系统，macOS主机要安全得多。

不过，Philippe Dugre也提醒，即便在macOS系统上，仍存在恶意活动的操作空间——攻击者可完全控制应用程序和容器，这意味着他们可能在无需许可的情况下植入后门或修改配置。他还指出，该漏洞极易被利用，其漏洞利用代码仅由三行Python代码构成，这一点也印证了这一说法。 

目前，该漏洞已被报告给Docker公司，Docker上周发布的Docker Desktop 4.44.3版本中修复了该问题。

Amnesty International has released a new report titled Breaking up with Big Tech, calling on governments to curb

The post Amnesty International Calls for Big Tech to Be Broken Up appeared first on Penetration Testing Tools.