摘要：SafePay勒索软件组织从位于北卡罗来纳州的Marlboro Chesterfield Pathology（MCP）实验室窃取了约235,911人的个人和敏感健康数据。Marlboro Chesterfield Pathology成立于1990年，总部设在北

近日，明朝万达安元实验室发布了2025年第五期《安全通告》。该份报告收录了2025年5月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

Marlboro Chesterfield Pathology数据泄露影响235,911人

SafePay勒索软件组织从位于北卡罗来纳州的Marlboro Chesterfield Pathology（MCP）实验室窃取了约235,911人的个人和敏感健康数据。Marlboro Chesterfield Pathology成立于1990年，总部设在北卡罗来纳州派恩赫斯特，是一家提供分子、细胞学和病理学检测的全方位服务实验室。该机构以其先进的数字与分子诊断设施而闻名，提供经美国食品药品监督管理局（FDA）批准的诊断服务，为卡罗来纳地区的医生和患者提供支持。安全漏洞发生在2025年1月16日，当时威胁行为者未经授权访问了其内部系统。事件发生后，该公司立即展开调查，并采取措施保护其系统安全。根据数据泄露通知，受影响人员的身份在2025年3月31日前被确认。发送给受影响者的官方数据泄露通知中写道：“大约在2025年1月16日，我们的某些内部IT系统发生了未经授权的活动。根据随后的调查，我们确认有未经授权的一方访问了我们的系统并获取了部分记录。我们迅速采取行动，并聘请第三方网络安全专家协助保护系统并调查事件。”Marlboro Chesterfield Pathology披露，此次数据泄露暴露了包括姓名、地址、出生日期、医疗信息以及健康保险数据（如保单号码）等个人详细信息。具体泄露的信息因人而异。作为应对措施，他们已加强系统防护，聘请法医专家进行深入调查，并进一步强化整体网络防御能力。

ENDGAME行动扰乱了全球勒索软件基础设施

2025年5月19日至22日，由欧洲刑警组织和欧洲司法组织协调的“ENDGAME”行动成功地扰乱了全球勒索软件基础设施。在这次行动中，执法部门关闭了300台服务器和650个域名，并发出了20份国际逮捕令。据欧洲刑警组织发布的新闻稿介绍：“在行动周期间，欧洲刑警组织总部设立了一个指挥所，来自加拿大、丹麦、法国、德国、荷兰、英国和美国的调查人员与欧洲刑警组织的欧洲网络犯罪中心及其联合网络犯罪行动特别工作组合作。” 自2024年调查开始以来，欧洲司法组织为促进有效的司法合作提供了必要的支持。通过欧洲司法组织的协调，各国当局能够有效地交换信息并协同工作。ENDGAME行动主要针对那些在部署勒索软件之前用于渗透系统的初始访问恶意软件。恶意软件包括Umblebe、Lactroectus、Qakbot、Hijackloader、DanaBot、Trickbot和Warmcookie等，这些都是勒索软件即服务（RaaS）方案中常用的工具。此外，针对关键运营商发出了20份国际逮捕令。

网络犯罪分子利用 TikTok 视频传播Vidar、StealC恶意软件

据趋势科技（Trend Micro）报告，网络犯罪分子正利用人工智能生成的 TikTok 视频传播 Vidar 和 StealC 恶意软件。这些视频诱导用户运行 PowerShell 命令，伪装成 Windows、Office、CapCut 或 Spotify 等工具的激活步骤。“这次活动突显出攻击者已准备好将当前流行的社交媒体平台武器化，用于恶意软件分发。”研究人员发现了多个现已停用的 TikTok 账户，发布了可能由AI生成的视频。这些视频内容几乎完全相同，表明其视觉和语音部分是自动生成的，专门用于传播恶意软件载荷。其中一段鼓励用户运行 PowerShell 命令的 TikTok 视频获得了近50万次观看、2万多个点赞和100多条评论，显示出高度的用户参与度和信任度。这些视频提供了逐步指导，教用户运行 PowerShell 命令来“激活”软件。实际上，该脚本会添加 Windows Defender 排除项，下载并运行 Vidar 或 StealC 恶意软件，通过注册表设置实现持久化，并清除痕迹，使整个过程对用户看似正常且无害。感染后，Vidar和StealC恶意软件会连接至命令与控制（C&C）服务器。Vidar使用 Steam 和Telegram等合法服务作为Dead Drop Resolver（DDR），将C&C信息嵌入公共配置文件中以规避检测。而StealC则使用直接IP连接。这种策略帮助攻击者隐藏基础设施，维持持久访问能力，同时降低被安全工具发现的可能性。

Qakbot网络犯罪的领导者在美国的打击行动中被起诉

美国当局已起诉俄罗斯国民Rustam Gallyamov，他是“卡博托”行动的领导人。该行动感染了超过70万台电脑，并为勒索软件攻击提供了便利。Gallyamov自2008年开始开发Qakbot，并建立了一个团队，随着时间推移扩展了其能力。Qakbot在过去十多年里充当了特洛伊木马、滴管和后门的角色。自2019年以来，Qakbot一直是Conti、REvil、Black Basta、Egregor等主要团伙勒索软件行动中的攻击向量。根据联邦调查局2023年的公告，与Qakbot攻击相关的犯罪给美国和国外的个人和企业造成了数亿美元的损失。联邦调查局解释说，作为行动的一部分，他们已经合法访问了Qakbot的C2基础设施，并在全球范围内发现了超过70万台受感染的计算机，其中美国有20多万台。

美国联邦调查局警告称，

Silent Ransom Group 组织瞄准律师事务所

美国联邦调查局（FBI）发出警告，指出自2022年以来一直活跃的Silent Ransom Group（也称为Luna Moth）正在利用网络钓鱼和社会工程手段针对美国律师事务所。该组织与BazarCall活动有关，曾允许Yukan和Contiran等勒索软件进行攻击。FBI警告中提到：“网络威胁行为者Silent Ransom Group（SRG），也被称为Luna Moth、Chatty Spider和UNC3753，正在通过使用IT主题的社会工程电话和回拨网络钓鱼电子邮件来针对律师事务所，目的是远程访问系统或设备并窃取敏感数据，从而勒索受害者。”在窃取数据后，Silent Ransom Group通过勒索电子邮件勒索受害者，威胁要出售或公布数据。他们还会打电话给员工，施压进行谈判。

美国CISA在其已知漏洞目录中添加了三星MagicINFO 9服务器漏洞

美国网络安全和基础设施安全局（CISA）已将三星 MagicINFO 9服务器中的一个严重漏洞加入其“已知被利用漏洞”（KEV）目录。该漏洞被标识为 CVE-2025-4632，CVSS 评分为 9.8，属于高危级别。该漏洞源于对受限目录路径名的不当限制，影响版本低于 21.1052 的 Samsung MagicINFO 9 Server。攻击者可利用此漏洞以系统权限写入任意文件，从而可能导致远程代码执行或其他严重后果。CISA 在公告中指出：“三星 MagicINFO 9服务器中存在路径名限制不当的问题，使得攻击者能够以系统权限写入任意文件。”CISA 要求所有联邦机构必须在2025年6月12日前完成对该漏洞的修复。

RapTor行动逮捕了270名暗网卖家和买家

在代号为“RapTor（猛禽）”的国际执法行动中，警方共逮捕了270名嫌疑人，打击目标是来自10个国家的暗网供应商和买家。这次行动成功摧毁了一个涉及毒品、武器和假冒商品交易的庞大非法网络。根据欧洲刑警组织发布的报告：“欧洲刑警组织通过分析三个被查封暗网市场的数据，汇编并生成情报包，为此次行动提供了关键支持。这些情报在联合网络犯罪行动特别工作组（Joint Cybercrime Action Taskforce）框架下共享给各国执法机构，用于开展针对性调查。”警方基于对暗网市场取缔后的情报分析，锁定了包括Nemesis、Bohemia、Kingdom Markets和Tor2Door等平台在内的270名嫌疑人。这些嫌疑人利用加密通信工具和加密货币完成了数千起非法交易。此次行动是在2023年SpecTor行动之后展开的，标志着执法部门在追踪和揭露暗网犯罪方面取得了显著进展。大多数被捕人员来自美国、德国和英国，主要为暗网上的活跃供应商。当局缴获了超过1.84亿欧元的现金和加密货币、2吨以上的毒品、180多支枪支、12500件假冒商品以及4吨以上的非法烟草，对暗网犯罪网络造成重大打击。目前相关调查仍在继续。

Coinbase数据泄露影响了69,461人

Coinbase 最近披露，一名恶意海外支持人员不当访问了客户和公司内部数据，导致约69,461人的信息受到影响。此前，该公司透露，一名流氓承包商非法获取了不到其用户总量 1% 的数据，并向公司索要2000万美元赎金。该事件最初是在提交给美国证券交易委员会（SEC）的一份文件中披露的。2025年5月11日，Coinbase 收到一封勒索电子邮件，威胁者声称已获得客户及内部数据。攻击者表示，他们通过贿赂一名海外客服承包商，利用其合法访问权限从 Coinbase 内部系统中提取了这些信息。Coinbase 表示，在过去几个月内检测到了未经授权的数据访问行为，并迅速终止了相关人员的权限，加强了欺诈监控措施，并通知了受影响用户。“自收到勒索邮件以来，我们评估了其可信度，并确认这些未经授权的访问行为属于同一场成功窃取内部数据的单一攻击事件。公司没有支付赎金，并正在配合执法部门进行调查。”值得庆幸的是，此次泄露并未暴露用户的密码、私钥或加密资产。但泄露的信息包括：联系方式、部分社会安全号码（SSN）、银行账户信息、身份证图像、账户历史记录以及少量内部文档。Coinbase 预计此次数据泄露将带来 1.8 亿至 4 亿美元的成本支出，主要用于补救措施和客户补偿。最终影响仍在进一步评估中。

谷歌修复Chrome中一个可能导致账户被完全接管的严重漏洞

谷歌发布了紧急安全更新，修复了 Chrome 浏览器中的一个漏洞。该漏洞被追踪为 CVE-2025-4664，可能被用于远程攻击，导致用户的完整账户被接管。 安全研究员 Vsevolod Kokorin（@slonser_）发现了该漏洞，其成因是136.0.7103.113及更早版本中 Google Chrome 的 Loader 组件策略执行不足。 谷歌警告称，这一高度严重的漏洞存在被公开利用的风险。官方公告中指出：“谷歌已收到关于 CVE-2025-4664 在野外被利用的报告。”此次漏洞已在 Chrome 稳定版桌面通道中完成修复：Windows 和 Linux 平台更新至 136.0.7103.113，macOS 平台更新至 136.0.7103.114。目前，谷歌尚未公布有关该漏洞具体利用方式的详细信息，也未透露背后潜在的威胁行为者身份。

分散蜘蛛（Scattered Spider）威胁组织正将目标转向美国零售商

一个以经济利益为驱动的网络犯罪组织 UNC3944（也被称为 Scattered Spider 或 0ktapus），因其擅长社会工程和勒索行为而臭名昭著。该组织在过去两年中被指控入侵了数百家机构，其中包括 Twilio、LastPass、DoorDash 和 Mailchimp 等知名企业。该组织最初专注于通过SIM卡交换攻击电信行业，但到2023年，其活动范围已扩展至勒索软件领域，并渗透到多个行业中。尽管在2024年部分成员被捕后活动有所减少，但研究人员警告称，该组织可能与其他黑客团体建立了联系，具备东山再起的能力。近期，谷歌安全研究团队发布警告指出，曾针对英国零售商发动攻击的“Scattered Spider”组织，现在正将目标转向美国企业，将其攻击重点从欧洲转移至大西洋彼岸。“保护美国零售商。他们来了。”——这是谷歌在其研究报告中发出的警示语。根据谷歌的研究报告，UNC3944主要针对科技、电信、金融、BPO、游戏、零售和媒体等多个行业，重点关注英语国家以及印度和新加坡的大型企业。该组织善于利用技术支持热线和社会工程手段，实施高影响的定向攻击。为了应对这一日益增长的威胁，谷歌提出了多项积极的安全加固建议，包括加强多因素认证、限制远程访问权限、监控异常登录行为，并对员工进行社会工程防范培训。

网络安全最新漏洞追踪

VMware vCenter Server认证命令执行漏洞(CVE-2025-41225)

一、漏洞概述

vCenter是VMware提供的集中管理平台，用于管理VMware vSphere环境中的虚拟化资源。它允许管理员对虚拟机、主机、存储和网络进行统一管理和监控。vCenter提供功能如虚拟机部署、自动化管理、资源优化和高可用性，帮助企业提高虚拟化环境的效率和灵活性。vCenter是大规模数据中心和云环境中不可或缺的管理工具，支持集群管理、负载均衡和故障恢复等高级特性。2025年5月22日，VMware发布的安全公告，指出VMware vCenter存在认证命令执行漏洞。攻击者在具备创建或修改警报以及执行脚本操作权限时，可能利用该漏洞在vCenter Server上执行任意命令。若该漏洞被成功利用，攻击者可能获得系统控制权限或滥用系统，带来严重的安全风险。漏洞级别高危，漏洞评分8.8分。

二、影响范围

vCenter Server 8.0

三、修复建议

官方已发布安全更新，建议受影响用户尽快升级。

参考链接:https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25717

Apache IoTDB UDF远程代码执行漏洞 (CVE-2024-24780)

一、漏洞概述

Apache IoTDB（Internet of Things Database）是一个专为物联网数据存储和处理设计的高效时序数据库。它支持大规模数据写入、高吞吐量和低延迟查询，尤其适用于传感器数据、设备监控等应用场景。IoTDB提供灵活的数据模型，能够高效地处理时序数据的插入、查询和压缩，同时支持SQL兼容的查询语言，方便与其他系统集成。它具有可扩展性，支持分布式部署，广泛用于工业、能源和智能家居等领域。2025年5月15日，Apache官方发布的安全公告，指出Apache IoTDB存在远程代码执行漏洞。攻击者可以通过不可信的URI注册恶意的用户定义函数（UDF），进而执行任意代码。该漏洞影响Apache IoTDB版本1.0.0至1.3.4，攻击者需要具备创建UDF的权限才能利用此漏洞。成功利用该漏洞可能导致系统遭受远程控制，严重威胁系统安全。漏洞级别严重，漏洞评分9.8分。

二、影响范围

1.0.0

三、修复建议

官方已发布安全更新，建议受影响用户尽快升级到Apache IoTDB 1.3.4版本。下载链接：https://iotdb.apache.org/

Tornado日志解析器拒绝服务漏洞 (CVE-2025-47287)

一、漏洞概述

Tornado是一个高性能的Web框架和异步网络库，专为处理大规模并发连接设计。它支持非阻塞I/O，能够处理成千上万的连接，适用于实时Web应用程序。Tornado提供了一个简单易用的Web服务器，并支持WebSockets、长轮询等协议，广泛用于构建高效的实时通信系统。它适用于需要高吞吐量和低延迟的场景，如聊天应用、推送通知等。2025年5月16日，Tornado官方发布的安全公告，指出Tornado的multipart/form-data解析器存在日志拒绝服务漏洞。该解析器在默认启用的情况下，当遇到特定错误时，会记录警告信息并继续解析后续数据。这种处理方式使攻击者能够发送恶意请求，生成大量警告日志，从而消耗系统资源并导致拒绝服务（DoS）攻击。由于Tornado的日志子系统是同步的，漏洞的影响进一步加剧，导致日志处理延迟，进而影响系统性能。漏洞级别高危，漏洞评分7.5分。

二、影响范围

Tornado

三、修复建议

官方已发布安全更新，建议受影响用户尽快升级到Tornado 6.5.0版本。下载链接：https://github.com/tornadoweb/tornado/tags/

参考链接:https://github.com/tornadoweb/tornado/security/advisories/GHSA-7cx3-6m66-7c5m

来源：明朝万达