大韩航空前子公司遭Clop勒索团伙攻击

宣布时间 2025-12-30

1. 大韩航空前子公司遭Clop勒索团伙攻击


12月29日 ,韩国国家航空公司大韩航空克日披露 ,其机上餐饮供应商及前子公司大韩航空餐饮免税公司(KC&D)遭遇黑客攻击 ,导致约3万名员工小我私家信息泄露。KC&D于2020年从大韩航空分拆为自力公司 ,此次事务中 ,其ERP系统中存储的员工姓名、银行账号等敏感信息被窃取。大韩航空首席执行官禹基洪在内部备忘录中强调 ,只管事务爆发在外部相助同伴治理规模内 ,但涉及员工信息清静 ,公司高度重视。作为韩国最大航空公司 ,大韩航空拥有超2万名员工、160余架飞机 ,2024年运送旅客超2300万人次 ,营收超110亿美元。此次数据泄露规模重大 ,外地媒体报道称攻击者窃取了约3万条数据纪录 ,只管大韩航空未明确详细数目 ,但已向有关部分报告并启动视察。现在尚未发明被盗数据被用于诓骗的证据 ,但公司提醒员工小心冒没收司或金融机构的诈骗邮件及短信。值得注重的是 ,Clop勒索软件团伙已宣称对此次攻击认真 ,并在其暗网泄露网站宣布被盗数据 ,允许通过Torrent下载。


https://www.bleepingcomputer.com/news/security/korean-air-data-breach-exposes-data-of-thousands-of-employees/


2. EmEditor遭供应链攻击:恶意软件窃取数据并安排扩展


12月29日 ,克日 ,广受接待的文本和代码编辑软件EmEditor遭遇供应链攻击 ,导致信息窃取恶意软件撒播。EmEditor由雷德蒙德Emurasoft公司开发 ,是一款高性能Windows工具 ,专为编码、文本编辑及处置惩罚大型文件设计。12月19日18:39至22日12:50时代 ,通过EmEditor主页“连忙下载”按钮下载装置程序的用户可能遭遇恶意版本。该按钮的URL被改动 ,指向网站差别位置托管的恶意.msi文件。假装置程序与真品名称、体积相似 ,但署名证书属于其他公司。运行后 ,恶意程序执行PowerShell下令 ,从伪造域下载并执行文件。该恶意软件网络系统信息、桌面/文档/下载文件夹文件、VPN设置、浏览器数据及Zoho Mail、Discord、Slack等应用凭证。值得注重的是 ,若系统语言为前苏联国家或伊朗 ,恶意软件会终止运行。更严重的是 ,攻击者安排了名为“Google Drive Caching”的浏览器扩展 ,该扩展具备完整信息窃取功效 ,可长期化网络浏览器历史、书签、cookie ,实验剪贴板挟制(替换加密钱币地点)、键盘纪录及窃取Facebook广告账户。


https://www.securityweek.com/infostealer-malware-delivered-in-emeditor-supply-chain-attack/


3. FortiGate防火墙2FA绕过误差一连遭使用


12月29日 ,网络清静厂商Fortinet克日向客户发出忠言 ,威胁行为者仍在起劲使用编号为CVE-2020-12812的严重误差攻击未修复的FortiGate防火墙装备。该误差最早于2020年7月被披露并修复 ,攻击者可通过修改用户名巨细写绕过双因素身份验证(2FA)机制 ,在设置了LDAP远程身份验证且启用"用户外地"2FA的FortiGate SSL VPN装备上实现未授权会见。误差成因在于外地身份验证与远程LDAP身份验证之间的巨细写匹配逻辑纷歧致。Fortinet其时通过宣布FortiOS 6.4.1/6.2.4/6.0.10版本修复该问题 ,并建议无法连忙升级的客户关闭用户名区分巨细写功效。然而 ,最新监测显示 ,攻击者仍在针对设置了LDAP关联外地用户且启用2FA的特定系统实验攻击。若辅助LDAP组设置不当 ,攻击乐成率将进一步提升 ,该组本应在主LDAP认证失败时启用 ,但若非须要应直接删除。


https://www.bleepingcomputer.com/news/security/fortinet-warns-of-5-year-old-fortios-2fa-bypass-still-exploited-in-attacks/


4. LangChain Core现"LangGrinch"高危误差


12月27日 ,清静研究员Yarden Porat于2025年12月4日披露了LangChain生态焦点Python包langchain-core中的严重误差CVE-2025-68664(代号"LangGrinch") ,CVSS评分达9.3。误差根因在于函数未对含"lc"键的用户字典举行转义处置惩罚。攻击者可使用metadata、response等营业字段注入恶意工具结构 ,在后续load()/loads()反序列化时 ,在langchain_core、langchain_community等受信托命名空间内实例化Serializable子类。部分类在初始化时可能触发副作用 ,如情形变量泄露、Jinja2模板代码执行、危险类实例化等 ,甚至可通过提醒注入将恶意工具隐藏于用户可控字段 ,实现隐藏攻击。该误差尤为严重:其一 ,位于langchain-core本体而非外围工具 ,影响面广;其二 ,dumps()/dumpd()作为框架焦点API ,全球累计装置量数亿;其三 ,攻击可通过单条LLM输出间接触发 ,正常营业流程中 ,LLM天生的metadata若被序列化 ,即可触发误差 ,隐藏性强且攻击门槛低。修复计划已随版本1.2.5、0.3.81宣布。


https://securityaffairs.com/186185/hacking/langchain-core-vulnerability-allows-prompt-injection-and-data-exposure.html


5. 救世军遭Interlock勒索团伙攻击


12月29日 ,国际慈善组织救世军克日遭遇严重数据泄露事务 ,攻击者宣称窃取了93GB敏感信息并宣布在Interlock勒索软件团伙的暗网博客上。此次泄露涉及160万笔美国住民捐钱生意纪录 ,总额达数万万美元 ,包括全名、电话、住址、捐钱金额等小我私家身份信息(PII) ,数据结构显示攻击者获取了详尽的捐赠人名单。救世军作为全球最大慈善机构之一 ,建设于1865年 ,2024年收入近50亿美元 ,位列美国第六大慈善机构 ,在134个国家开展援助项目 ,并担当团结国隶属机构。此次事务并非首例 ,今年5月 ,Chaos勒索软件集团曾攻击救世军并宣布数据;而本次攻击者Interlock团伙自2024年尾泛起 ,已往12个月已损害至少66个组织 ,接纳双重勒索战略 ,通过入侵网站或社会工程学获取起源驻足点 ,6月和8月攻击尤为活跃。网络清静团队剖析指出 ,泄露数据源于微软SQL Server数据库备份 ,攻击者可能使用这些结构化数据实验身份偷窃、虚伪账户建设或诈骗。尤其值得关注的是 ,攻击者可能冒充救世军或其他慈善机构举行诈骗 ,使用捐赠者的善心诱导转账 ,或通过财务剖析精准定位高价值目的。


https://cybernews.com/security/salvation-army-data-breach-donors/


6. Lynx勒索团伙攻击马萨诸塞州会计事务所


12月29日 ,克日 ,与俄罗斯关联的Lynx勒索软件团伙宣称 ,从拥有75年历史的马萨诸塞州会计事务所CSA Tax & Advisory窃取了大宗纳税申报数据及社会包管号码 ,并以此勒索赎金。CSA作为专营税务服务的机构 ,其客户数据若遭泄露 ,将面临严重网络垂纶攻击和身份偷窃危害。Lynx团伙于12月26日在暗网泄露网站宣布通告 ,声称已获取该公司及客户的敏感信息 ,并强调“勉励对话解决问题而非杂乱破损”。为证实攻击真实性 ,该团伙宣布了包括全名、社会清静号码、物理地点、配偶医疗包管协议、服务发票、小我私家所得税申报数据、国税局电子申报署名授权表格及公司内部信函的截图。若数据属实 ,攻击者可使用这些详细小我私家信息实验精准诈骗 ,例如冒充税务机构或银行 ,诱导受害者转账或泄露更多敏感信息。


https://cybernews.com/security/lynx-ransomware-csa-tax-breach/