安全简讯（2025.06.24）

1. Aflac披露美国网络可疑活动导致信息泄露

6月21日，美国保险公司Aflac披露，其美国网络检测到可疑活动，可能导致社会保障号码及其他个人信息泄露。该公司称此事件是针对保险行业的网络犯罪活动的一部分，并已于周五声明入侵在数小时内被成功阻止。Aflac在公告中强调，在响应事件的同时持续服务客户，保单承保、理赔审核及其他常规业务均正常运作。目前事件审查处于初期阶段，受影响总人数尚未确定。经调查，可能涉及的文件包含美国地区客户、受益人、员工、代理人等群体的理赔信息、健康数据、社会保障号码及其他个人身份信息。为应对此次事件，Aflac宣布将向致电客服中心的受影响人群提供24个月免费信用监控、身份盗窃防护及医疗盾牌服务。

https://www.securityweek.com/aflac-finds-suspicious-activity-on-us-network-that-may-impact-social-security-numbers-other-data/

2. 俄罗斯动物产品认证系统遭网络攻击，致供应链中断

6月20日，俄罗斯动物产品数字认证系统Mercury平台本周初遭网络攻击瘫痪，这是今年第三次同类事件且最为严重。系统瘫痪迫使生产商和供应商重新启用纸质兽医证书，但因多数零售商依赖专属电子文档管理系统，无法接收纸质凭证，导致物流混乱，多家地区分销中心拒绝接收货物，大型零售商Lenta、Yandex Lavka和Miratorg均遭遇供应链中断。根据俄罗斯法律，涉及肉类、乳制品等动物产品的企业必须在Mercury系统注册并签发电子兽医文件，缺少认证加工厂不得接收原料奶。乳业联盟协会指出部分零售商拒绝接收无电子文件的产品，且监管机构指引模糊引发供应商混乱。此次故障还中断了与其他政府数字平台的数据交换，大规模生产企业受影响尤为严重，行业代表称现有应急预案无法应对长期中断。兽医监管部门预计修复工作将持续至本周末，目前尚无组织宣称对此次攻击负责。

https://therecord.media/russia-dairy-supply-disrupted-cyberattack

3. 房地产公司泄露了包含17万条明文个人身份信息的数据库

6月20日，网络安全研究员Jeremiah Fowler偶然发现了一个未加密且无密码保护的数据库，该数据库可能属于一家房地产管理和投资公司。据推测，数据库所属公司为位于加利福尼亚州、专门处理美国各地房地产业务的Income Property Investments，但Fowler无法判断文件是由该公司还是第三方管理。该数据库规模庞大，高达116.24GB，包含约170,000条记录，且任何人都可以利用。暴露的数据种类繁多，涵盖个人身份信息（PII）和内部文件。其中，个人身份信息包括名字、出生日期、社会安全号码、物理地址、电子邮件地址等；与就业相关的文件如谴责、解雇或辞职记录也包含在内；内部文件则涉及管理、安全、事件报告、警方报告、维护、报销等多个方面。Fowler在数据样本中发现了详细记录汽车旅馆员工PII的电子表格，且这些信息全部以纯文本形式呈现，未进行加密处理。在发现此问题后，相关人员向Income Property Investments发送了负责任的披露通知，当天该数据库就被限制访问，以防止进一步的信息泄露风险。

https://cybernews.com/security/massive-170k-database-exposed/

4. 迈凯伦医疗保健遭INC勒索攻击致74.3万患者数据泄露

6月23日，迈凯伦医疗保健公司警告743,000名患者，其医疗系统因2024年7月勒索软件团伙的攻击而遭受数据泄露。该攻击于2024年8月5日被发现，但确定受影响人员的法医调查直至2025年5月5日才完成，并于上周五开始发布通知。2024年8月初，该医疗机构遭遇IT和电话系统中断，经调查发现患者数据库受影响，患者前往医院时被要求携带预约和用药信息。尽管迈凯伦未具体说明攻击者身份，但有员工在网上发布了INC的勒索信，这些勒索信会自动在医院打印机上打印。在发送给受影响个人的通知中，迈凯伦承认事件涉及勒索软件攻击，但仍未提及INC。调查确定，攻击者在2024年7月17日至8月3日期间可访问McLaren和Karmanos的系统。迈凯伦提交给美国当局的数据泄露通知样本显示，泄露的全名信息已被删除，但其他类型数据被获取，总体泄露范围尚不明确。这是迈凯伦近年来遭遇的第二起重大数据泄露事件，上一次发生在2023年7月，由ALPHV/BlackCat勒索软件组织发起，网络犯罪分子窃取了220万人的敏感医疗数据、个人身份信息和社会安全号码，并于2023年10月将数据样本在网上泄露，迫使迈凯伦支付未公开的赎金金额。

https://www.bleepingcomputer.com/news/security/mclaren-health-care-says-data-breach-impacts-743-000-patients/

5. 美网络安全公司称Cyber Fattah泄露沙特运动会敏感数据

6月23日，据美国网络安全公司Resecurity称，与Cyber Fattah运动有关的威胁行为者泄露了数千条与往届沙特运动会相关的记录。这些被盗数据以SQL转储形式泄露，攻击者通过未经授权访问phpMyAdmin窃取了存储的记录。Resecurity将此次事件解读为伊朗及其代理人开展的一项更广泛信息行动的一部分，旨在制造不安全感并破坏地区和平。鉴于以色列与伊朗紧张关系加剧，威胁行为者试图利用沙特阿拉伯王国和美国在地区关系和安全中的重要作用，伊拉克境内一些与真主党、哈马斯和亲伊朗的组织也利用该事件进行有针对性的宣传活动，进一步放大了事件影响。这些数据可能来自与2024年沙特运动会官方网站相关的数据库，访客、运动员及其团队可在该网站注册并分享个人信息。如此规模的泄露涉及大量敏感数据，包括个人身份信息、国际银行账号以及体检证明等。大型体育赛事遭黑客攻击意义重大，可能对网络安全、体育诚信以及全球观众等多个领域产生广泛影响。

https://securityaffairs.com/179239/cyber-warfare-2/iran-linked-threat-actors-cyber-fattah-leak-visitors-and-athletes-data-from-saudi-games.html

6. APT28黑客利利用Signal对乌克兰发起新的恶意软件攻击

6月23日，俄罗斯政府支持的APT28威胁组织正利用Signal聊天应用攻击乌克兰政府目标，使用了两个此前未记录的恶意软件家族BeardShell和SlimAgent。此次攻击并非Signal平台本身的安全问题，而是威胁行为者利用该平台进行网络钓鱼。2024年3月，乌克兰计算机和应急响应部门（CERT-UA）首次发现这些攻击，但当时未披露感染媒介细节。2025年5月，因有人未经授权访问gov.ua电子邮件帐户引发新调查，CERT-UA发现通过Signal发送的消息被用于传递恶意文档，该文档利用宏加载Covenant内存驻留后门。Covenant作为恶意软件加载器，下载DLL和包含shellcode的WAV文件以加载BeardShell。BeardShell主要功能是下载并执行PowerShell脚本，结果泄露到C2服务器并通过Icedrive API通信。此外，在2024年的攻击中，CERT-UA还发现了名为SlimAgent的屏幕截图抓取工具，该工具使用一系列Windows API函数捕获屏幕截图，并使用AES和RSA加密存储在本地。CERT-UA将此活动归咎于APT28，并建议潜在目标监控相关网络交互。

https://www.bleepingcomputer.com/news/security/apt28-hackers-use-signal-chats-to-launch-new-malware-attacks-on-ukraine/