安全简讯（2025.07.03）

1. 江森自控开始通知受2023年数据泄露事件影响的用户

7月1日，全球楼宇自动化巨头江森自控近日披露，其2023年9月遭受的勒索软件攻击导致超过27TB敏感数据被盗，攻击者要求支付5100万美元赎金以换取数据解密和删除。此次事件始于2023年2月亚洲办事处网络被入侵，攻击者通过横向移动渗透至核心系统，最终在9月部署定制化勒索软件，加密VMware ESXi虚拟机并瘫痪关键基础设施。作为跨国工业集团，江森自控在150个国家拥有10万名员工，其安防、暖通空调及消防系统广泛应用于全球地标建筑。此次攻击导致其全球IT系统大规模宕机，客户订单处理、设备维护等核心业务中断数周。公司向美国证券交易委员会（SEC）提交的文件显示，事件响应与修复成本已达2700万美元，且预计将持续攀升。调查发现，攻击者窃取的数据涵盖员工信息、客户合同、产品研发资料及商业机密，部分文件被上传至名为“Dunghill Leaks”的暗网泄密平台。网络安全专家将此次攻击归因于Dark Angels勒索组织。公司强调，尽管支付了2700万美元应急费用，但拒绝向勒索者妥协，所有系统已通过备份恢复运行。

https://www.bleepingcomputer.com/news/security/johnson-controls-starts-notifying-people-affected-by-2023-breach/

2. 蓝牙耳机高危漏洞曝光，索尼等品牌设备面临监听风险

7月1日，德国网络安全公司ERNW近日披露，全球数百万台使用Airoha Systems芯片的蓝牙耳机存在严重安全漏洞，攻击者可利用该漏洞在无需配对或认证的情况下完全控制设备，直接威胁用户隐私安全。此次漏洞影响范围广泛，涵盖索尼、Bose、Marshall、Jabra、JBL等十余个主流品牌的数十款热门型号，包括索尼WH-1000XM系列降噪耳机、Bose QuietComfort耳塞、Marshall STANMORE III音箱等市场畅销产品。研究显示，漏洞核心源于Airoha蓝牙芯片的自定义协议缺陷（CVE-2025-20702）。攻击者仅需处于蓝牙信号覆盖范围（约10米内），即可通过该协议直接读写设备内存或固件，实现恶意代码注入、固件篡改等操作。更严峻的是，黑客可冒充已配对设备向用户手机发送指令，例如窃取通话记录、联系人信息，甚至远程操控麦克风进行实时监听。尽管实际攻击需较高技术水平且依赖物理邻近性，但针对政要、记者、企业高管等高价值目标的潜在风险仍引发担忧。Airoha虽已于2025年6月向厂商提供修复补丁，但设备制造商的固件更新进度参差不齐。

https://cybernews.com/security/millions-of-headphones-vulnerable-to-bluetooth-hacks/

3. 俄罗斯国防巨头NPO Mars遭黑客攻击，海军机密数据泄露

7月1日，俄罗斯联邦级国防承包商NPO Mars近日遭遇严重数据泄露事件，攻击者宣称窃取了250GB敏感军事文件，涉及俄罗斯海军核心指挥控制系统。根据研究团队的调查，泄露数据包含大量标注为“绝密”的PDF文件和技术手册，部分文件更新至2025年3月，证实攻击具有高度时效性。其中，名为“SIGMA-20385”的作战信息与控制系统手册尤为关键，该系统负责俄罗斯海军舰艇的机动控制、反潜防御及导弹武器协同。攻击者发布的视频广告更声称已入侵“TRASSA”综合指挥系统及“DIEZ”扫雷艇自动控制系统，甚至演示篡改俄军舰艇坐标数据的操作界面，暗示其具备实时干扰能力。NPO Mars作为俄罗斯军事科技核心企业，其业务覆盖自动化指挥系统、装甲车辆控制平台及海军舰艇电子设备研发，员工规模超1100人。技术分析显示，攻击者可能通过钓鱼攻击获取初始访问权限，继而渗透至内网窃取机密文档。值得注意的是，泄露数据样本中既包含2017年的历史文件，也涵盖2024年更新的技术手册，表明攻击者具备长期潜伏能力。

https://cybernews.com/security/russian-defense-contractor-mars-breach-navy/

4. CISA将TeleMessage TM SGNL高危漏洞纳入KEV目录

7月2日，美国网络安全和基础设施安全局（CISA）正式将TeleMessage TM SGNL通信平台中的两项严重漏洞（CVE-2025-48927、CVE-2025-48928）列入“已知被利用漏洞目录”（KEV），要求联邦机构于2025年7月22日前完成修复，并呼吁私营部门同步自查。CVE-2025-48927（CVSS评分5.3）源于TeleMessage TM SGNL的Spring Boot Actuator组件配置错误，导致敏感的/heapdump堆转储端点暴露。攻击者可利用该漏洞直接访问内存快照，窃取未加密的凭证、会话令牌等敏感数据。CVE-2025-48928（CVSS评分4.0）则涉及核心转储文件暴露问题，TeleMessage服务的JSP应用在处理HTTP请求时，将用户密码等明文信息直接写入堆内存快照，且文件权限控制缺失，使得未经授权的攻击者均可获取这些数据。CISA在公告中强调，这两个漏洞的组合利用可能形成完整攻击链：攻击者首先通过CVE-2025-48927获取系统内存数据，再利用CVE-2025-48928提取存储的密码，从而横向渗透至内部网络。值得关注的是，TeleMessage TM SGNL作为企业级通信平台，被多家联邦机构用于敏感信息传输，漏洞利用可能导致机密数据泄露或供应链攻击。

https://securityaffairs.com/179542/hacking/u-s-cisa-adds-telemessage-tm-sgnl-flaws-to-its-known-exploited-vulnerabilities-catalog.html

5. 朝鲜黑客部署NimDoor复杂恶意软件

7月2日，朝鲜政府背景的黑客组织正利用一款名为NimDoor的新型macOS恶意软件，对全球web3及加密货币领域发起精准攻击。网络安全公司SentinelLabs在最新报告中披露，该攻击链通过Telegram社交工程诱骗受害者运行伪装成Zoom SDK更新的恶意程序，其技术复杂度与隐蔽性达到朝鲜黑客工具库的全新高度。研究显示，NimDoor采用C++与Nim语言混合编译的二进制组件，形成模块化攻击框架。初始感染阶段，名为"installer"的二进制文件负责系统环境部署，植入"GoogIe LLC"和"CoreKitAgent"两个核心模块。作为核心载荷的CoreKitAgent展现出多项突破性技术：其一，采用事件驱动架构，通过macOS的kqueue机制实现异步任务管理；其二，内置10例状态机控制流，可根据运行时条件动态调整攻击逻辑；其三，开创性地使用基于信号的持久化机制。在数据窃取层面，NimDoor构建了双通道攻击链。主链通过解码十六进制AppleScript，每30秒向C2服务器发送系统信标，并执行远程osascript命令实现轻量级后门控制。辅助链则利用"zoom_sdk_support.scpt"加载器启动WebSocket通信，下载upl和tlgrm两个脚本，形成从系统信息到加密货币钱包的完整窃取链路。

https://www.bleepingcomputer.com/news/security/nimdoor-crypto-theft-macos-malware-revives-itself-when-killed/

6. 医疗器械公司Surmodics报告遭受网络攻击

7月3日，美国医疗设备制造商Surmodics近日披露，其于6月5日遭受网络攻击导致部分IT系统瘫痪，成为今年第三家向美国证券交易委员会（SEC）报告此类事件的上市医疗器械公司。这家总部位居明尼苏达州的企业作为全球最大外包亲水涂层供应商，其产品广泛应用于血管内医疗器械以降低摩擦系数。攻击发生后，公司IT团队迅速检测到异常访问并主动切断系统，转而通过手工流程维持客户订单处理与发货，但此次事件仍暴露出医疗供应链数字化转型中的深层安全隐患。根据SEC备案文件，Surmodics在网络安全专家协助下已部分恢复关键系统，但黑客窃取数据的具体范围仍在评估中。公司首席财务官蒂莫西·阿伦斯（Timothy Arens）警示，此次事件带来的风险远未消除：除持续进行的系统修复外，管理层需分心应对潜在诉讼、客户信任危机及监管审查。尽管公司坚称未发现客户或第三方数据泄露，但医疗行业近期集体诉讼频发，使得Surmodics对法律风险保持高度警惕。

https://therecord.media/surmodics-medical-device-company-reports-cybersecurity-incident