两周内的泄露事件和威胁情报

有个需求正好随便在各渠道收集了下一些较为真实的攻击泄露事件，发现这两周也没什么敏感的国内事件，整理出来给有需要大家做个参考使用，时间是前两周内的事件和情报（还有上篇文章挺多问ai的使用方式，就是把诉讼文件直接扔给ai，定义一些框架，比如不能臆造和想要分析的方向和想要的结果之类的，出的结论其实不错，我看了下挺认同的就直接发出来了，之后如果有类似的ai文章会把过程和定义都贴进去的）：

主要攻击和事件：

纽约大学遭受了一次网络攻击，导致超过 300 万名申请者的数据被泄露，包括姓名、考试成绩、专业和邮政编码。黑客重定向了纽约大学的网站以显示此信息，声称尽管最高法院 2023 年裁定平权法案无效，但该大学仍继续使用对种族敏感的招生政策。泄露事件还包括包含可追溯到 1989 年的录取数据的可下载文件。
吉隆坡国际机场成为网络攻击的受害者，导致其移民系统中断，导致入境和出境旅客严重延误。据报道，该事件影响了值机柜台，并导致机场各处排起了长队。当局证实，黑客要求支付 1000 万美元的赎金。
乌克兰国有铁路运营商已成为重大网络攻击的目标，导致其在线服务中断，包括用于购票的移动应用程序。虽然这次袭击没有影响火车时刻表，但它确实给不得不在车站亲自购票的乘客造成了极大的不便。
沃尔玛旗下的美国仓储连锁超市 Sam's Club 正在调查有关潜在网络安全事件的索赔。Clop 勒索软件团伙已将 Sam's Club 列入其暗网泄露网站，声称该公司忽视了安全问题。威胁行为者尚未发布任何违规证据，山姆会员店尚未透露有关该事件的任何具体细节。
宾夕法尼亚州的联合县披露，该县遭受了勒索软件攻击。根据该县的声明，攻击中泄露的信息包括社会安全号码和驾驶执照。目前还没有勒索软件组织对这次攻击负责。
美国移动解决方案公司 Numotion 遭受了一次网络攻击，导致近 500,000 人遭受数据泄露。在成功发送网络钓鱼电子邮件后，未经授权的第三方在 2024 年 9 月 2 日至 2024 年 11 月 18 日期间访问了其部分员工的电子邮件账户。
Abracadabra Finance 遭受了一次网络攻击，导致价值约 1300 万美元的数字货币被盗。此次泄露事件可追溯到他们的“大锅”中的漏洞，即允许用户以各种加密货币为抵押借款的孤立借贷市场。该公司正在与安全公司合作调查该事件，并向攻击者提供 20% 的漏洞赏金，以退还被盗资金。
美国第二大律师协会德克萨斯州律师协会遭受勒索软件攻击，导致其网络遭到未经授权的访问，泄露了包括全名和法律案件文件在内的敏感会员信息。INC 勒索软件团伙声称对此次攻击负责，并且已经泄露了被盗文件的样本。
西雅图港披露了 2024 年的一次勒索软件攻击，该攻击导致数据泄露，暴露了大约 90,000 人的个人信息，包括姓名、出生日期、社会安全号码、驾驶执照号码和一些医疗信息。此次泄露影响了员工、承包商和停车记录的数据，约有 71,000 名受影响的人居住在华盛顿州。该攻击归因于 Rhysida 勒索软件作。
明尼苏达州原住民部落是勒索软件攻击的受害者，该攻击导致其医疗保健、政府和赌场系统受到广泛破坏。该事件导致通信、数字游戏和酒店预订服务中断。RansomHub 团伙声称这次攻击。
据称，英国皇家邮政遭到数据泄露，导致 293 个文件夹和 16,549 个文件泄露，其中包含姓名、实际地址、电话号码和包裹详细信息等个人数据。此次泄露是通过 Spectos 发生的，Spectos 是一家受感染的德国物流管理供应商，据报道，GHNA 黑客组织出售了 144GB 的数据。
美国牙科服务提供商 Chord Specialty Dental Partners 遭受了一次网络攻击，导致在 2024 年 8 月 19 日至 9 月 25 日期间，多个员工电子邮件账户遭到未经授权的访问。攻击者访问了敏感信息，包括姓名、出生日期、地址、银行账户数据、驾照号码、社会安全号码、健康保险信息和医疗记录。
大型汽车租赁公司 Europcar Mobility Group 证实了一次网络攻击，据称该攻击破坏了其 GitLab 存储库，导致其 Android 和 iOS 应用程序以及 SQL 备份的源代码被盗。暗网论坛用户声称已经暴露了 9,000 多个 SQL 文件和 269 个 .包含个人数据（如姓名和电子邮件地址）的 ENV 文件，影响 50k 到 200K 客户。

主要威胁情报报告：

研究人员报告了 Weaver Ant 的网络间谍行动，Weaver Ant 分析疑似和国内有关，针对亚洲一家主要电信提供商。该组织利用家用路由器并部署了一种新颖的 Web Shell 来渗透网络，旨在实现持续访问和敏感数据收集。Weaver Ant 的策略包括利用 Web Shell 和隧道技术在受感染的环境中保持持久性。
研究人员通过利用其数据泄露站点（DLS）中的错误配置，发现了 BlackLock 勒索软件团伙内部的重大作安全漏洞。此漏洞允许访问内部命令、配置文件和凭据，揭示了 BlackLock（Eldorado 勒索软件组织的更名版本）已在全球各个领域（包括技术、制造、建筑、金融和零售）感染了 46 名受害者。
研究人员检测到与俄罗斯有关的威胁行为者 Water Gamayun 利用 CVE-2025-26633 的活动，这是 Microsoft 管理控制台（MMC）中的零日漏洞。此缺陷允许攻击者通过纵 .msc 文件和多语言用户界面路径（MUIPath）来执行恶意代码，从而实现未经授权的代码执行和数据泄露。Microsoft 已发布一个补丁来解决此漏洞。
CISA 发布了一份关于“Resurge”的恶意软件分析报告，这是一种通过 CVE-2025-0282（1 月份披露的严重缓冲区溢出漏洞）以 Ivanti Connect Secure 设备为目标的后门恶意软件。Resurge 与 SpawnChimera 恶意软件共享功能，包括 SSH 隧道、Web shell 部署和文件作，以保持持久性并逃避检测。威胁行为者可以使用它来提升权限、获取凭据和纵系统完整性。
Check Point Research 发现，22% 的恶意电子邮件附件中使用的 PDF 越来越多地被武器化以隐藏恶意负载。威胁行为者利用 PDF 格式的复杂性，利用混淆技术（如良性重定向服务、二维码和静态分析规避）来嵌入隐藏的链接和代码，绕过传统的检测机制。
研究人员警告说，针对配置错误和公开暴露的 PostgreSQL 服务器的无文件加密挖矿程序活动。被称为 Jinx-0126 的威胁行为者利用弱的、可猜测的凭据以无文件方式部署 XMRig-C3 加密矿工，并为每个受害者分配一个唯一的挖矿工人。
研究人员报告了导致 BlackSuit 勒索软件感染的恶意 zoom 安装程序。攻击者使用加载程序和恶意软件（d3f@ckloader、IDAT 加载程序、SectopRAT、Cobalt Strike、Brute Ratel、QDoor）进行横向移动，窃取数据并在 9 天内部署勒索软件。
研究人员在 PyPI 上发现了一个名为“disgrasya”的恶意 Python 包，该包通过 CyberSource 支付网关自动攻击针对 WooCommerce 商店的刷卡攻击。该软件包在 7.36.9 版本中引入，下载量超过 34,000 次，模拟合法的结账流程，以测试被盗的信用卡并促进自动欺诈。