合规管理公司出现合规问题：Vanta系统漏洞导致客户数据交叉泄露：DevOps安全警报：配置错误成为加密劫持攻击新途径 | 牛览

•李强签署国务院令 公布《政务数据共享条例》

•84%的重大网络攻击利用合法系统工具

•合规管理公司出现合规问题：Vanta系统漏洞导致客户数据交叉泄露

•汽车行业大量弱密码使用暗藏安全隐患

•DevOps安全警报：配置错误成为加密劫持攻击新途径

•维多利亚的秘密因安全事件推迟财报发布

•医疗巨头Kettering Health遭勒索软件攻击两周后仍未完全恢复，业务靠手工完成

•新型勒索软件Lyrix利用先进规避技术攻击Windows用户

•微软与CrowdStrike合作，统一黑客组织命名映射

国务院总理李强日前签署国务院令，公布《政务数据共享条例》（以下简称《条例》），自2025年8月1日起施行。

《条例》旨在推进政务数据安全有序高效共享利用，提升政府数字化治理能力和政务服务效能，全面建设数字政府。《条例》共8章44条，主要包括以下内容。

一是明确总体要求。规定政务数据共享工作坚持中国共产党的领导，遵循统筹协调、标准统一、依法共享、合理使用、安全可控的原则。细化各级人民政府、政务数据共享主管部门、政府部门及其政务数据共享工作机构的职责。

二是优化目录管理。规定政务数据实行统一目录管理，明确政务数据目录编制、发布以及动态更新等要求。确定政务数据共享属性的分类，禁止擅自增设条件阻碍、影响政务数据共享。

三是细化共享使用要求。规定通过共享获取政务数据能够满足履职需要的，政府部门不得重复收集，明确牵头收集政务数据的政府部门的职责。细化政务数据共享申请、答复的流程及时限要求。明确政务数据质量管理、校核纠错及共享争议解决处理机制。规定上级政府部门应当根据下级政府部门的履职需要，在确保政务数据安全的前提下，及时、完整回流相关政务数据。

四是加强平台支撑。规定整合构建全国一体化政务大数据体系，要求已建设的政务数据平台纳入全国一体化政务大数据体系，原则上不新建政务数据共享交换系统。明确各级政府部门应当通过全国一体化政务大数据体系开展政务数据共享工作。

五是强化保障措施。按照谁管理谁负责、谁使用谁负责的原则，明确各环节安全责任主体，强调需求部门在使用依法共享政务数据过程中的安全管理责任。细化政府部门和受托方政务数据安全保护义务，明确个人信息保护及处理投诉举报要求。提出政务数据共享经费保障和预算管理要求。

原文链接：

https://www.gov.cn/yaowen/liebiao/202506/content_7026323.htm

根据网络安全公司Bitdefender Labs最新发布的研究报告，84%的重大安全事件现在涉及使用合法系统工具，这一策略被称为"借壳生存"(Living off the Land，LOTL)。

研究发现，攻击者最常用的工具包括netsh.exe（一种标准Windows网络配置管理工具），该工具出现在三分之一的重大攻击中。其次是powershell.exe、reg.exe、cscript.exe和rundll32.exe等管理员依赖但攻击者已学会利用的熟悉工具。报告还指出，攻击者正变得更加狡猾，开始利用较少人知道的工具，如主要由开发人员使用的sc.exe、msbuild.exe和ngen.exe。这些工具的使用往往逃避检测，因为它们超出了典型安全监控的范围。

区域分析显示工具使用习惯存在显著差异。例如，PowerShell.exe在欧洲、中东和非洲地区的97.3%的组织中被发现，但在亚太地区仅出现在53.3%的案例中。相反，reg.exe在亚太地区的使用率高于任何其他地区，这凸显了可能影响安全控制实施的不同行为模式。

原文链接：

https://siliconangle.com/2025/06/03/bitdefender-report-finds-84-major-attacks-now-involve-legitimate-tools/

合规管理公司Vanta近日确认，一个系统漏洞导致部分客户的私人数据被暴露给其他Vanta客户。此次数据泄露是产品代码变更所致，而非外部入侵造成。

Vanta是一家帮助企业客户自动化安全和合规流程的公司，该公司于5月26日发现问题，修复工作将于6月4日完成。此事件导致少于20%的第三方集成中的部分数据被暴露给其他Vanta客户，受影响的客户不到Vanta总客户数的4%。根据Vanta官网信息，该公司拥有超过1万家客户，这意味着此次数据泄露可能影响数百家Vanta客户。

据Vanta的客户透露，泄露的数据"通常包括"员工姓名、角色以及某些工具配置信息，如多因素认证的使用情况等。但是Vanta发言人在回应媒体询问时，未透露事件中涉及的客户数据类型，也未就Vanta员工数据是否泄露发表评论。

原文链接：

https://techcrunch.com/2025/06/02/vanta-bug-exposed-customers-data-to-other-customers/

NordPass与NordStellar联合发布的最新研究显示，尽管智能汽车和自动化系统不断进步，汽车行业仍面临严重的网络安全问题，主要源于弱密码和密码重复使用的普遍现象。

研究团队分析了来自暗网等公开渠道的2.5TB凭证数据库，发现汽车制造商、供应商和经销商普遍使用易破解的密码保护关键系统，如 "123456" 和 "P@ssw0rd" 等，以及与公司名称或角色相关的变体，如 "@Incontrol1976" 和 "caoa2024**" 。这些简单的凭证很容易被破解，使公司完全暴露于网络攻击之下。研究还发现，许多公司常常重复使用密码，仅做微小改动，如  "F3930ebbce"  和  "F3930ebbce@"  ，增加了安全漏洞风险。

人为因素是汽车行业在线安全的主要弱点之一，据报告显示，高达70%的数据泄露源于人为错误。员工经常使用电子邮件地址或个人姓名作为密码，使黑客更容易获得未授权访问。另一个关键漏洞是缺乏多因素认证(MFA)，这是验证用户身份的重要安全层。

为解决这些问题，研究建议企业实施员工网络安全培训，采用先进的网络安全解决方案，包括企业VPN和密码管理器，并强调多因素认证的重要性。研究还提到了密钥(passkeys)作为传统密码的更安全替代方案，NordPass的Authopia等工具可帮助公司集成这一技术。

原文链接：

https://hackread.com/smart-cars-dumb-passwords-auto-industry-weak-passwords/

安全研究公司Wiz最近发现了一场通过利用常见配置错误针对广泛使用的DevOps应用程序的复杂加密劫持活动。威胁行为者JINX-0132正在针对HashiCorp Nomad、Consul、Docker API和Gitea部署进行攻击。

与依赖自定义恶意负载的传统攻击不同，此次行动采用"开源生存"方法，直接从公共存储库下载合法工具，以规避通常会标记可疑二进制文件或命令与控制通信的检测机制。据Wiz数据显示，25%云环境含有至少一种被攻击技术，5%直接暴露于互联网，其中30%存在配置错误。部分被入侵实例管理数百客户端，月计算资源价值达数万美元。

在攻击 HashiCorp Nomad 时，JINX-0132利用其作业队列功能，通过访问服务器API在注册节点上执行任务。攻击者创建随机命名的恶意作业（如"resitajt"），配置从GitHub直接下载XMRig挖矿软件。攻击执行更新系统、安装wget、下载并配置XMRig，连接到 pool.supportxmr.com 矿池。挖矿程序占用90%的CPU资源，既最大化资源利用又保持系统稳定以逃避检测。

原文链接：

https://cybersecuritynews.com/threat-actors-exploiting-devops-web-servers-misconfigurations/

时尚零售巨头维多利亚的秘密因5月24日发生的安全事件，正在进行企业系统恢复工作，导致其推迟了2025年第一季度财报发布。

为应对此次事件，维多利亚的秘密于5月26日采取预防措施，关闭了企业系统、部分店内服务和电子商务网站。维多利亚的秘密在6月3日发布的新闻稿中透露，其网站已于2025年5月29日恢复，目前正在努力恢复企业系统的完全访问；该事件还影响了维多利亚的秘密和PINK商店的某些有限功能，大部分已经恢复。由于恢复过程阻碍了员工访问支持财报发布所需的系统和信息，该公司决定推迟原定的2025年第一季度财报发布和财报电话会议。

虽然维多利亚的秘密尚未透露有关事件性质的更多细节，但其新闻稿暗示这可能是一次勒索软件攻击，恢复操作正在进行中。这一事件发生在近期多家时尚公司遭受攻击之后，包括法国奢侈品牌迪奥和卡地亚，以及德国运动服装巨头阿迪达斯。

原文链接：

https://www.bleepingcomputer.com/news/security/victorias-secret-delays-earnings-release-after-security-incident/

拥有数十家医疗和急诊中心的美国医疗巨头Kettering Health，在遭受勒索软件攻击导致"全系统技术中断"两周后，仍在努力恢复正常运营。

Kettering Health于6月3日发布更新称，已恢复由Epic提供的电子健康记录系统的"核心组件"，重新建立了"更新和访问电子健康记录、促进护理团队间沟通以及协调患者护理的能力"。然而，多位患者反映仍面临严重问题。患者反应，当前Kettering Health无法补充药物、电话线路中断、MRI检查取消、癌症随访推迟、心脏手术前测试和化疗会议被取消等，甚至救护车也在避开Kettering，因为由于手工作业，他们必须等待太长时间才能转移患者。

Kettering Health透露，这是一次勒索软件攻击，且尚未支付赎金。攻击据信由名为Interlock的黑客组织实施，但该组织尚未公开承认此次网络攻击。Kettering Health成为最新一家被黑客攻击的医疗机构，这一趋势在医疗行业日益严重。

原文链接：

https://techcrunch.com/2025/06/03/health-giant-kettering-still-facing-disruption-weeks-after-ransomware-attack/

研究人员近日发现，复杂新型勒索软件"Lyrix"针对Windows系统使用一系列先进的规避技术，成功入侵北美和欧洲的多个企业网络，引起了全球安全研究人员的关注。攻击者主要利用公共应用程序中的未修补漏洞，特别是运行过时版本的Microsoft Exchange Server和VMware vCenter。

Lyrix采用了一种名为"行为变色龙模式"的新技术，根据目标环境中检测到的安全工具改变其执行模式。该恶意软件的影响超出了典型的文件加密范围，在启动主要加密程序前系统性地攻击备份系统、卷影副本和恢复分区。Lyrix还使用研究人员称为"注册表定时炸弹"的技术，创建看似合法的注册表项，在预定时间间隔执行休眠代码。该勒索软件采用多阶段加载器，通过explorer.exe和svchost.exe等合法Windows进程注入其主要有效载荷。此外，它还会监控分析环境，一旦检测到与安全研究工具相关的特定注册表项、文件路径和运行进程，就会立即终止执行。

专家建议组织加强对公共应用程序的漏洞管理，实施多因素身份验证，并定期备份关键数据到离线存储设备。

原文链接：

https://cybersecuritynews.com/new-lyrix-ransomware-attacking-windows-users/

微软与CrowdStrike于6月2日宣布建立合作伙伴关系，旨在连接各自用于特定威胁组织的别名，而非采用单一命名标准。两家公司将通过映射(或链接)各自安全分析师使用的不同名称来实现这一目标。

微软已更新其威胁行为者参考指南，列出了CrowdStrike和微软共同追踪的常见黑客组织，并使用各公司的命名系统进行映射。这一合作旨在让防御者能够更快、更高效地工作，尤其是在需要多个供应商洞察的环境中。

这一命名分类映射工作是简化重叠威胁行为者活动追踪的初步步骤，旨在避免不必要的混淆和复杂性。微软同时透露，Google/Mandiant和Palo Alto Networks的Unit 42也将贡献各自的信息，以使归因更快速、更清晰，未来可能有更多网络安全公司加入这一倡议。随着更多安全公司加入这一联盟并开始共享遥测数据，该倡议将带来清晰度，使网络防御者更容易翻译命名系统，并构建更准确的恶意活动视图。

原文链接：

https://www.bleepingcomputer.com/news/security/microsoft-and-crowdstrike-partner-to-link-hacking-group-names/