网络安全动态 - 2025.07.18 - 新鲜讯息

网络安全动态 — Cyber Daily

2025.07.18

公募基金S级信息安全事故致薪资数据大规模泄露

关键词：公募基金薪资数据

2025年07月17日报道。上海某公募基金被曝发生S级信息安全事故，财务部及固收二部共19名员工薪资明细外泄。泄露数据包含员工ID、登录账号、职级及月薪（精确至分）。

Source:https://www.freebuf.com/articles/439715.html

隐蔽SquidLoader恶意软件攻击香港金融机构部署Cobalt Strike

关键词：金融机构恶意软件

2025年07月17日报道。Trellix发现针对香港金融机构的SquidLoader恶意攻击。攻击者通过中文钓鱼邮件传播伪装成外汇注册表的密码保护RAR文件，诱导执行后释放SquidLoader加载器。该恶意软件采用动态API解析、反调试、检测沙箱用户名（如Abby）及安全工具（IDA Pro）等技术，实现近乎零检出率。

Source:https://securityonline.info/stealthy-squidloader-malware-targets-hong-kong-financial-firms-with-evasive-cobalt-strike-attacks/

Fortinet FortiWeb实例遭大规模Webshell攻击漏洞CVE-2025-25257被武器化

关键词：FortiWeb Webshell

2025年07月16日报道。Fortinet FortiWeb设备因高危漏洞CVE-2025-25257（CVSS 9.6）遭大规模入侵，攻击者利用公开PoC代码通过SQL注入部署Webshell。自7月11日漏洞利用代码公开后，至少77台设备被攻陷，223台管理接口暴露互联网。

Source:https://cybersecuritynews.com/fortinet-fortiweb-instances-hacked/

关于开展个人信息保护负责人信息报送工作的公告

关键词：个保负责人

2025年07月18日报道。依据《个人信息保护法》等法规，处理超100万个人信息的企业需向所在地网信部门报送负责人信息。新达标者须在30个工作日内完成报送，已达标企业需于2025年8月29日前提交，信息变更需30日内更新。报送通过“个人信息保护业务系统”线上办理，未履行义务将依法追责。

Source:

四川某科技公司未落实网络安全义务致数据泄露被罚

关键词：科技公司数据泄露处罚

2025年07月18日报道。四川成都某科技公司因未落实网络安全等级保护制度且缺乏必要技术防护措施，导致购票管理系统数据泄露并被用于违法犯罪活动。该公司作为运营主体未履行《网络安全法》规定义务，四川公安网安部门已依法对企业和直接责任人实施行政处罚。