安全简讯（2026.05.18）

1. 荷兰临床诊断中心遭攻击致85万人数据泄露

5月14日，荷兰卫生和青年护理督察局（IGJ）近日公布的一项调查结论显示，在2025年7月发生的大规模网络攻击之前，临床诊断中心长期未符合医疗保健行业法律规定的信息安全标准。该中心因参与宫颈癌筛查项目，持有大量敏感个人健康信息。攻击事件发生后，勒索软件团伙Nova入侵其IT系统，最初报告窃取了48.5万名参与者的数据，后经实验室修正，实际受影响人数高达85万人。为解决问题，该中心向黑客支付了数额不详的赎金。IGJ在彻底调查后发现，该实验室存在多项重大缺陷。首先，攻击者利用一个被盗用的用户账户，通过远程桌面连接成功访问了旧版操作系统，但该账户如何被盗用至今仍是未解之谜。其次，由于人为错误，遗留环境完全未受监控，安全运营中心（SOC）因信息错误误以为相关旧环境已不再运行，因而禁用了对其的监控，导致日志中的异常行为未能被及时发现。第三，尽管被盗用的账户使用了16个字符的密码，但多因素身份验证功能在攻击发生时已被禁用，极大降低了攻击门槛。最为严重的是，在事件发生前的整整三年里，该实验室从未进行过任何审计来审查其网络安全和数据保护状况。

https://cybernews.com/security/dutch-lab-security-standards-hackers-cancer-patients-data/

2. 黑客组织声称入侵英国航空，泄露机组及医疗数据

5月14日，一个名为“基础设施破坏小组”的黑客组织近日声称成功入侵了英国航空公司的内部系统，并泄露了敏感的机组人员信息及医疗数据。该组织在其Telegram频道上发布消息称，已获得英航服务器、内部系统及医疗服务器的访问权限，泄露的数据包括高度敏感的个人信息。据攻击者描述，他们侵入了员工门户网站，机组人员和飞行员在此记录日程安排、病假申请及提交其他与工作相关的个人信息。为了佐证其说法，该团伙公布了数据样本，包括疑似英航内部系统仪表盘的截图，如机组人员门户网站和Cognito AI数据分析平台的界面。样本中包含员工个人信息及病假申请记录，而完整数据集可能进一步涵盖机组人员向雇主提供的医疗数据。攻击者声称，他们是通过一个被盗用的员工账户实现入侵的，该账户拥有对整个管理员控制面板的访问权限。此外，该团伙还宣称已攻破英航的数据中心，并提供了撞库攻击的截图作为证据，声称数据中心泄露了员工病假申请及机组人员与管理层之间的通信记录。研究团队警告称，此类数据可用于收集英国航空公司的通信模式及航班运营方式，可能导致更多运营中断。

https://cybernews.com/security/british-airways-crew-data-breach/

3. 美国贷款中心数据泄露，12.3万人信息遭窃

5月17日，美国贷款中心（American Lending Center）是一家位于加利福尼亚州的非银行贷款机构，管理着30亿美元的政府担保小企业贷款组合。该机构于2025年7月发现了一起勒索软件攻击，但取证调查直至2026年4月8日才完成，耗时近九个月。调查确认，攻击者入侵了ALC内部网络，访问了包含姓名、出生日期和社会安全号码等个人身份信息的文件。尽管目前无证据表明信息已被滥用，也无勒索组织公开宣称负责，可能因已支付赎金或该组织无公开泄密网站，但此次事件已导致超过12.3万名个人面临信息泄露风险，受影响者主要包括申请或获得政府担保贷款的小企业主及相关人士。从首席信息安全官视角看，此次披露中最关键的操作隐患在于“发现到调查结束”的九个月时间差：在此期间，受影响个人无法采取任何保护措施，而加州等多州法律明确规定通知期限应从发现之日起算，而非调查结束之日。因此，延长调查不仅构成安全风险，更带来监管违规风险。

https://securityboulevard.com/2026/05/american-lending-center-data-breach-affects-123000-individuals-after-nearly-year-long-investigation/

4. Tycoon2FA新增设备代码钓鱼劫持微软账户

5月17日，尽管国际执法部门在3月对Tycoon2FA网络钓鱼平台开展了扰乱行动，该恶意工具包却迅速在新基础设施上完成重建，并恢复到正常活动水平。本月初，Abnormal Security证实Tycoon2FA不仅已恢复运营，还增加了新的混淆层以增强抗破坏能力。4月下旬，研究人员发现该工具包开始利用OAuth 2.0设备授权授予流程，发动设备代码钓鱼攻击，以劫持Microsoft 365账户。Tycoon2FA的设备代码钓鱼攻击始于受害者点击诱饵邮件中的Trustifi点击跟踪URL，邮件以发票为主题，包含Trustifi跟踪链接，该链接经过Trustifi、Cloudflare Workers及多层混淆JavaScript后，最终将受害者引导至伪造的Microsoft CAPTCHA页面。该页面从攻击者后端获取设备代码，指示受害者复制并前往微软合法设备登录页面完成MFA，随后微软向攻击者控制的设备颁发OAuth访问令牌和刷新令牌。值得注意的是，Tycoon2FA内置了针对研究人员和自动化扫描的广泛防护机制：可检测Selenium、Puppeteer等工具，阻止安全厂商、VPN、沙箱、AI爬虫和云提供商，并部署调试器计时陷阱，来自分析环境的请求会被自动重定向至合法微软页面。

https://www.bleepingcomputer.com/news/security/tycoon2fa-hijacks-microsoft-365-accounts-via-device-code-phishing/

5. WordPress Funnel Builder插件严重漏洞遭积极利用

5月17日，WordPress生态中一款安装量超过4万的Funnel Builder插件（来自FunnelKit）被发现存在一个严重漏洞，且正被攻击者积极利用。据Sansec研究人员报告，该漏洞允许未经身份验证的攻击者向WooCommerce结账页面注入恶意JavaScript代码，从而窃取顾客在购物过程中输入的支付信息。攻击者利用了插件中一个缺乏权限校验的端点，通过修改插件的全局设置中的“外部脚本”选项，直接植入恶意<script>标签。这一标签会在每一次结账交易中自动运行，导致所有通过该插件完成的付款都可能被泄露。具体而言，攻击者注入的是伪造的Google Tag Manager或Google Analytics脚本，使其看起来像是合法的分析代码，以逃避常规检测。该加载程序会静默地从攻击者控制的域下载第二阶段脚本，并通过WebSocket连接与远程C2服务器建立通信，随后部署一个定制化的支付窃取程序，在结账过程中实时抓取信用卡号、CVV码、账单地址及其他客户敏感数据。FunnelKit已意识到该漏洞的存在，并敦促用户立即将Funnel Builder插件更新至3.15.0.3版本。

https://securityaffairs.com/192260/cyber-crime/attackers-exploit-funnel-builder-bug-to-inject-e-skimmers-into-e-stores.html

6. Secret Blizzard将Kazuar后门升级为P2P僵尸网络

5月16日，俄罗斯黑客组织Secret Blizzard将其运行已久的Kazuar后门程序开发成了一个模块化的点对点（P2P）僵尸网络，旨在实现长期持久性、高度隐蔽性和高效数据收集。微软研究人员最新分析发现，Kazuar现由三个核心模块构成：内核模块、桥接模块和工作模块。内核模块是中央协调器，负责管理任务、控制其他模块并协调整个僵尸网络的通信与数据流。桥接模块充当外部通信代理，使用HTTP、WebSockets或Exchange Web Services（EWS）等协议在领导者与远程C2之间中继流量；内部通信则依赖进程间通信（IPC），包括Windows消息传递、邮件槽和命名管道，能良好融入正常系统噪声，且所有消息均经AES加密并使用Google Protocol Buffers（Protobuf）序列化。工作模块负责执行实际间谍活动，包括键盘记录、截屏、文件系统采集、系统和网络侦察、收集电子邮件及Outlook数据、监控窗口、窃取最近文件等。收集的数据经本地加密存储后，通过桥接模块导出。

https://www.bleepingcomputer.com/news/security/russian-hackers-turn-kazuar-backdoor-into-modular-p2p-botnet/