教育巨头培生遭网络攻击，数百万用户信息恐遭窃取

    为推动人工智能技术在网络安全领域的赋能应用、挖掘高应用价值网络安全业务场景、遴选优秀的人工智能技术产品，提高重要行业领域网络安全防护水平、促进网络安全产业技术能力提升，国家互联网应急中心组织开展2025年人工智能技术赋能网络安全应用测试活动。

本次测试活动共设置7个测试场景，包括基于智能体的网络安全自动化分析响应、网络安全告警日志降噪、基于互联网流量的漏洞利用攻击识别及PoC生成、基于局域网流量的漏洞利用攻击识别、大模型生成内容安全风险检测、重点车辆船舶监控系统资产脆弱性识别、信用卡异常业务行为检测。

    本次测试活动面向社会各企事业单位自愿报名参加。每家单位最多选派3个团队参与3个不同的场景测试；每个团队成员不超过3人，需全部来自同一单位且不得重复参与。报名时间为即日起至5月16日。

    相关测试指导单位组织本行业领域有需求的机构，参考测试结果积极应用人工智能产品或服务。对于表现优秀团队，鼓励其所属单位联合相关机构申报行业科技奖励，支持团队的成员参加网络安全人才队伍建设和相关行业科技创新人才评选。

    工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）5月8日发布《关于防范恶意VS Code扩展程序的风险提示》，指出监测发现，攻击者频繁利用伪造的VS Code扩展程序对JavaScript和Python开发者实施攻击，已造成多起企业数据泄露及系统被控事件。

恶意VS Code扩展程序首次发现于2018年，其本质是通过仿冒代码优化工具、智能脚本生成器等实用功能进行伪装，执行加密货币挖矿、窃取用户数据及实施远程控制等恶意行为。攻击者采用分段渗透策略：首先在VS Code官方扩展市场及第三方平台部署含基础功能的诱饵程序，随后通过伪造BitBucket协作平台的更新链接，向开发者设备投递加密恶意模块，再利用JavaScript的eval()函数动态解密并执行恶意代码，值得注意的是，该恶意扩展在激活前会智能检测调试环境与安全工具来规避分析。植入成功后，该恶意扩展会窃取源代码、API密钥等敏感信息，并在软件中创建后门，威胁企业信息安全。

    CSTIS建议相关单位及用户立即组织排查已安装的扩展程序，重点排查近期添加的格式化工具类插件，关闭非必要的网络共享等系统服务，启用进程白名单防护，隔离异常网络流量，限制VS Code进程的非必要外联行为，禁用可疑扩展功能。

    英国政府在刚刚闭幕的CYBERUK 2025会议上宣布了一系列新的网络安全评估计划，旨在推动"安全设计"原则的实施。这些新举措旨在帮助企业展示其网络弹性能力，并提升组织对所使用产品和服务的信心。

首个计划是网络弹性测试设施(CTFR)项目，该项目将建立一个可靠设施网络，以一致且结构化的方式独立审计技术供应商产品的网络安全性。这些评估可由公共和私营部门组织（包括英国政府）进行。CTRF旨在从传统的合规型方案转向基于原则的方法。

    此外，英国国家网络安全中心(NCSC)将于2025年初夏推出网络对抗模拟(CyAS)新计划。通过CyAS认证的公司将提供服务，测试组织的网络弹性，包括其预防、检测和响应模拟网络攻击的能力。

    参与这些计划的组织将收到一份报告，概述评估结果和需要修复的领域。达到所需安全标准的组织将获得NCSC认证标志，可用于市场营销目的。

    同时，英国政府还发布了新的《软件安全行为准则》，该指南列出了开发或销售软件的每个组织应采取的基本步骤。这一自愿性准则包含14项原则，软件供应商应实施这些原则，以在市场上建立一致的软件安全和弹性基准。

    以色列网络安全公司NSO Group Technologies Ltd.近日被判向Meta支付1.67亿美元赔偿金，结束了双方长达六年的法律战。此案源于NSO被指控在记者和活动人士的WhatsApp账户上安装间谍软件。

Meta于2019年起诉NSO集团，因此前多伦多研究机构Citizen Lab发现该间谍软件供应商在1,400个WhatsApp账户上安装了臭名昭著的Pegasus间谍软件。这些账户属于记者、活动人士和政府官员。一旦安装，攻击者可以远程控制受害者的摄像头和麦克风，同时获取位置信息、电子邮件和短信。而该软件只需发送一条短信即可安装，无需用户任何操作。

    Pegasus被描述为"有史以来开发的最强大的软件"，2021年曾成为苹果公司提起诉讼的焦点，尽管该诉讼后来被撤销。同年，美国商务部对NSO集团实施制裁，认定其间谍软件对官员、记者和学者构成恶意威胁。

    NSO集团可能会对判决提出上诉，其发言人Gil Lainer表示，此类软件旨在防止"严重犯罪和恐怖主义，并由授权的政府机构负责任地部署"。

    LockBit勒索软件团伙近日遭遇数据泄露，其暗网附属面板被篡改，替换为一条指向MySQL数据库转储文件的消息。所有勒索软件团伙的管理面板现显示："不要犯罪，犯罪是不好的，来自布拉格的问候"，并附有下载"paneldb_dump.zip"的链接。

    根据BleepingComputer分析，这个数据库包含20个表，其中最值得关注的包括：

包含59,975个比特币地址的"btc_addresses"表；

包含攻击用构建信息的"builds"表，部分记录了目标公司名称；

包含不同构建配置的"builds_configurations"表；

包含4,442条勒索软件运营商与受害者之间谈判消息的"chats"表；

列出75名管理员和附属成员的"users"表，密码以明文形式存储。

    LockBit运营商"LockBitSupp"已确认此次入侵，但表示没有私钥泄露或数据丢失。数据库似乎是在2025年4月29日被转储的。目前尚不清楚谁实施了这次入侵以及具体方法，但篡改信息与最近Everest勒索软件暗网站点遭遇的入侵相匹配。

    2024年，执法行动"Operation Cronos"曾摧毁LockBit的基础设施。虽然LockBit后来重建并恢复运营，但这次最新入侵进一步打击了其已受损的声誉。

    根据Cyble最新发布的博客报告，在RansomHub状态不明的情况下，Qilin已在2025年4月成为最活跃的勒索软件组织。

    RansomHub的数据泄露网站于4月1日下线，随后DragonForce声称已接管其基础设施并呼吁RansomHub的附属成员加入。然而，Cyble报告显示，Qilin似乎从这一混乱局面中获益最多，4月份以74个声称的受害者跃居首位，而DragonForce仅有21个受害者。Cyble还记录了两个新的勒索软件组织：Silent Team和Gunra。

4月份全球勒索软件攻击总数有所下降，Cyble记录了450起声称的勒索软件受害者，低于3月份的564起。美国仍然是主要目标，遭受了234次攻击，占全球总数的52%，超过整个欧洲(108次)的两倍。值得

    注意的是，4月份发生了多起可能导致软件供应链和下游客户攻击的严重勒索软件事件：

    教育巨头培生近期遭遇网络攻击，威胁行为者窃取了该公司数据和客户信息。作为英国教育公司和全球最大的学术出版、数字学习工具和标准化评估提供商之一，培生通过印刷和在线服务与70多个国家的学校、大学和个人合作。

培生对媒体表示，他们最近发现未授权行为者获取了其部分系统的访问权限。据消息人士透露，威胁行为者于2025年1月通过在公开的.git/config文件中发现的GitLab个人访问令牌(PAT)入侵了培生的开发环境。在对培生的攻击中，暴露的令牌允许威胁行为者访问公司的源代码，其中包含云平台的硬编码凭证和身份验证令牌。在接下来的几个月里，威胁行为者据报道利用这些凭证从公司的内部网络和云基础设施（包括AWS、Google Cloud以及Snowflake和Salesforce CRM等各种基于云的数据库服务）窃取了数TB的数据。

    被盗数据据称包含客户信息、财务数据、支持票据和源代码，影响了数百万人。培生表示被盗数据主要是"遗留数据"，但拒绝就是否支付赎金、"遗留数据"的具体含义、受影响客户数量以及是否会通知客户等问题发表评论。

    安全研究人员近期揭露，钓鱼即服务(PhaaS)平台"Darcula"通过大规模网络钓鱼活动窃取了约88.4万张信用卡详细信息，吸引了全球超过1300万次点击。安全专家基于暗网上被盗金融数据的当前价值估计，该活动可能造成经济损失超过1.5亿美元。

    这一始于2024年底的行动已经影响了32个国家的消费者。Darcula平台通过其先进的基础设施和基于订阅的模式，使技术能力有限的网络犯罪分子也能发起复杂攻击。该服务为客户提供银行网站、电子商务平台和支付门户的逼真复制品，配备真实的SSL证书和精心设计的域名以逃避检测。Darcula还能通过实时会话劫持技术绕过多因素认证，拦截并转发认证码。

    Mnemonic分析师于2025年2月发现了Darcula行动，追踪到一个横跨多个国家的命令与控制基础设施，主要服务器位于东欧和东南亚。该平台最复杂的方面是其高级感染机制，采用多阶段有效载荷传递系统规避安全解决方案。当用户在这些令伪造网站上输入信息时，JavaScript会捕获数据并在传输前加密，然后通过一系列代理中继到Darcula的安全存储基础设施。

    Google在5月份的Android安全更新中修复了46个安全漏洞，其中包括一个已在野被黑客利用的Android高危越界写入漏洞（CVE-2025-27363）。这个漏洞存在于System组件中，成功利用可导致本地代码执行。

    Google在安全公告中指出："利用该漏洞不需要用户交互。有迹象表明CVE-2025-27363可能正在遭受有限的、有针对性的利用。"早在今年3月中旬，Meta曾警告开源字体渲染库FreeType库中的一个越界写入漏洞（即CVE-2025-27363）可能已被积极利用。该漏洞存在于FreeType 2.13.0及更早版本中，当尝试解析与TrueType GX和可变字体文件相关的字体子字形结构时会触发。

FreeType 2.13.0及更早版本在处理TrueType GX和可变字体文件时存在堆缓冲区溢出漏洞。该漏洞源于在解析字体子字形结构时，代码将有符号short值错误地转换为无符号long，并在添加静态值后发生整数回绕，导致分配的堆缓冲区过小。随后，程序会在此缓冲区边界外写入最多6个有符号长整数，可能导致任意代码执行。

    专家警告称，多个Linux发行版正在使用过时的库版本，使其容易受到攻击。Google建议所有用户尽可能更新到最新版本的Android，因为较新版本的功能增强使许多问题的利用变得更加困难。

Cisco近日修复了IOS XE软件无线局域网控制器中的一个最高严重级别（CVSS评分10.0）漏洞（CVE-2025-20188）。该漏洞源于硬编码的JSON Web Token (JWT)，允许未经身份验证的远程攻击者完全控制设备。

攻击者可以通过向AP镜像下载接口发送精心构造的HTTPS请求来利用此漏洞，成功利用后可以上传文件、执行路径遍历和以root权限执行任意命令。值得注意的是，此漏洞仅在启用"带外AP镜像下载"功能时才可被利用，该功能默认处于禁用状态。此功能允许接入点(AP)通过HTTPS而非CAPWAP协议下载操作系统镜像，为AP提供更灵活直接的固件获取方式。尽管默认禁用，但某些大规模或自动化企业部署可能会启用它以加快AP的配置或恢复速度。

    受影响的设备包括：

    Catalyst 9800-CL云无线控制器

    Catalyst 9300、9400和9500系列交换机的嵌入式无线控制器

    Catalyst 9800系列无线控制器

    Catalyst AP上的嵌入式无线控制器

    Cisco已发布安全更新修复此关键漏洞，系统管理员应尽快应用这些更新。用户可使用Cisco Software Checker确定适合其特定设备型号的修复版本。虽然目前没有CVE-2025-20188的缓解措施或变通方法，但禁用"带外AP镜像下载"功能是一种有效防御手段。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除