巴拿马经济和财政部遭INC勒索软件攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

巴拿马经济和财政部遭INC勒索软件攻击

颁布功夫 2025-09-15

1. 巴拿马经济和财政部遭INC勒索软件攻击

9月11日，，，，，，，巴拿马经济和财政部（MEF）近日披露，，，，，，，其一台工作站推算机可能遭逢恶意软件攻击，，，，，，，当局已启动安全法式并强调事务已得到节造，，，，，，，未影响主题系统运营。。。。。。。MEF在官方申明中指出，，，，，，，检测到异常后立即激活既定安全和谈，，，，，，，加强整个IT系统的预防措施，，，，，，，并明确中央系统及平台均未受损，，，，，，，目前正常运行。。。。。。。作为巴拿马主题财政治理机构，，，，，，，MEF掌管财政政策造订、公共支出调控、债务治理及巴拿马运河收入治理。。。。。。。该部强调，，，，，，，幼我与机构数据安全，，，，，，，并已执行所有行业尺度防护措施以防备后续风险。。。。。。。然而，，，，，，，勒索软件组织INC Ransom上周在暗网数据泄露网站颁布申明，，，，，，，宣称对MEF提议攻击并窃取超过1.5TB数据，，，，，，，蕴含电子邮件、财政文件、预算明细等敏感信息。。。。。。。该组织于9月5日将MEF列入受害者名单，，，，，，，并泄露内部文件样本作为违规证据。。。。。。。INC Ransom成立于2023年中期，，，，，，，以勒索软件即服务（RaaS）模式运作，，，，，，，曾攻击多家驰名企业。。。。。。。

https://www.bleepingcomputer.com/news/security/panama-ministry-of-economy-discloses-breach-claimed-by-inc-ransomware/

2. Farmer Bros.遭网络攻击致1.4万人数据泄露

9月10日，，，，，，，总部位于德克萨斯州的咖啡及食品服务公司Farmer Bros.近日披露，，，，，，，今年3月初产生的一路网络攻击导致超过1.4万人数据泄露。。。。。。。据该公司提交给缅因州总检察长办公室的通知，，，，，，，攻击者在系统内“徘徊”近12天后被觉察，，，，，，，公司随即启动调查并传递法律部门协助查究。。。。。。。数据泄露通知显示，，，，，，，攻击者获取了部门幼我信息，，，，，，，但具体泄露字段被涂黑未公开。。。。。。。作为补救措施，，，，，，，Farmer Bros.为受影响个别提供免费身份偷窃及信誉监控服务，，，，，，，此类服务通常针对可能蕴含姓名、邮箱、社保号等敏感标识符的泄露场景，，，，，，，以防备诓骗风险。。。。。。。公司提醒用户定期查抄账户及信誉汇报，，，，，，，警惕异�；；；；；疃�。。。。。。。值得关注的是，，，，，，，Chaos勒索软件团伙曾于今年4月初宣称把握该公司数据，，，，，，，并宣称窃取了650GB信息。。。。。。。目前尚无法确认该申明与本次泄露事务的直接关联，，，，，，，但功夫线的高度沉合引颁发界对勒索团伙参加的揣摩。。。。。。。

https://cybernews.com/security/farmer-bros-data-breach-victims/

3. CISA将达索系统高危缝隙纳入KEV目录

9月12日，，，，，，，美国网络安全和基础设施安全局（CISA）近日将达索系统DELMIA Apriso软件的高危缝隙（CVE-2025-5086，，，，，，，CVSS评分9.0）列入已知被利用缝隙（KEV）目录。。。。。。。该缝隙为不受信赖数据反序列化问题，，，，，，，影响DELMIA Apriso从2020版至2025版的多个版本，，，，，，，攻击者可利用此缝隙远程执行肆意代码，，，，，，，对工业造作运营组成严沉威胁。。。。。。。凭据拥有约束力的运营指令（BOD）22-01要求，，，，，，，联国民事行政部门（FCEB）机构必须在2025年10月2日前实现缝隙建复，，，，，，，以降低落大风险。。。。。。。CISA同时建议个人组织审查KEV目录，，，，，，，自动排查并建复自身基础设施中的同类缝隙。。。。。。。达索系统DELMIA Apriso作为造作运营治理（MOM）平台，，，，，，，宽泛利用于全球工业企业的出产监控与优化，，，，，，，其安全性直接关系到关键基础设施不变。。。。。。。本次缝隙由Hacktron AI汇报，，，，，，，CISA通过KEV目录机造推动急剧响应，，，，，，，体现“发现-传递-建复”的关环治理逻辑。。。。。。。

https://securityaffairs.com/182120/hacking/u-s-cisa-adds-dassault-systemes-delmia-apriso-flaw-to-its-known-exploited-vulnerabilities-catalog.html

4. FBI忠告UNC6040、UNC6395黑客窃取Salesforce数据

9月14日，，，，，，，美国联国调查局（FBI）颁布FLASH警报，，，，，，，忠告两个威胁集群UNC6040和UNC6395正通过攻击组织的Salesforce环境窃取数据并执行勒索。。。。。。。布告指出，，，，，，，这两个集群的恶意活动导致数据偷窃和勒索事务激增，，，，，，，FBI但愿通过颁布入侵指标（IOC）提升公家防御能力。。。。。。。UNC6040于2024年6月由Google威胁谍报团队初次披露，，，，，，，该集群自2024年底起利用社会工程和语音垂钓攻击，，，，，，，诱骗员工将恶意Salesforce Data Loader OAuth利用衔接至企业账户。。。。。。。攻击者常假意IT支持人员，，，，，，，使用“我的票务门户”等假装利用，，，，，，，通过OAuth衔接大规模窃取Salesforce数据，，，，，，，随后由ShinyHunters勒索组织利用这些数据进行勒索，，，，，，，重要针对存储客户数据的“账户”和“联系人”数据库。。。。。。。8月，，，，，，，另一集群UNC6395通过被盗的Salesloft Drift OAuth和刷新令牌攻击Salesforce事俘，，，，，，，窃取支持案例中的机密信息，，，，，，，蕴含AWS密钥、密码和Snowflake令牌，，，，，，，进而渗入其他云环境。。。。。。。Salesloft已与Salesforce合作撤销所有Drift令牌，，，，，，，并要求客户沉新认证。。。。。。。

https://www.bleepingcomputer.com/news/security/fbi-warns-of-unc6040-unc6395-hackers-stealing-salesforce-data/

5. VoidProxy网络垂钓平台利用中央人攻击窃取微软谷歌账户凭证

9月14日，，，，，，，近日，，，，，，，一个名为VoidProxy的新型网络垂钓即服务（PhaaS）平台被曝光，，，，，，，其针对Microsoft 365、Google账户及受Okta等第三地契点登录（SSO）�；；；；；さ恼嘶嵋楣セ�。。。。。。。该平台由Okta威胁谍报团队发现，，，，，，，被描述为“可扩大、可躲避且复杂”，，，，，，，选取中央人（AitM）战术实时窃取用户凭证、多成分认证（MFA）代码及会话cookie。。。。。。。攻击始于受习染的电子邮件服务账户发送蕴含缩短链接的垂钓邮件。。。。。。。收件人点击链接后，，，，，，，会经历屡次沉定向，，，，，，，最终接见托管在.icu、.sbs、.xyz等低成本域名上的垂钓网站。。。。。。。这些网站利用Cloudflare�；；；；；ぐ挡卣媸礗P，，，，，，，并通过Cloudflare Worker环境过滤流量、加载页面。。。。。。。接见者需先通过Cloudflare CAPTCHA验证以排除机械人，，，，，，，增长页面可信度。。。。。。。垂钓页面仿照Microsoft或Google登录界面，，，，，，，部门指标会被疏导至无害的“欢迎”页面以混合检测。。。。。。。当用户输入凭证时，，，，，，，要求会通过VoidProxy代理至Google或Microsoft服务器。。。。。。。对于使用Okta SSO的结合账户，，，，，，，攻击会进入第二阶段，，，，，，，假意Okta的SSO流程页面，，，，，，，进一步窃守信息。。。。。。。VoidProxy的代理服务器在受害者与合法服务间中继流量，，，，，，，同时捕获传输中的用户名、密码、MFA代码，，，，，，，并拦截合法服务发放的会话cookie，，，，，，，供攻击者在治理面板直接使用。。。。。。。

https://www.bleepingcomputer.com/news/security/new-voidproxy-phishing-service-targets-microsoft-365-google-accounts/

6. 新型HybridPetya勒索软件突破UEFI安全启动执行攻击

9月12日，，，，，，，网络安全公司ESET近日在VirusTotal平台发现名为HybridPetya的新型勒索软件样本，，，，，，，该恶意软件可绕过UEFI安全启动职能，，，，，，，在EFI系统分区部署恶意法式。。。。。。。HybridPetya显著受2016-2017年Petya/NotPetya恶意软件启发，，，，，，，后者曾造玉成球大规模系统瘫痪且无复原选项，，，，，，，而HybridPetya则融合两者特点，，，，，，，既保留视觉风格和攻击链特点，，，，，，，又新增关键技术突破。。。。。。。钻研显示，，，，，，，HybridPetya利用CVE-2024-7344缝隙实现安全启动绕过，，，，，，，该缝隙存在于微软署名利用中，，，，，，，即便系统启用安全启动�；；；；；と钥杀焕�。。。。。。。攻击时，，，，，，，恶意软件首先检测主机是否选取UEFI+GPT分区组合，，，，，，，随后将蕴含config、verify、counter等文件的启动工具包植入EFI系统分区。。。。。。。其中，，，，，，，config文件存储加密标志、密钥、随机数及受害者ID，，，，，，，verify文件用于密钥验证，，，，，，，counter则跟踪加密进度。。。。。。。该软件会代替原始bootmgfw.efi为存在缝隙的reloader.efi，，，，，，，并删除bootx64.efi，，，，，，，同时备份原始疏导法式以便赎金支付后复原系统。。。。。。。攻击流程中，，，，，，，HybridPetya触发蓝屏谬误强造系统沉启，，，，，，，使恶意bootkit在启动阶段执行。。。。。。。随后使用Salsa20算法加密所有MFT集群，，，，，，，期间显示虚伪CHKDSK新闻误导用户。。。。。。。加密实现后再次沉启，，，，，，，向受害者索要1000美元比特币赎金，，，，，，，换取32字符密钥以复原疏导法式和解密数据。。。。。。。

https://www.bleepingcomputer.com/news/security/new-hybridpetya-ransomware-can-bypass-uefi-secure-boot/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研