亲伊朗黑客组织Handala入侵以色列国防科技公司
发布时间 2026-04-081. 亲伊朗黑客组织Handala入侵以色列国防科技公司
4月3日,亲伊朗的黑客组织Handala于4月2日宣布入侵了PSK Wind Technologies,这是一家以色列工程和IT公司,专门从事国防和关键通信的集成系统,包括指挥和控制解决方案。据报道,Handala表面上是一个支持巴勒斯坦的黑客组织,但普遍被认为是伊朗支持的Void Manticore的幌子。该组织以网络钓鱼、数据窃取、勒索和破坏性擦除攻击而闻名,同时从事信息战和心理战。自伊朗冲突爆发以来,他们一直以以色列军方服务器、情报人员和公司为目标,窃取或擦除数据。Handala组织声称从PSK Wind窃取了敏感数据,包括导弹防御系统及指挥控制系统的相关文件,并据称将其发送给了“抵抗轴心”导弹部队。“抵抗轴心”是由伊朗领导的政治军事联盟,成员包括黎巴嫩真主党、巴勒斯坦伊斯兰圣战组织、叙利亚政权部队以及伊拉克什叶派民兵组织等反对以色列、美国及其盟友的组织。Handala在犹太教重要节日逾越节期间发出威胁,警告以色列国防和指挥中心将遭到袭击。当时,PSK Wind和以色列军方均未对此发表评论,而该组织已公布了绝密通信系统、内部文件、地点照片等机密文件。
https://securityaffairs.com/190319/data-breach/pro-iran-handala-group-breached-israeli-defence-contractor-psk-wind-technologies.html
2. 永利度假村数据泄露影响超2.1万名员工
4月7日,高端赌场和酒店运营商永利度假村近日披露,最近发生的数据泄露事件已影响超过2.1万人。永利在2月下旬证实黑客获取了员工数据,此前臭名昭著的网络犯罪组织ShinyHunters声称窃取了超过80万条包含个人身份信息及社会保障号码的记录。黑客随后将永利从泄露网站上移除,这一举动通常表明受害者已决定支付赎金,但当时永利拒绝就此置评。在近日向缅因州总检察长办公室提交的数据泄露通知中,永利提供了更多事件细节。公司在发给受影响个人的通知中表示“威胁行为者声称所有数据都已被删除”,这进一步印证了赎金可能已被支付的说法。据报道,黑客索要的赎金超过22个比特币,约合150万美元。通知显示,此次攻击发生在2025年10月,目标是人力资源系统,很可能属于ShinyHunters针对100多家机构发起的大规模攻击活动的一部分。永利向缅因州总检察长办公室报告称,此次事件共影响21775名员工。受影响员工将获得免费的信用监控和身份盗窃保护服务。
https://www.securityweek.com/wynn-resorts-says-21000-employees-affected-by-shinyhunters-hack/
3. 黑客利用Ninja Forms WordPress插件的严重漏洞
4月7日,WordPress流行的表单构建器Ninja Forms所配套的File Upload扩展插件,被发现一个编号为CVE-2026-0740的严重安全漏洞,其CVSS风险评分高达9.8。该漏洞源于插件在目标文件名处理上缺乏必要的文件类型与扩展名验证,导致未经身份验证的攻击者可以上传任意文件,包括危险的PHP脚本,甚至通过路径遍历手段将文件移动至网站根目录,进而实现远程代码执行。成功利用此漏洞的攻击者能够部署Web Shell,并最终完全接管目标网站。该漏洞影响Ninja Forms文件上传扩展最高至3.3.26版本,而Ninja Forms本身下载量超过60万次,其File Upload扩展也拥有9万用户,因此潜在受影响范围极广。供应商在2月10日完成部分修复后,于3月19日正式发布3.3.27版本以彻底修复漏洞。然而,在过去的24小时内,Wordfence防火墙已拦截超过3600次针对该漏洞的实际攻击尝试,表明漏洞已被攻击者积极利用。
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-ninja-forms-wordpress-plugin/
4. 俄罗斯电信巨头Rostelecom遭大规模DDoS攻击
4月7日,周一晚间,俄罗斯国有电信巨头Rostelecom遭受了一场“大规模”分布式拒绝服务(DDoS)攻击,导致该国数十个城市的网上银行、政府平台及其他数字服务出现暂时性中断。据俄罗斯电信公司向官方媒体透露,此次攻击虽被迅速控制,但网络服务的中断实际上是其为缓解攻击而启动紧急过滤措施所造成的。DDoS攻击的原理是通过向目标网站和在线服务发送海量垃圾流量,使其不堪重负,从而令合法用户无法正常访问。受此次攻击影响,周一晚间俄罗斯约有30个城市的居民反映Rostelecom的家庭互联网服务出现故障,包括游戏平台Steam、政府服务门户网站Gosuslugi、视频平台Rutube以及各类银行服务在内的多个主要网站均无法访问。部分用户向当地媒体表示,他们只能访问所谓的“白名单”网站,即政府批准的服务列表,这些服务即使在互联网中断期间也能保持连通。而据当地互联网监测服务机构称,截至周二,仍有俄罗斯互联网用户持续反映无法访问部分政府网站。
https://therecord.media/rostelecom-cyberattack-disrupts-russian-internet-access
5. Flowise RCE漏洞CVE-2025-59528已被攻击者利用
4月7日,开源平台Flowise被发现存在一个最高严重性漏洞,编号为CVE-2025-59528,目前已被黑客利用来执行任意代码。该漏洞允许攻击者在没有任何安全检查的情况下注入恶意JavaScript代码,于去年9月公开披露时便已警告称,成功利用可导致命令执行和文件系统访问。问题的根源在于Flowise的CustomMCP节点:该节点允许配置设置连接到外部模型上下文协议服务器,但在处理用户输入的“mcpServerConfig”参数时,会不安全地评估并执行其中的JavaScript代码,而完全未对其安全性进行验证。开发者已在Flowise 3.0.6版本中修复了这一问题,目前最新的版本为3.1.1,于两周前发布。漏洞情报公司VulnCheck的安全研究员Caitlin Condon在LinkedIn上披露,其Canary网络已首次检测到CVE-2025-59528漏洞的在野利用。尽管目前攻击活动范围有限,仅源自一个Starlink IP地址,但研究人员警告称,当前约有12,000至15,000个Flowise实例暴露在公网上,其中存在漏洞的服务器比例尚不明确。
https://www.bleepingcomputer.com/news/security/max-severity-flowise-rce-vulnerability-now-exploited-in-attacks/
6. 国际执法行动挫败APT28的FrostArmada攻击
4月7日,一场由执法部门与私营公司合作开展的国际行动,成功挫败了俄罗斯国家级黑客组织APT28发起的FrostArmada大规模攻击活动。该组织与俄罗斯总参谋部情报总局第85特别服务中心26165军事单位有关联,在此次攻击中主要入侵小型办公室和家庭办公室路由器,尤其是MikroTik和TP-Link品牌,通过更改域名系统设置,将本地流量重定向至攻击者控制的虚拟专用服务器(VPS)。这些恶意DNS配置通过动态主机配置协议自动推送到内部设备,当用户尝试访问身份验证相关域名时,DNS服务器返回攻击者的IP地址而非真实地址,从而将受害者重定向至中间人代理。对受害者而言,唯一的欺诈迹象是无效TLS证书的警告,但该警告常被忽略,使得攻击者能够窃取微软帐户登录凭证和OAuth令牌。2025年12月,FrostArmada攻击达到顶峰,感染了全球120个国家和地区的约18,000台设备,主要目标包括政府机构、执法部门、IT和托管服务提供商等。微软是此次攻击的主要目标,微软与Lumen公司的Black Lotus Labs合作绘制了恶意活动图谱并识别受害者。在联邦调查局(FBI)、美国司法部和波兰政府的支持下,犯罪基础设施已被摧毁。
https://www.bleepingcomputer.com/news/security/authorities-disrupt-dns-hijacks-used-to-steal-microsoft-365-logins/
京公网安备11010802024551号