大韩航空前子公司遭Clop勒索团伙攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

大韩航空前子公司遭Clop勒索团伙攻击

颁布功夫 2025-12-30

1. 大韩航空前子公司遭Clop勒索团伙攻击

12月29日，韩国国度航空公司大韩航空近日披露，其机上餐饮供给商及前子公司大韩航空餐饮免税公司（KC&D）遭逢黑客攻击，导致约3万名员工幼我信息泄露。KC&D于2020年从大韩航空分拆为独立公司，这次事务中，其ERP系统中存储的员工姓名、银行账号等敏感信息被窃取。大韩航空首席执行官禹基洪在内部备忘录中强调，只管事务产生在表部合作同伴治理领域内，但涉及员工信息安全，公司高度器沉。作为韩国最大航空公司，大韩航空占有超2万名员工、160余架飞机，2024年运送乘客超2300万人次，营收超110亿美元。这次数据泄露规模巨大，本地媒体报路称攻击者窃取了约3万条数据纪录，只管大韩航空未明确具体数量，但已向有关部门汇报并启动调查。目前尚未发现被盗数据被用于诓骗的证据，但公司提醒员工警惕假意公司或金融机构的诳骗邮件及短信。值妥贴心的是，Clop勒索软件团伙已宣称对这次攻击掌管，并在其暗网泄露网站颁布被盗数据，允许通过Torrent下载。

https://www.bleepingcomputer.com/news/security/korean-air-data-breach-exposes-data-of-thousands-of-employees/

2. EmEditor遭供给链攻击：恶意软件窃取数据并部署扩大

12月29日，近日，广受迎接的文本和代码编纂软件EmEditor遭逢供给链攻击，导致信息窃取恶意软件传布。EmEditor由雷德蒙德Emurasoft公司开发，是一款高机能Windows工具，专为编码、文本编纂及处置大型文件设计。12月19日18:39至22日12:50期间，通过EmEditor主页“当即下载”按钮下载装置法式的用户可能遭逢恶意版本。该按钮的URL被篡改，指向网站分歧地位托管的恶意.msi文件。假装置法式与真品名称、体积类似，但署名证书属于其他公司。运行后，恶意法式执行PowerShell号令，从伪造域下载并执行文件。该恶意软件网络系统信息、桌面/文档/下载文件夹文件、VPN配置、浏览器数据及Zoho Mail、Discord、Slack蹬爪用痛处。值妥贴心的是，若系统说话为前苏联国度或伊朗，恶意软件会终止运行。更严沉的是，攻击者部署了名为“Google Drive Caching”的浏览器扩大，该扩大具备齐全信息窃取职能，可悠久化网络浏览器汗青、书签、cookie，执行剪贴板劫持（代替加密钱币地址）、键盘纪录及窃取Facebook告白账户。

https://www.securityweek.com/infostealer-malware-delivered-in-emeditor-supply-chain-attack/

3. FortiGate防火墙2FA绕过缝隙持续遭利用

12月29日，网络安全厂商Fortinet近日向客户发出忠告，威胁行为者仍在积极利用编号为CVE-2020-12812的严沉缝隙攻击未建复的FortiGate防火墙设备。该缝隙最早于2020年7月被披露并建复，攻击者可通过批改用户名大幼写绕过双成分身份验证（2FA）机造，在配置了LDAP远程身份验证且启用"用户本地"2FA的FortiGate SSL VPN设备上实现未授权接见。缝隙成因在于本地身份验证与远程LDAP身份验证之间的大幼写匹配逻辑不一致。Fortinet其时通过颁布FortiOS 6.4.1/6.2.4/6.0.10版本建复该问题，并建议无法当即升级的客户关关用户名分辨大幼写职能。然而，最新监测显示，攻击者仍在针对配置了LDAP关联本地用户且启用2FA的特定系统执行攻击。若辅助LDAP组配置不当，攻击成功率将进一步提升，该组本应在主LDAP认证失败时启用，但若非必要应直接删除。

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-5-year-old-fortios-2fa-bypass-still-exploited-in-attacks/

4. LangChain Core现"LangGrinch"高危缝隙

12月27日，安全钻研员Yarden Porat于2025年12月4日披露了LangChain生态主题Python包langchain-core中的严沉缝隙CVE-2025-68664（代号"LangGrinch"），CVSS评分达9.3。缝隙根因在于函数未对含"lc"键的用户字典进行转义处置。攻击者可利用metadata、response等业务字段注入恶意对象结构，在后续load()/loads()反序列化时，在langchain_core、langchain_community等受信录用名空间内事俘化Serializable子类。部门类在初始化时可能触发副作用，如环境变量泄露、Jinja2模板代码执杏注危险类事俘化等，甚至可通过提醒注入将恶意对象暗藏于用户可控字段，实现荫蔽攻击。该缝隙尤为严沉：其一，位于langchain-core本体而非表围工具，影响面广；其二，dumps()/dumpd()作为框架主题API，全球累计装置量数亿；其三，攻击可通过单条LLM输出间接触发，正常业务流程中，LLM天生的metadata若被序列化，即可触发缝隙，荫蔽性强且攻击门槛低。建复规划已随版本1.2.5、0.3.81颁布。

https://securityaffairs.com/186185/hacking/langchain-core-vulnerability-allows-prompt-injection-and-data-exposure.html

5. 救世军遭Interlock勒索团伙攻击

12月29日，国际慈悲组织救世军近日遭逢严沉数据泄露事务，攻击者宣称窃取了93GB敏感信息并颁布在Interlock勒索软件团伙的暗网博客上。这次泄露涉及160万笔美国居民捐款买卖纪录，总额达数千万美元，蕴含全名、电话、住址、捐款金额等幼我身份信息（PII），数据结构显示攻击者获取了详尽的捐赠人名单。救世军作为全球最大慈悲机构之一，成立于1865年，2024年收入近50亿美元，位列美国第六大慈悲机构，在134个国度发展增援项目，并担任结合国从属机构。这次事务并非首例，今年5月，Chaos勒索软件集团曾攻击救世军并颁布数据；而本次攻击者Interlock团伙自2024岁暮出现，从前12个月已侵害至少66个组织，选取双沉勒索战术，通过入侵网站或社会工程学获取初步安身点，6月和8月攻击尤为活跃。网络安全团队分析指出，泄露数据源于微软SQL Server数据库备份，攻击者可能利用这些结构化数据执行身份偷窃、虚伪账户创建或诳骗。尤其值得关注的是，攻击者可能假意救世军或其他慈悲机构进行诳骗，利用捐赠者的善心诱导转账，或通过财政分析精准定位高价值指标。

https://cybernews.com/security/salvation-army-data-breach-donors/

6. Lynx勒索团伙攻击马萨诸塞州管帐事务所

12月29日，近日，与俄罗斯关联的Lynx勒索软件团伙宣称，从占有75年汗青的马萨诸塞州管帐事务所CSA Tax & Advisory窃取了大量纳税申报数据及社会保险号码，并以此勒索赎金。CSA作为专营税务服务的机构，其客户数据若遭泄露，将面对严沉网络垂钓攻击和身份偷窃风险。Lynx团伙于12月26日在暗网泄露网站颁布布告，宣称已获取该公司及客户的敏感信息，并强调“激励对话解决问题而非混乱粉碎”。为证明攻击真实性，该团伙颁布了蕴含全名、社会安全号码、物理地址、配偶医疗保险和谈、服务发票、幼我所得税申报数据、国税局电子申报署名授权表格及公司内部信函的截图。若数据属实，攻击者可利用这些具体幼我信息执行精准诳骗，例如假意税务机构或银行，诱导受害者转账或泄露更多敏感信息。

https://cybernews.com/security/lynx-ransomware-csa-tax-breach/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研