每周安全速递³⁶³ | 无印良品因物流供应商遭勒索攻击暂停日本网售
发布时间:2025-10-29
阅读次数: 305 次
本周热点事件威胁情报
1、无印良品因物流供应商遭勒索攻击暂停日本网售
日本零售巨头无印良品(Muji)因物流合作伙伴Askul遭勒索软件攻击,导致系统故障,被迫暂停日本地区线上商店运营。此次事件使官网浏览、下单、App订单查询及部分网页内容受影响。Muji表示正调查受影响订单并将通过邮件通知客户。Askul隶属日本雅虎集团,已确认感染勒索软件并中止发货、退货及客服服务,仍在评估数据泄露范围。由于该公司仅负责Muji日本市场物流,海外门店及网店未受波及。事件发生之际,日本企业频遭勒索攻击,继朝日啤酒遭Qilin组织入侵后,再次凸显日本供应链网络安全风险。
参考链接:
https://www.askul.co.jp/snw/newsDispView/?newsId=18364
2、美航子公司Envoy遭Clop窃取Oracle数据
美国航空旗下地区航空公司Envoy Air证实,其Oracle E-Business Suite系统遭到数据窃取,此前Clop勒索团伙在其泄露网站上公布了所谓被盗数据。Envoy表示事件发生后立即展开调查并报警,经审查确认未涉及客户或敏感信息,仅部分业务资料与商业联系方式受影响。该事件与Clop于今年8月发起的Oracle数据盗取行动有关,攻击者利用零日漏洞CVE-2025-61882入侵企业系统并部署恶意程序。业界分析认为,数十家机构或受波及,其中包括哈佛大学。值得注意的是,Oracle近期还默默修补了另一款E-Business Suite零日漏洞(CVE-2025-61884),显示相关攻击活动仍在持续。
参考链接:
https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/
3、微软撤销200个欺诈证书打击Rhysida勒索病毒攻击
2025年10月17日,微软宣布已撤销200多个被恶意使用的数字证书,这些证书曾被威胁组织“Vanilla Tempest”(前名为Storm-0832)用来伪造恶意文件并推动Rhysida勒索病毒攻击。这些证书曾用于伪造的Microsoft Teams安装文件中,帮助攻击者部署Oyster后门并最终推送Rhysida勒索病毒。微软表示,早在2025年9月,安全团队就侦测到这一攻击活动,并在本月初采取行动,撤销了相关证书并更新了安全防护工具,以识别伪造的安装文件、Oyster后门以及Rhysida勒索病毒。Vanilla Tempest是一个以财务利益为动机的网络犯罪团伙,活跃自2022年7月以来,曾传播过多个勒索病毒变种,包括BlackCat、Quantum Locker、Zeppelin和Rhysida。该团伙通常通过搜索引擎优化(SEO)劫持手段,诱导用户访问伪装成合法软件(如Google Chrome和Microsoft Teams)的恶意网站,从而下载伪造的安装文件。这些文件通常通过被信任的签名服务如DigiCert和GlobalSign进行伪造签名,进一步增强其可信度。
参考链接:
https://thehackernews.com/2025/10/microsoft-revokes-200-fraudulent.html
4、微软阻断针对Teams用户的勒索攻击
微软近日成功阻止一系列由威胁组织“Vanilla Tempest”(又称 Vice Society、VICE SPIDER)发起的Rhysida勒索软件攻击。该组织通过伪造的Teams安装网站(如teams-install[.]top等)和恶意广告投放传播伪造的“MSTeamsSetup.exe”文件,利用签名恶意证书分发Oyster后门(又名Broomstick或CleanUpLoader)。微软在10月初吊销了200余个用于签署假安装包的证书,从而中断攻击链。Oyster后门可为攻击者提供远程访问、文件窃取及命令执行能力。Vanilla Tempest自2021年起活跃,主要针对教育、医疗、IT和制造业部门实施勒索和数据窃取。此次行动显示微软持续强化其生态系统中针对恶意签名和假冒应用的防护措施。
参考链接:
https://www.bleepingcomputer.com/news/microsoft/microsoft-disrupts-ransomware-attacks-targeting-teams-users/
浙公网安备 33010502006954号 
