SK Telecom 2700万用户数据泄露，，，，，恶意软件潜在近三年

首页 > 清静研究 > 清静转达 > 清静简讯

SK Telecom 2700万用户数据泄露，，，，，恶意软件潜在近三年

宣布时间 2025-05-21

1. SK Telecom 2700万用户数据泄露，，，，，恶意软件潜在近三年

5月20日，，，，，SK Telecom是韩国最大的移动网络运营商，，，，，占有约一半市场份额。。。。。该公司克日披露，，，，，2025年4月19日在其网络上检测到恶意软件，，，，，并隔离疑似被黑客入侵的装备。。。。。此次事务最早可追溯至2022年，，，，，最终导致2700万用户的USIM数据泄露。。。。。攻击者窃取了包括IMSI、USIM认证密钥、网络使用数据及存储在SIM卡中的短信和联系人等数据，，，，，增添了SIM卡交流攻击的危害。。。。。为此，，，，，SK Telecom决议为所有用户发放SIM卡替换件，，，，，并增强清静步伐以避免未经授权的号码移植。。。。。2025年5月8日，，，，，政府委员会宣布恶意软件熏染危及25种数据类型。。。。。其时SK Telecom宣布阻止接受新用户以应对效果。。。。。SK Telecom最新新闻称将很快通知2695万受影响的客户其敏感数据泄露。。。。。该公司提到在23台受熏染效劳器中发明25种差别恶意软件类型，，，，，入侵水平凌驾最初预期。。。。。与此同时，，，，，公私联合视察小组对SK Telecom的30000台Linux效劳器检查后称，，，，，最初Web Shell熏染爆发在2022年6月15日，，，，，意味着恶意软件在近三年时间里未被发明，，，，，攻击者在23台效劳器上植入多个有用载荷。。。。。视察声称15台受熏染效劳器含小我私家客户信息，，，，，包括291831个IMEI号码，，，，，但SK Telecom否定。。。。。视察小组还指出，，，，，SK Telecom于2024年12月3日才最先纪录受影响效劳器活动，，，，，因此此前可能爆发的数据泄露无法被检测到。。。。。

https://www.bleepingcomputer.com/news/security/sk-telecom-says-malware-breach-lasted-3-years-impacted-27-million-numbers/

2. Hazy Hawk团伙使用DNS设置过失挟制受信任域名

5月20日，，，，，被追踪为“Hazy Hawk”的威胁行为者正使用被遗忘的DNS CNAME纪录实验网络攻击。。。。。该威胁行为者挟制指向放弃云效劳的CNAME纪录，，，，，接受政府、大学和财产500强公司等机构的受信任子域，，，，，用于分发诈骗、虚伪应用程序和恶意广告。。。。。Infoblox研究职员指出，，，，，Hazy Hawk首先扫描CNAME纪录指向放弃云端点的域，，，，，并通过被动DNS数据验证确定这些域，，，，，然后注册与放弃CNAME中名称相同的新云资源，，，，，使原始域的子域剖析到威胁行为者的新云托管站点。。。。。借助这一手艺，，，，，Hazy Hawk挟制了多个着名域名，，，，，如美国疾病控制与预防中心的cdc.gov、跨国企业集团honeywell.com等。。。。�？？？刂谱佑蛎�，，，，，威胁行为者天生数百个恶意URL，，，，，因父域名信任度高，，，，，这些URL在搜索引擎中看似正当。。。。。受害者点击URL后，，，，，会被重定向到多层域名和TDS基础设施，，，，，这些设施会凭证装备类型、IP地点等信息剖析受害者身份。。。。。Infoblox报告称，，，，，这些网站被用于手艺支持诈骗、虚伪防病毒警报、虚伪流媒体/色情网站和网络垂纶页面。。。。。别的，，，，，受骗用户纵然脱离诈骗网站，，，，，仍会因允许浏览器推送通知而收到一连警报，，，，，为Hazy Hawk带来可观收入。。。。。

https://www.bleepingcomputer.com/news/security/hazy-hawk-gang-exploits-dns-misconfigs-to-hijack-trusted-domains/

3. RVTools遭遇供应链攻击，，，，，撒播Bumblebee恶意软件

5月20日，，，，，克日，，，，，RVTools VMware治理工具遭遇供应链攻击，，，，，该工具最初由Robware开发，，，，，现归戴尔所有，，，，，是VMware治理员常用工具。。。。。攻击事务引发普遍关注，，，，，戴尔于2025年5月20日宣布声明，，，，，称恶意RVTools装置程序并非从其官方网站分发，，，，，而是来自虚伪域名，，，，，同时其治理的Robware.net和RVTools.com网站因遭受DDoS攻击而下线。。。。。此前，，，，，ZeroDay Labs研究员Aidan Leon在Reddit上发帖称，，，，，从RVTools网站下载的文件被植入Bumblebee恶意软件加载器，，，，，文件哈希值与现实下载的不匹配，，，，，下载版本显着更大且包括恶意文件。。。。。经进一程序查，，，，，这一攻击行为被证实。。。。。Bumblebee是一种通过SEO中毒、恶意广告和网络垂纶攻击推广的恶意软件加载器，，，，，装置后会在受熏染装备上下载并执行其他恶意有用负载，，，，，如Cobalt Strike信标、信息窃取程序和勒索软件等，，，，，且与Conti勒索软件行动有关。。。。。网络清静公司Arctic Wolf也报告发明被木马熏染的RVTools装置程序通过恶意域名抢注撒播，，，，，该域名与正当域名相似，，，，，仅顶级域名差别。。。。。别的，，，，，尚有针对RVTools品牌的SEO中毒和恶意广告活动，，，，，旨在诱骗用户下载恶意装置程序。。。。。

https://www.bleepingcomputer.com/news/security/rvtools-hit-in-supply-chain-attack-to-deliver-bumblebee-malware/

4. 俄亥俄州凯特琳康健中心遭网络攻击导致系统中止

5月21日，，，，，俄亥俄州凯特琳康健中心旗下医院与医疗设施克日遭受网络攻击，，，，，导致全系统手艺中止。。。。�？？？亓湛到≈行淖猿剖且桓龌谛叛龅幕礁戳傩⑷栈嵯低�，，，，，主要在代顿地区运营多个医疗中心和诊所，，，，，每年处置惩罚大宗急诊室就诊。。。。。该非营利性医院网络讲话人体现，，，，，现在正在履历因未经授权会见而引发的网络清静事务，，，，，事务始于周二早上，，，，，限制了事情职员会见部分患者照顾护士系统的能力。。。。�？？？亓找搅浦行囊呀幽刹椒プ柚够汉徒獯死嗷疃�，，，，，并起劲视察和监测情形，，，，，同时作废并重新安排了周二的住院和门诊择期手术。。。。。此次攻击还导致该医院网络的呼叫中心瘫痪。。。。。不过，，，，，所有急诊室和诊所仍坚持开放，，，，，继续接受患者诊治。。。。。讲话人未就医院网络是否遭受勒索软件攻击的问题作出回应，，，，，但据CNN报道，，，，，医院网络IT事情职员发明一张据称来自Interlock勒索软件团伙的勒索信。。。。。该团伙上个月曾关闭透析治疗公司DaVita的网络，，，，，此前还攻击过德克萨斯理工大学康健科学中心及其埃尔帕索分校。。。。。

https://therecord.media/kettering-health-system-ohio-cyberattack

5. Cellcom确认网络攻击是造生长时间中止的缘故原由

5月20日，，，，，威斯康星州无线效劳提供商Cellcom已确认，，，，，2025年5月14日晚最先的大面积效劳中止是由网络攻击导致的。。。。。此次事务影响了威斯康星州和密歇根州北部地区的客户，，，，，导致他们的语音和短信效劳中止，，，，，无法拨打电话或发送短信。。。。。Cellcom首席执行官Brighid Riordan在克日证实了网络攻击的事实，，，，，并体现公司已制订应对此类情形的规程和妄想。。。。。事务爆发后，，，，，Cellcom严酷遵照妄想，，，，，包括约请外部网络清静专家、通知联邦视察局和威斯康星州官员，，，，，并全力以赴确保系统清静恢复上线。。。。。Cellcom强调，，，，，此次攻击爆发在公司网络的一个区域，，，，，与存储用户敏感信息的区域差别，，，，，且没有证据批注用户小我私家信息受到影响。。。。。最初，，，，，Cellcom声称中止是由手艺问题引起的，，，，，并体现部分数据效劳仍在运行。。。。。然而，，，，，由于平台泛起问题，，，，，用户对效劳中止和无法移植号码感应沮丧。。。。。5月19日，，，，，Cellcom最先恢复部分效劳，，，，，包括短信以及拨打和接听其他Cellcom用户的电话。。。。。只管无法包管何时周全恢复效劳，，，，，但公司正起劲在本周末前实现这一目的。。。。。

https://www.bleepingcomputer.com/news/security/mobile-carrier-cellcom-confirms-cyberattack-behind-extended-outages/

6. SideWinder APT组织精准攻击南亚多国政府机构

5月20日，，，，，斯里兰卡、孟加拉国与巴基斯坦的高级别政府机构近期成为APT组织SideWinder新一轮攻击的重点。。。。。攻击者运用鱼叉式垂纶邮件连系地理围栏手艺，，，，，确保恶意载荷仅针对特定国家目的。。。。。攻击链通过诱饵文档激活，，，，，最终安排StealerBot恶意软件，，，，，手法与SideWinder此前活动特征相符。。。。。此次攻击瞄准南亚多国要害部分，，，，，如孟加拉国电信羁系委员会、国防部、财务部，，，，，巴基斯坦本土手艺生长局，，，，，以及斯里兰卡外债治理局、国防部、中央银行等。。。。。攻击者使用微软Office中的历史误差CVE-2017-0199与CVE-2017-11882作为初始攻击前言，，，，，安排具备长期化会见能力的恶意程序。。。。。恶意文档触发CVE-2017-0199误差后，，，，，通过DLL侧载手艺释放后续载荷，，，，，而地理围栏手艺则确保仅预设国家规模内的受害者会收到现实恶意RTF文件，，，，，该文件使用公式编辑器误差CVE-2017-11882触发内存破损，，，，，执行基于shellcode的加载器以运行StealerBot。。。。。StealerBot作为�？？？榛踩氤绦�，，，，，能够窃取屏幕截图、键盘纪录、密码、文件等敏感数据。。。。。

https://thehackernews.com/2025/05/south-asian-ministries-hit-by.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究