SK Telecom 2700万用户数据泄露，，，，，恶意软件潜在近三年

首页 > 清静研究 > 清静转达 > 清静简讯

SK Telecom 2700万用户数据泄露，，，，，恶意软件潜在近三年

宣布时间 2025-05-21

1. SK Telecom 2700万用户数据泄露，，，，，恶意软件潜在近三年

5月20日，，，，，SK Telecom是韩国最大的移动网络运营商，，，，，占有约一半市场份额。。。该公司克日披露，，，，，2025年4月19日在其网络上检测到恶意软件，，，，，并隔离疑似被黑客入侵的装备。。。此次事务最早可追溯至2022年，，，，，最终导致2700万用户的USIM数据泄露。。。攻击者窃取了包括IMSI、USIM认证密钥、网络使用数据及存储在SIM卡中的短信和联系人等数据，，，，，增添了SIM卡交流攻击的危害。。。为此，，，，，SK Telecom决议为所有用户发放SIM卡替换件，，，，，并增强清静步伐以避免未经授权的号码移植。。。2025年5月8日，，，，，政府委员会宣布恶意软件熏染危及25种数据类型。。。其时SK Telecom宣布阻止接受新用户以应对效果。。。SK Telecom最新新闻称将很快通知2695万受影响的客户其敏感数据泄露。。。该公司提到在23台受熏染效劳器中发明25种差别恶意软件类型，，，，，入侵水平凌驾最初预期。。。与此同时，，，，，公私联合视察小组对SK Telecom的30000台Linux效劳器检查后称，，，，，最初Web Shell熏染爆发在2022年6月15日，，，，，意味着恶意软件在近三年时间里未被发明，，，，，攻击者在23台效劳器上植入多个有用载荷。。。视察声称15台受熏染效劳器含小我私家客户信息，，，，，包括291831个IMEI号码，，，，，但SK Telecom否定。。。视察小组还指出，，，，，SK Telecom于2024年12月3日才最先纪录受影响效劳器活动，，，，，因此此前可能爆发的数据泄露无法被检测到。。。

https://www.bleepingcomputer.com/news/security/sk-telecom-says-malware-breach-lasted-3-years-impacted-27-million-numbers/

2. Hazy Hawk团伙使用DNS设置过失挟制受信任域名

5月20日，，，，，被追踪为“Hazy Hawk”的威胁行为者正使用被遗忘的DNS CNAME纪录实验网络攻击。。。该威胁行为者挟制指向放弃云效劳的CNAME纪录，，，，，接受政府、大学和财产500强公司等机构的受信任子域，，，，，用于分发诈骗、虚伪应用程序和恶意广告。。。Infoblox研究职员指出，，，，，Hazy Hawk首先扫描CNAME纪录指向放弃云端点的域，，，，，并通过被动DNS数据验证确定这些域，，，，，然后注册与放弃CNAME中名称相同的新云资源，，，，，使原始域的子域剖析到威胁行为者的新云托管站点。。。借助这一手艺，，，，，Hazy Hawk挟制了多个着名域名，，，，，如美国疾病控制与预防中心的cdc.gov、跨国企业集团honeywell.com等。。�？？？？？？？刂谱佑蛎螅�，，，，威胁行为者天生数百个恶意URL，，，，，因父域名信任度高，，，，，这些URL在搜索引擎中看似正当。。。受害者点击URL后，，，，，会被重定向到多层域名和TDS基础设施，，，，，这些设施会凭证装备类型、IP地点等信息剖析受害者身份。。。Infoblox报告称，，，，，这些网站被用于手艺支持诈骗、虚伪防病毒警报、虚伪流媒体/色情网站和网络垂纶页面。。。别的，，，，，受骗用户纵然脱离诈骗网站，，，，，仍会因允许浏览器推送通知而收到一连警报，，，，，为Hazy Hawk带来可观收入。。。

https://www.bleepingcomputer.com/news/security/hazy-hawk-gang-exploits-dns-misconfigs-to-hijack-trusted-domains/

3. RVTools遭遇供应链攻击，，，，，撒播Bumblebee恶意软件

5月20日，，，，，克日，，，，，RVTools VMware治理工具遭遇供应链攻击，，，，，该工具最初由Robware开发，，，，，现归戴尔所有，，，，，是VMware治理员常用工具。。。攻击事务引发普遍关注，，，，，戴尔于2025年5月20日宣布声明，，，，，称恶意RVTools装置程序并非从其官方网站分发，，，，，而是来自虚伪域名，，，，，同时其治理的Robware.net和RVTools.com网站因遭受DDoS攻击而下线。。。此前，，，，，ZeroDay Labs研究员Aidan Leon在Reddit上发帖称，，，，，从RVTools网站下载的文件被植入Bumblebee恶意软件加载器，，，，，文件哈希值与现实下载的不匹配，，，，，下载版本显着更大且包括恶意文件。。。经进一程序查，，，，，这一攻击行为被证实。。。Bumblebee是一种通过SEO中毒、恶意广告和网络垂纶攻击推广的恶意软件加载器，，，，，装置后会在受熏染装备上下载并执行其他恶意有用负载，，，，，如Cobalt Strike信标、信息窃取程序和勒索软件等，，，，，且与Conti勒索软件行动有关。。。网络清静公司Arctic Wolf也报告发明被木马熏染的RVTools装置程序通过恶意域名抢注撒播，，，，，该域名与正当域名相似，，，，，仅顶级域名差别。。。别的，，，，，尚有针对RVTools品牌的SEO中毒和恶意广告活动，，，，，旨在诱骗用户下载恶意装置程序。。。

https://www.bleepingcomputer.com/news/security/rvtools-hit-in-supply-chain-attack-to-deliver-bumblebee-malware/

4. 俄亥俄州凯特琳康健中心遭网络攻击导致系统中止

5月21日，，，，，俄亥俄州凯特琳康健中心旗下医院与医疗设施克日遭受网络攻击，，，，，导致全系统手艺中止。。�？？？？？？？亓湛到≈行淖猿剖且桓龌谛叛龅幕礁戳傩⑷栈嵯低常�，，，，主要在代顿地区运营多个医疗中心和诊所，，，，，每年处置惩罚大宗急诊室就诊。。。该非营利性医院网络讲话人体现，，，，，现在正在履历因未经授权会见而引发的网络清静事务，，，，，事务始于周二早上，，，，，限制了事情职员会见部分患者照顾护士系统的能力。。�？？？？？？？亓找搅浦行囊呀幽刹椒プ柚够汉徒獯死嗷疃�，，，，并起劲视察和监测情形，，，，，同时作废并重新安排了周二的住院和门诊择期手术。。。此次攻击还导致该医院网络的呼叫中心瘫痪。。。不过，，，，，所有急诊室和诊所仍坚持开放，，，，，继续接受患者诊治。。。讲话人未就医院网络是否遭受勒索软件攻击的问题作出回应，，，，，但据CNN报道，，，，，医院网络IT事情职员发明一张据称来自Interlock勒索软件团伙的勒索信。。。该团伙上个月曾关闭透析治疗公司DaVita的网络，，，，，此前还攻击过德克萨斯理工大学康健科学中心及其埃尔帕索分校。。。

https://therecord.media/kettering-health-system-ohio-cyberattack

5. Cellcom确认网络攻击是造生长时间中止的缘故原由

5月20日，，，，，威斯康星州无线效劳提供商Cellcom已确认，，，，，2025年5月14日晚最先的大面积效劳中止是由网络攻击导致的。。。此次事务影响了威斯康星州和密歇根州北部地区的客户，，，，，导致他们的语音和短信效劳中止，，，，，无法拨打电话或发送短信。。。Cellcom首席执行官Brighid Riordan在克日证实了网络攻击的事实，，，，，并体现公司已制订应对此类情形的规程和妄想。。。事务爆发后，，，，，Cellcom严酷遵照妄想，，，，，包括约请外部网络清静专家、通知联邦视察局和威斯康星州官员，，，，，并全力以赴确保系统清静恢复上线。。。Cellcom强调，，，，，此次攻击爆发在公司网络的一个区域，，，，，与存储用户敏感信息的区域差别，，，，，且没有证据批注用户小我私家信息受到影响。。。最初，，，，，Cellcom声称中止是由手艺问题引起的，，，，，并体现部分数据效劳仍在运行。。。然而，，，，，由于平台泛起问题，，，，，用户对效劳中止和无法移植号码感应沮丧。。。5月19日，，，，，Cellcom最先恢复部分效劳，，，，，包括短信以及拨打和接听其他Cellcom用户的电话。。。只管无法包管何时周全恢复效劳，，，，，但公司正起劲在本周末前实现这一目的。。。

https://www.bleepingcomputer.com/news/security/mobile-carrier-cellcom-confirms-cyberattack-behind-extended-outages/

6. SideWinder APT组织精准攻击南亚多国政府机构

5月20日，，，，，斯里兰卡、孟加拉国与巴基斯坦的高级别政府机构近期成为APT组织SideWinder新一轮攻击的重点。。。攻击者运用鱼叉式垂纶邮件连系地理围栏手艺，，，，，确保恶意载荷仅针对特定国家目的。。。攻击链通过诱饵文档激活，，，，，最终安排StealerBot恶意软件，，，，，手法与SideWinder此前活动特征相符。。。此次攻击瞄准南亚多国要害部分，，，，，如孟加拉国电信羁系委员会、国防部、财务部，，，，，巴基斯坦本土手艺生长局，，，，，以及斯里兰卡外债治理局、国防部、中央银行等。。。攻击者使用微软Office中的历史误差CVE-2017-0199与CVE-2017-11882作为初始攻击前言，，，，，安排具备长期化会见能力的恶意程序。。。恶意文档触发CVE-2017-0199误差后，，，，，通过DLL侧载手艺释放后续载荷，，，，，而地理围栏手艺则确保仅预设国家规模内的受害者会收到现实恶意RTF文件，，，，，该文件使用公式编辑器误差CVE-2017-11882触发内存破损，，，，，执行基于shellcode的加载器以运行StealerBot。。。StealerBot作为�？？？？？？？榛踩氤绦颍�，，，，能够窃取屏幕截图、键盘纪录、密码、文件等敏感数据。。。

https://thehackernews.com/2025/05/south-asian-ministries-hit-by.html

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

百乐博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系百乐博

清静研究