超70台Exchange服务器遭攻击，通过键盘纪录器窃取凭证

首页 > 安全钻研 > 安全传递 > 安全简讯

超70台Exchange服务器遭攻击，通过键盘纪录器窃取凭证

颁布功夫 2025-06-27

1. 超70台Exchange服务器遭攻击，通过键盘纪录器窃取凭证

6月24日，据Positive Technologies的最新分析汇报显示，不明攻击者正针对露出在公网的Microsoft Exchange服务器提议定向攻击，通过向登录页面注入恶意代码来窃取用户凭证。这些恶意代码以JavaScript编写的键盘纪录器大局存在，重要分为两种变体：一种是本地存储型，它将窃取的凭证写入服务器上可通过互联网接见的本地文件；另一种是实时表传型，它将网络的数据立即发送至表部服务器。这次攻击已波及全球26个国度的65个机构，是2024年5月初次纪录的针对非洲和中东实体攻击活动的一连。此前，该公司已发现至少30名机构受害者，涵盖当局机构、银杏注IT公司和教育机构，初次入侵证据可追忆至2021年。攻击者利用Microsoft Exchange Server中的已知缝隙，如ProxyShell等，向登录页面插入键盘纪录代码，以执行窃取行为。这些已被兵器化的缝隙蕴含多个严沉级此外安全缝隙，如CVE-2014-4078、CVE-2020-0796以及多个与ProxyLogon和ProxyShell有关的缝隙。在受习染的服务器中，有22台位于当局机构，其次是IT、工业和物流公司。

https://thehackernews.com/2025/06/hackers-target-65-microsoft-exchange.html

2. Rapid7发现Brother等品牌打印机存在严沉安全缝隙

6月25日，Rapid7的钻研人员发现，Brother及其他多家供给商的数百种打印机型号存在潜在严沉缝隙，这些缝隙可能使数百万企业和家庭打印机面对黑客攻击的风险。钻研人员在Brother出产的多职能打印机中发现了八个缝隙，这些缝隙不仅影响了Brother的689款打印机、扫描仪和标签机型号，还波及了富士贸易创新、理光、柯尼卡美能达和东芝等品牌的共计60余款打印机。其中，最为严沉的缝隙编号为CVE-2024-51978，其严沉等级被评定为“严沉”。该缝隙允许远程和未经身份验证的攻击者通过获取设备的默认治理员密码来绕过身份验证，进而沉新配置设备或滥用经过身份验证的用户职能。而这一缝隙的利用，又与另一个信息泄露缝隙CVE-2024-51977亲昵有关，攻击者能够利用后者获取设备序列号，而该序列号正是天生默认治理员密码所必须的。约莫一年前，Rapid7已通过日本JPCERT/CC向Brother汇报了这些发现。Brother随后颁布了布告奉告客户这些缝隙，并已建复了大部门缝隙。然而，对于CVE-2024-51978这一严沉缝隙，Brother暗示无法在固件中齐全建复，但已采取新的造作工艺确保将来的设备不会受到攻击。对于现有设备，Brother也提供相识决步骤。同时，JPCERT/CC、理光、富士、东芝和柯尼卡美能达等品牌也颁布了有关布告，提醒用户把稳这些安全缝隙并采取相应措施。

https://www.securityweek.com/new-vulnerabilities-expose-millions-of-brother-printers-to-hacking/

3. CISA确认AMI MegaRAC BMC软件严沉缝隙正遭攻击利用

6月26日，美国网络安全与基础设施安全局（CISA）已确认，美国美格纳（AMI）公司的MegaRAC基板治理节造器（BMC）软件中存在一个最高严沉性的安全缝隙，且该缝隙目前正受到攻击利用。MegaRAC BMC固件为服务器提供了远程系统治理职能，使得技术人员无需现实参与即可进行故障排除，这一职能被多家为云服务提供商和数据中心提供设备的供给商宽泛使用，蕴含惠普企业（HPE）、华硕（Asus）和华擎（ASRock）等。然而，该固件中的身份验证绕过安全缝隙（编号为CVE-2024-54085）却给服务器安全带来了巨大威胁。这一缝隙可被远程未经身份验证的攻击者利用，以低复杂度攻击的方式劫持并可能粉碎未建补的服务器，且无需用户交互。今年3月，当AMI颁布安全更新以建复CVE-2024-54085时，Eclypsium发现线上有超过1000台服务器可能面对攻击风险。该公司还暗示，由于MegaRAC BMC固件二进造文件未加密，创建缝隙利用并不难题。

https://www.bleepingcomputer.com/news/security/cisa-ami-megarac-bug-that-lets-hackers-brick-servers-now-actively-exploited/

4. 肯塔基州中部放射诊断中心16.7万人信息遭泄露

6月26日，肯塔基州中部放射诊断中心（Central Kentucky Radiology）近日披露了一路严沉的网络安全事务，该事务导致约16.7万人的幼我信息被泄露。据悉，黑客在2024年10月16日至18日期间侵入了该机构的内部网络，并成功窃取并复造了系统内的文件。这一事务经过长达七个月的数据分析后，终于在2025年5月7日得到了确认�？纤葜胁糠派湔锒现行陌凳�，被盗的文件中蕴含了患者的敏感信息，如姓名、住址、诞生日期、社会安全号码、医疗服务日期及用度明细等。这些信息一旦泄露，可能会给患者带来严沉的隐衷和安全风险。为了应对这一事务，肯塔基州中部放射诊断中心从2025年6月13日起，起头向受影响的人群寄送书面通知函，奉告他们幼我信息泄露的情况，提供为期12个月的免费信誉监控服务，并向佛蒙特州、缅因州总检察长办公室及美国卫生与公家服务部进行了报备。此表，肯塔基州中部放射诊断中心还同步推送了反诈指南。

https://www.securityweek.com/central-kentucky-radiology-data-breach-impacts-167000/

5. 供给链事务波合格拉斯哥市政服务，关键数据面对风险

6月26日，格拉斯哥市议会近日发出忠告，其四级供给商遭逢的安全事务已导致多项在线服务中断，并使用户数据面对泄露风险。6月19日，该议会的IT服务商CGI发显熹分包商治理的服务器上存在恶意活动，议会随即采取垂危措施，隔离了有关服务器，然而这一行动也导致了本地多项数字服务的瘫痪。这次受影响的服务领域宽泛，蕴含规划服务、缴费系统、民生服务以及专项门户等多个方面。具体而言，在线规划申请的查看与评论职能、停车�？詈凸怀德肺フ路５サ脑谙咧Ц秤枭晔鲋澳芫阎卸�；诞生、殒命、婚姻证明的申请服务，以及垃圾清运日历查问和学堂缺勤申报职能也已暂停；此表，Strathclyde养老金会员无法接见SPFOnline门户，登记处预约系统也失效了。目前，议会在与苏格兰警方以及国度网络安全中心（NCSC）缜密合作，共同调查这次安全事务。议会暗示财政系统并未受到这次安全事务的影响，用户的银行账户及信誉卡信息也未被盗取。

https://www.infosecurity-magazine.com/news/supply-chain-imperils-glasgow/

6. 伊朗黑客组织Educated Manticore对以色列发起垂钓攻击

6月26日，伊朗国度支持的黑客组织Educated Manticore被告发针对以色列记者、网络安全专家及推算机科学教授提议垂钓攻击。攻击者利用电子邮件和WhatsApp等通讯工具，假装成技术高管或钻研人员的虚构助理，向指标发送伪造的Gmail登录页面或Google Meet约请链接，诱使指标受骗。网络安全公司Check Point指出，这次行动源于代号Educated Manticore的威胁集群，该组织与APT35（含子集群APT42）、CALANQUE、Charming Kitten等十余个驰名黑客集体存在沉叠，惯用精心设计的社交工程伎俩执行攻击。攻击初期，攻击者发送的新闻不含恶意载荷，而是着力成立与指标的信赖。一旦获守信赖，便会发送垂钓链接，导向伪造的登录页面，窃取谷歌账号凭证。这些垂钓页面不仅能窃取账户凭证，还可捕获双沉验证（2FA）码执行中继攻击，并内置被动键盘纪录法式。即便受害者中途烧毁操作，所有输入内容仍会被窃取。部门攻击还利用Google Sites域名托管伪造会议页面，用户点击页面肆意地位就会触发认证流程，大大增长了攻击的荫蔽性和成功率。

https://thehackernews.com/2025/06/iranian-apt35-hackers-targeting-israeli.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研