每日安全简讯(20250630)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT42黑客组织针对以色列学者发起钓鱼攻击

以色列安全公司Check Point近日发布报告称，伊朗背景的APT42（又名Educated Manticore、Charming Kitten、Mint Sandstorm）近期针对以色列记者、网络安全专家及学术人员发起了一波精准的钓鱼攻击行动。该行动自2025年1月起持续至今，于6月中旬加剧，攻击者伪装成网络安全从业者，通过电子邮件和WhatsApp进行接触，借助AI生成的措辞专业信息骗取信任，再诱导受害者登录伪造的Google登录界面，从而窃取邮箱凭证和双因素认证代码。APT42使用了定制化的React单页应用（SPA）钓鱼套件，伪装成Google登录界面，并内置实时按键记录器与WebSocket数据通道，能即时传输受害者输入的账号、密码及2FA验证码。此外，攻击者还使用Google Sites托管的虚假Google Meet邀请页面，以增加钓鱼攻击的可信度。

https://securityaffairs.com/179372/apt/apt42-impersonates-cyber-professionals-to-phish-israeli-academics-and-journalists.html

---

2 NRS黑客攻击事件已影响超过50万名患者

2024年针对美国医疗债务催收公司Nationwide Recovery Service（NRS）的黑客攻击事件持续发酵，受影响的患者人数已超过50万。NRS最初于去年9月向美国卫生与公众服务部（HHS）报告称，事件影响仅为501人，但随着多个合作医疗机构陆续提交数据泄露报告，实际受害规模大幅攀升。近期，包括Select Medical（11.9万人）、UChicago Medicine Medical Group（3.8万人）、Shore Medical Center（3.1万人）以及Radiology Chartered等在内的多家医疗机构确认因NRS数据泄露影响其患者。NRS在2024年7月5日至11日期间遭遇未经授权的入侵，黑客访问并复制了包含个人姓名、地址、社会安全号码、出生日期、账户余额及医疗账单信息等敏感数据的文件。尽管受害机构强调其自身IT系统未遭破坏，但作为业务外包方的NRS成为攻击突破口，引发行业对第三方数据安全的严重担忧。

https://www.govinfosecurity.com/nationwide-recovery-service-hack-grows-to-500000-victims-a-28835

---

3 黑客泄露西班牙政府官员的个人资料

西班牙警方正在调查近期针对政府官员和政治人物的大规模信息泄露事件，其中包括总统佩德罗·桑切斯的个人邮箱和国家身份证号。此次攻击由网名为“@akkaspace”的黑客发起，自6月19日以来已连续三次通过多个平台发布包含数百名现任与前任政治人物、左翼记者和评论员的个人资料，内容涵盖手机号、住址、邮箱、身份证号等敏感信息。被泄人员涉及多个政治派别，包括执政的西班牙工人社会党（PSOE）、反对党人民党以及与执政党联合执政的左翼政党Podemos。泄露信息中还包括一个长达500页的文档，列出多名Podemos注册成员的账户信息与密码。此次事件发生背景复杂。西班牙工人社会党近日深陷腐败丑闻，涉嫌高官利用职权操控政府合同换取回扣，引发公众愤怒。总统桑切斯此前已就此表态“深感愤怒与悲痛”，并宣布对党内账户启动独立审计。此次数据泄露无疑加剧了政治局势的不稳定性，也为西班牙政坛安全治理敲响警钟。

https://www.govinfosecurity.com/hacker-leaks-personal-data-spanish-politicians-a-28849

---

4 男子入侵三家机构推销网络安全服务被判有罪

美国司法部宣布，密苏里州堪萨斯城32岁的尼古拉斯·迈克尔·克洛斯特（Nicholas Michael Kloster）已承认在2024年非法入侵三家机构的网络系统，目的是自我推销其网络安全服务。据法院文件显示，克洛斯特通过突破访问限制进入健身机构的网络系统后，发送电子邮件向管理者自曝其入侵行为，并借机推销其网络防护服务。同时，他还私自修改了系统中的会员信息，将自己的月费降为1美元，并盗取了员工名牌。随后，他在社交媒体上发布了自己控制该健身房监控系统的截图作为“展示”。数周后，克洛斯特又非法闯入一家非营利组织的限制区域，利用启动盘绕过系统认证机制，在其电脑上安装VPN、更改账户密码，并窃取敏感信息。此外，他还被指控从曾经解雇他的公司窃取信用卡信息，用于购买专门攻击系统的“黑客U盘”，显示其有计划地收集并使用非法工具实施网络入侵。

https://www.bleepingcomputer.com/news/security/man-pleads-guilty-to-hacking-networks-to-pitch-security-services/

---

5 研究人员发现超过7000个MCP服务器因配置错误存在安全风险

安全公司Backslash Security警告称，全球已有超过7000台Model Context Protocol（MCP）服务器因配置不当而暴露在公共互联网中，给AI应用程序带来严重安全隐患。MCP协议自2023年11月才刚出现，但因其能将AI模型连接至组织内部敏感数据，部署速度惊人，目前全球部署数量已超过15000台。研究人员指出，大量MCP服务器缺乏认证控制机制，允许未经授权的设备连接访问，尤其在本地网络中形成所谓的“邻居劫持”（neighborjacking）风险。更严重的是，约70台服务器存在关键漏洞，如路径遍历及未对用户输入进行净化处理，其中部分系统甚至会将用户输入作为Shell命令执行，导致攻击者可远程执行任意代码、删除数据或完全控制主机。此外，MCP服务器还可能被用于“上下文投毒”，攻击者通过操控送入AI模型的数据内容，影响模型输出的准确性与可信度。在一例中，研究人员发现某企业部署的MCP为数万用户提供服务，却未设置任何数据篡改防护机制。

https://www.govinfosecurity.com/misconfigured-ai-servers-weak-configurations-expose-data-systems-a-28853

---

6 澳洲大学生因入侵校园系统篡改成绩被起诉

澳大利亚新南威尔士州警方近日逮捕了一名涉嫌多次入侵西悉尼大学（WSU）系统的27岁女子——前学生Birdie Kingston。警方称，自2021年以来，她非法访问学校系统，窃取数据、篡改记录，甚至威胁在暗网出售学生资料，受影响人员达数百人。事件起因于她试图操控校园停车系统以获得折扣停车，随后行为逐步升级。据悉，她曾在校内居住，并在2023年9月收到官方警告，但仍持续实施网络攻击。西悉尼大学此前披露，该校自2023年5月起其Office 365平台遭未经授权访问，涉及约7500人；2025年初又两次发生安全事件，其中包括单点登录系统被攻破，影响约10000名学生，以及2024年11月起始的学生数据在暗网泄露事件。警方在其住处查获多台计算机和手机设备，怀疑其掌握了超过100GB的敏感数据，甚至尝试敲诈学校支付等值4万美元的加密货币赎金。

https://www.bleepingcomputer.com/news/security/ex-student-charged-over-hacking-university-for-cheap-parking-data-breaches/

---