•发动非法网络攻击，20名台湾民进党当局“资通电军”首恶分子被悬赏通缉

•国家网络安全通报中心：重点防范10个境外恶意网址和恶意IP

•工信部CSTIS提醒：防范ResolverRAT恶意软件的风险

•乌克兰情报部门声称入侵俄战略轰炸机制造商，窃取4.4GB机密数据

•Play勒索软件攻击数量激增，已影响900家组织

•MongoDB配置错误导致超880万条患者记录暴露

•UNC6040 组织利用语音钓鱼实施攻击，针对 Salesforce

•Google修复已被在野利用的Chrome越界读写漏洞

•HPE StoreOnce曝8个新漏洞，面临多种远程利用风险

•微软推出免费欧盟网络安全计划，助力政府抵御国家级威胁

6月5日，广州市公安局天河区分局正式发布《悬赏通告》，向社会详细公布中国台湾民进党当局“资通电军”指挥实施了针对广州某科技公司的非法网络攻击活动，涉嫌多项违法犯罪，并对宁恩纬等20名参与实施上述网络攻击活动的首要犯罪嫌疑人进行悬赏通缉。这是大陆政府部门首次通过执法行动对“台独”分裂势力亮剑，首次对台湾“资通电军”有组织网络违法犯罪行为的集中打击，一举查实20名犯罪嫌疑人真实身份，全面固定犯罪证据并公开悬赏通缉。

5月20日和27日，广州市公安局天河区分局先后两次发布《警情通报》，称广州某科技公司遭受网络攻击并向公安机关报案，公安机关初步查明该公司遭受的网络攻击系中国台湾民进党当局豢养的黑客组织所为。5月28日，国台办新闻发言人陈斌华公开回应记者提问，称公安机关将坚决维护国家安全和企业、人民合法正当权益，依法对台湾“资通电军”违法犯罪人员公开通缉，并借助各类司法渠道坚决予以打击。

警方调查显示，台湾“资通电军”近年来伪装成“毒云藤”“三色堇”“匿名者64”“金叶萝”“乌苏拉”等黑客组织，有组织、有计划、有预谋地对大陆和港澳地区国防军工、航空航天、政府部门、能源交通、海事、科研及科技企业等重点部门、重点领域的网络系统，实施了数千次大规模网络攻击，通过漏洞扫描、密码爆破、SQL注入、钓鱼邮件攻击、内网嗅探、木马植入等初级网攻手法，尝试绕过目标系统安全防护措施，获取系统内网控制权限，进而窃取敏感数据和重要情报信息、干扰企业正常经营活动，性质极其恶劣。

原文链接：

https://mp.weixin.qq.com/s/ar_DKSTCZBXNad3ScO1LDQ

国家网络安全通报中心6月5日发布《重点防范境外恶意网址和恶意IP（续八）》，指出通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。

主要情况如下：

（一）恶意地址：enermax-com.cc

（关联IP地址：198.135.49.79）

（二）恶意地址：vpn.komaru.today

（关联IP地址：178.162.217.107）

（三）恶意地址：ccn.fdstat.vip

（关联IP地址：176.65.148.180）

（四）恶意地址：crazydns.bumbleshrimp.com

（关联IP地址：196.251.115.253）

（五）恶意地址：nanotism.nolanwh.cf

（关联IP地址：2.4.130.229）

（六）恶意地址：gotoaa.sytes.net

（关联IP地址：46.19.141.202）

（七）恶意地址：rcdoncu1905.duckdns.org

（关联IP地址：181.131.216.154）

（八）恶意地址：1000gbps.duckdns.org

（关联IP地址：192.250.228.95）

（九）恶意地址：nnbotnet.duckdns.org

（关联IP地址：161.248.238.54）

（十）恶意地址：traxanhc2.duckdns.org

（关联IP地址：160.187.246.174）

国家网络安全通报中心建议用户对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕；及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问；向公安机关及时报告，配合开展现场调查和技术溯源。

原文链接：

https://mp.weixin.qq.com/s/TKUioTqn57gs3fXBuj5UYg

工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）6月5日发布《关于防范ResolverRAT恶意软件的风险提示》，指出监测发现ResolverRAT恶意软件持续活跃，其主要攻击目标为医疗保健和制药行业相关用户，可能导致敏感信息泄露、业务中断、系统受控等风险。

ResolverRAT是一种新型远程访问木马（RAT），最早发现于2025年3月10日。该恶意软件一般通过伪装成法律或版权违规的钓鱼邮件，诱骗用户下载看似合法的应用程序。一旦感染，该恶意软件会利用DLL侧载技术将恶意代码注入内存，绕过传统安全检测，并利用.NET的ResourceResolve事件拦截合法资源请求，解密关键数据，进行数据窃取、系统控制等恶意行为。在攻击过程中，ResolverRAT采用AES-256算法及动态生成密钥和初始化向量（CBC模式），配合GZip压缩技术加密传输数据，并应用多层混淆技术，结合无文件执行模型（Fileless Execution）直接在内存中运行，避免留下磁盘痕迹。此外，ResolverRAT还可通过创建多个混淆的注册表项、证书固定、IP轮换等方式保持对目标系统的持久控制。这种加密-混淆-压缩的组合防御体系，使安全监测分析难度大大提升。

CSTIS建议相关单位和用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，加强网络监控，谨慎点击不明来源的链接或下载运行来源不明的应用程序，提高网络安全意识，并可通过及时修复安全漏洞、定期备份数据等措施，防范网络攻击风险。

原文链接：

https://mp.weixin.qq.com/s/DlE8ehKbzsu4CgGeCgG7vw

乌克兰国防部主情报局（GUR）近日宣称成功入侵了俄罗斯航空航天和国防公司图波列夫（Tupolev）。该公司负责研发俄罗斯的超音速战略轰炸机。

据乌克兰媒体报道，GUR内部消息人士透露，军事情报黑客攻入图波列夫系统并窃取了4.4GB的机密信息。这些被盗数据包括图波列夫人员的个人资料、内部通信（包括公司管理层交换的信息）、采购文件、工程师和设计师的简历以及闭门会议记录。

消息人士表示，GUR黑客在图波列夫网络内潜伏了相当长的时间，足以收集可用于未来行动的其他信息，这些信息可能用于入侵俄罗斯国防部门的其他组织。"获取的数据价值难以估量。对乌克兰情报部门而言，图波列夫的运营几乎没有任何秘密可言，"匿名消息人士告诉《基辅邮报》。

黑客还篡改了图波列夫的官方网站，添加了一张爪子抓着飞机的猫头鹰图像。目前，该网站重定向到俄罗斯国有企业联合航空制造公司（UAC）的网站。

原文链接：
https://www.bleepingcomputer.com/news/security/ukraine-claims-it-hacked-tupolev-russias-strategic-warplane-maker/

根据FBI、CISA和澳大利亚网络安全中心的最新联合公告，截至2025年5月，Play勒索软件团伙已攻击约900家组织，是2023年10月报告受害者数量的三倍。

FBI警告称，Play（又称Playcrypt）勒索软件是2024年最活跃的勒索软件组织之一。自2022年6月以来，Play勒索软件团伙已影响北美、南美和欧洲的各类企业和关键基础设施。该团伙受害者包括云计算公司Rackspace、加利福尼亚州奥克兰市、比利时安特卫普市、甜甜圈连锁店Krispy Kreme和美国半导体供应商Microchip Technology。

该团伙在每次攻击中使用重新编译的恶意软件，使安全解决方案更难以检测和阻止。此外，一些受害者还收到电话威胁，要求支付赎金以防止被盗数据在网上泄露。今年以来，与Play勒索软件运营商有关联的初始访问代理还利用远程监控和管理工具中的多个漏洞（CVE-2024-57726、CVE-2024-57727和CVE-2024-57728）对美国组织发动远程代码执行攻击。

安全专家建议组织保持系统和软件更新、实施多因素认证（MFA）并维护离线数据备份，以降低遭受Play勒索软件攻击的风险。

原文链接：

https://www.bleepingcomputer.com/news/security/fbi-play-ransomware-breached-900-victims-including-critical-orgs/

研究人员近日发现一起影响美国公民医疗数据的大规模数据泄露事件。约270万患者档案和880万预约记录被公开暴露，任何掌握数据库位置的人都能不受限制地获取这些高度敏感的医疗信息，这种大规模医疗敏感数据的泄露为各类恶意活动敞开了大门。

此次泄露是由一个未受保护的MongoDB数据库引起的。虽然数据所有者尚未得到官方确认，但数据库中的线索指向牙科营销公司Gargle。该公司为牙科诊所提供营销、SEO和网站开发服务。该公司在收到相关通知后，已将数据集安全保护起来，但尚未对此事发表评论。

泄露的数据包括患者姓名、出生日期、电子邮件、地址、电话号码、性别、图表ID、语言偏好、账单详情以及带有患者元数据、时间戳和机构参考的预约记录。这类泄露很可能源于一个常见且经常被忽视的漏洞，即由于人为错误，数据库在没有适当身份验证的情况下被暴露。

此次泄露规模之大，严重违反了《健康保险可携性和责任法案》(HIPAA)的合规要求。该法案明确规定，所有处理患者数据的机构必须实施严格的安全措施对敏感医疗信息进行全面保护。

原文链接：

https://cybernews.com/security/dental-marketing-gargle-data-leak/

Google 威胁情报团队（GTIG）近日披露，威胁组织UNC6040专门通过语音钓鱼（vishing）攻击入侵企业 Salesforce 实例，进行大规模数据窃取和勒索。

UNC6040 的主要攻击手法包括：冒充 IT 支持人员，通过电话社会工程欺骗说英语的员工；诱导受害者授权修改版 Salesforce Data Loader 应用，该应用被伪装成 "My Ticket Portal" 等名称；利用获得的访问权限窃取 Salesforce 客户数据，并横向移动至 Okta、Workplace 和 Microsoft 365 等平台；在入侵数月后进行勒索，声称隶属于 ShinyHunters 黑客组织以增加压力。

Google 指出，UNC6040 与网络犯罪集团 The Com 有关联，采用类似 Scattered Spider 的社会工程策略。Salesforce 已于 2025 年 3 月就此类攻击发出警告。GTIG 强调，这种复杂的社会工程攻击显示了针对 IT 支持人员的威胁日益增加。鉴于入侵和勒索之间的时间差，未来数周或数月可能会有更多受害组织面临勒索威胁。 

原文链接：

https://thehackernews.com/2025/06/google-exposes-vishing-group-unc6040.html

Google近日修复了两个Chrome浏览器漏洞，其中包括一个已被野外利用的零日漏洞CVE-2025-5419。该高危漏洞存在于V8引擎中，这是Google为Chromium和Chrome浏览器开发的JavaScript和WebAssembly引擎。

CVE-2025-5419是一个越界读写漏洞，允许远程攻击者通过精心构造的HTML页面触发堆损坏。该漏洞由Google威胁分析小组（Threat Analysis Group）的专家于5月27日报告，Google在次日通过向所有Chrome平台的稳定通道推送配置更改来缓解该问题。考虑到报告漏洞的是专门保护Google用户、平台和更广泛互联网免受有针对性和国家支持的网络威胁的专业团队，这一漏洞很可能正被威胁行为者积极利用。

按照惯例，Google没有分享有关攻击和漏洞利用的详细信息，并暂时限制了对漏洞详情和链接的访问，以便大多数用户能够获取修复更新：Windows和Linux版Chrome v137.0.7151.68，以及macOS版Chrome v137.0.7151.69。

原文链接：

https://www.helpnetsecurity.com/2025/06/04/google-fixes-chrome-zero-day-with-in-the-wild-exploit-cve-2025-5419/

Hewlett Packard Enterprise（HPE）近日发布安全公告，披露其StoreOnce数据备份和重复数据删除平台存在八个新发现的漏洞。其中最严重的是一个身份验证绕过漏洞CVE-2025-37093，CVSS评分高达9.8，对受影响系统构成严重威胁。

根据安全公告，多个版本的StoreOnce Virtual Storage Appliance（VSA），特别是4.3.11版本之前的版本，面临远程代码执行（RCE）、服务器端请求伪造（SSRF）、任意文件删除、信息泄露、目录遍历和身份验证绕过等多种远程利用风险。其中，CVE-2025-37093影响所有4.3.11之前的软件版本，允许未经身份验证的攻击者绕过认证机制并获得未授权系统访问权限。

HPE强烈建议运行StoreOnce VSA软件早期版本的系统立即升级到4.3.11或更高版本，该版本包含了修复所有八个漏洞的必要补丁。更新的软件可通过HPE Support Center获取。

原文链接：

https://thecyberexpress.com/cve-2025-37093-hits-hpe-storeonce-systems/

微软于近日在柏林宣布推出新的欧洲安全计划（European Security Program），旨在增强欧洲各国政府的网络安全防御能力。该计划是对现有政府安全计划的扩展，免费向所有欧盟国家、入盟候选国、欧洲自由贸易联盟（EFTA）成员、英国、摩纳哥和梵蒂冈提供服务。

微软指出，该计划主要目标是抵御国家支持的黑客组织日益增长的攻击。人工智能是该防御计划的核心要素。微软将提供实时的AI驱动威胁情报，根据各国需求量身定制，同时扩大对数字犯罪部门和威胁分析中心情报的访问权限。此外，微软还将提供关于使用深度伪造技术的外国影响力行动的更新，并为新发现的漏洞提供早期预警和修复指导。

该计划的另一个重要支柱是加强合作伙伴关系，以识别新威胁、开发防御措施并打击网络犯罪。微软将与Europol、CyberPeace Institute、LASR和西巴尔干网络能力中心等组织加强合作，并继续支持GitHub安全开源基金。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-unveils-free-eu-cybersecurity-program-for-governments/