文章总结： 近期全球安全态势严峻，医疗行业频遭勒索攻击致大量敏感信息泄露。D-Link路由器、Veeam备份、Chrome及ComfyUI均曝出高危RCE漏洞需紧急修补。供应链攻击与SEO投毒泛滥波及数百万终端。建议启用多因素认证，及时更新系统，通过官方渠道下载软件规避风险。 综合评分： 65 文章分类： 漏洞预警,威胁情报,数据泄露,供应链安全

美国圣约医疗遭麒麟勒索软件攻击，近48万患者敏感信息泄露

汇能云安全

2026年1月12日 14:34 广东

01月12日，星期一，您好！中科汇能与您分享信息安全快讯：

01

美国圣约医疗遭麒麟勒索软件攻击，近48万患者敏感信息泄露

美国田纳西州大型非营利医疗系统——圣约医疗（Covenant Health）披露，其在2025年5月遭遇与俄罗斯关联的“麒麟”勒索软件团伙攻击，导致近47.8万名患者的敏感数据被盗。此次泄露的信息远超最初预估，包含患者姓名、社保号码、住址、病历乃至财务信息。攻击迫使医院关停系统，严重扰乱多州医疗机构运营，并大幅提升了受害者遭遇医疗欺诈和身份盗用的长期风险。

事件暴露出医疗行业在网络安全上的系统性弱点。尽管圣约医疗已为受影响者提供信用监测服务并升级安防措施，但从事发到全面披露耗时数月，引发了对其是否遵守《健康保险流通与责任法案》透明度要求的质疑。该机构正面临潜在的集体诉讼和高额监管罚款。此次事件再次警示，因数据在黑市价值极高，医疗机构已成为勒索软件攻击的首要目标，行业亟待加强防护并更新老旧系统。

02

遗留D-Link DSL路由器曝关键漏洞，可致数万台设备遭远程劫持

网络安全研究人员披露，一个编号为CVE-2026-0625的关键远程代码执行漏洞，正被黑客积极用于攻击多款已停产的D-Link DSL路由器。该漏洞CVSS评分高达9.3分，存在于设备的“dnscfg.cgi”端点中，允许未经身份验证的攻击者注入并执行任意命令，从而完全控制路由器。受影响的型号包括DSL-2740R、DSL-2640B等，部分设备早在2020年初就已停止技术支持。

由于漏洞利用了与历史上大规模DNS劫持攻击相同的机制，危害极大。攻击者能悄无声息地篡改路由器DNS设置，劫持所有经该路由器的网络流量，用于窃听、钓鱼或植入恶意软件。鉴于受影响设备均已报废且无法获得官方固件修复，安全专家强烈建议用户立即更换这些老旧路由器，升级至仍在接受安全更新的新型号，以消除家庭或办公网络面临的持续高风险。

03

新西兰医疗健康平台遭黑客入侵，超10万用户数据被窃并遭勒索

新西兰使用最广泛的医疗门户之一“管理我的健康”平台近期证实遭遇黑客入侵，导致超过10万名用户的个人健康信息被盗。据平台表示，遭入侵的是系统中的一个模块，但已确认约12万用户的数据存在泄露风险，这些数据包括医疗记录、联系电话及住址等敏感信息。一个网名为“Kazu”的黑客在“电报”平台声称对此事负责，并索要6万美元赎金，称此举为“商业行为”。

事件引发新西兰卫生部高度关注，部长西米恩·布朗已宣布展开调查。该平台服务于约180万用户，此次泄露令公众对数字医疗系统的信任受损。平台目前已开始通知首批受影响的用户。此事凸显了全球医疗健康数据面临的严峻安全威胁，攻击者视其为高价值目标，而数据泄露不仅侵犯个人隐私，还可能被用于精准诈骗等犯罪活动。

04

黑猫黑客团伙借SEO投毒传播后门，致中国数十万台电脑中招

中国国家互联网应急中心与威胁情报机构披露，一个名为“黑猫”的网络犯罪团伙正通过“搜索引擎优化投毒”手段，大规模传播窃密恶意软件。该团伙注册了大量高仿域名（如“cn-notepadplusplus .com”），伪装成Notepad++、谷歌浏览器等流行软件的官方网站，并通过技术手段让这些虚假网站在搜索结果中排名靠前，诱导用户下载捆绑了后门的安装包。

一旦用户中招，恶意软件会与攻击者控制的服务器建立连接，窃取浏览器数据、键盘记录、剪贴板信息等多种敏感数据。据统计，仅在2025年12月7日至20日期间，该团伙已攻破中国境内约27.78万台主机，单日最高感染量超过6.2万台。该事件揭示了一种日益流行的攻击模式，安全专家强烈建议用户下载软件时务必通过官方网站或可信渠道，对搜索引擎结果中的“李鬼”网站保持高度警惕。

05

Veeam备份软件修复多个高危漏洞，可致攻击者远程执行代码

企业级数据备份解决方案提供商Veeam近日发布紧急安全更新，修复了其旗舰产品“备份与复制”软件中的四个高危漏洞。其中最严重的一个漏洞编号为CVE-2025-59470，CVSS评分为9.0分。该漏洞允许拥有“备份操作员”或“磁带操作员”权限的用户，通过发送恶意参数，在系统上远程执行任意代码。这些角色在企业内部通常拥有较高特权，使得漏洞危害性倍增。

此次修复的漏洞影响Veeam Backup & Replication 13.0.1.180及之前的所有版本。尽管Veeam表示遵循其安全指南可降低利用风险，且尚未发现这些漏洞在野被利用，但鉴于备份软件存储着企业最核心的数据资产，一旦被攻破后果不堪设想。公司强烈建议所有用户立即将软件更新至已修复问题的13.0.1.1071版本。此举再次提醒企业，即使是最受信任的数据保护基础设施，也需进行严格的权限管理和及时的补丁维护。

06

恶意打包工具pkr_mtsi成为软件供应链污染枢纽，分发多类窃密木马

网络安全研究人员披露，一款名为“pkr_mtsi”的高级Windows软件打包工具，已成为通过恶意广告和SEO投毒手段传播多种信息窃取木马的关键枢纽。自2025年4月首次被发现以来，该工具持续活跃，被用于创建伪装成PuTTY、Rufus、Microsoft Teams等流行合法软件的恶意安装程序。攻击者建立高仿下载网站，通过购买广告或搜索引擎优化手段提升其搜索排名，诱骗用户下载。

该打包器本身不携带特定病毒，而是作为一个通用的“装载器”，能够灵活投递包括Oyster、Vidar、Vanguard Stealer在内的多种信息窃取恶意软件家族。其技术不断演进，采用了复杂的内存分配混淆、API调用哈希化和大量无意义的垃圾代码调用，以干扰安全软件的分析与检测。由于其针对的是用户主动搜索并下载常用软件这一高频行为，欺骗性极强，构成了广泛的软件供应链威胁。

07

谷歌紧急修复Chrome高危WebView漏洞，防止安全策略被绕过

谷歌公司近日为Chrome浏览器发布了紧急安全更新，修复了一个存在于 标签中的高危级别漏洞（CVE-2026-0628）。该漏洞被定义为“策略执行不充分”问题，可能允许嵌入在Chrome应用中的网页内容绕过既定的安全策略或隔离限制。 标签允许开发者在其应用程序内嵌入独立的浏览器实例，常用于显示网页内容。

此漏洞由外部安全研究员在2025年11月底上报。虽然谷歌暂未公布漏洞被利用的详情，但此类涉及沙箱逃逸或策略绕过的漏洞通常危害严重，可能被攻击者用于进行更深度的系统入侵。目前，更新正逐步向所有Chrome用户推送，版本号升级至143.0.7499.192/193。谷歌遵循行业惯例，在大部分用户完成更新前暂不披露技术细节，以防止攻击者反向利用。用户应立即检查并更新浏览器以确保安全。

08

黑客利用窃取的员工凭证入侵全球50家企业，缺失多因素认证成关键漏洞

网络安全公司的调查显示，一名代号为“Zestix”的疑似伊朗黑客，通过利用从普通员工电脑上窃取的登录密码，成功入侵了全球约50家大型企业的内部系统。攻击者并未直接攻击企业防火墙，而是先通过信息窃取恶意软件（如RedLine、Lumma）感染员工个人设备，盗取浏览器中保存的各种网站密码，其中包括企业使用的文件共享服务（如ShareFile、Nextcloud）凭证。

导致大规模入侵成功的根本原因在于，这些受害企业均未在相关系统上启用多因素认证。攻击者仅凭窃取到的用户名和密码便如入无人之境。失窃数据量巨大且极为敏感，涵盖美国公用事业公司的工程图纸、西班牙航空公司的飞机安全手册、巴西医疗机构的数TB患者记录，甚至包括军用无人机设计蓝图。此事件残酷地揭示了，即使是最基础的多因素认证措施的缺失，也足以让顶级企业门户洞开。

09

国内热门办公软件遭供应链攻击，百万终端被植入流量劫持插件

奇安信威胁情报中心披露，一款在国内广泛使用的名为“Office助手”的办公效率软件遭供应链攻击，其2024年5月发布的特定版本被植入了恶意代码。该软件在用户不知情的情况下，会从远程服务器下载并加载一个携带被盗用合法数字签名的恶意组件，进而向用户的浏览器中秘密安装一款名为“Mltab”的插件。此恶意活动已持续活跃超过一年半，估计影响终端数量接近百万台。

一旦安装，“Mltab”插件会实施全面的浏览器劫持。它不仅篡改浏览器新标签页，还会按照远程下发的配置规则，将用户在百度、京东等主流网站上的正常导航链接和搜索结果替换为能带来推广收入的恶意跳转链接。更棘手的是，该恶意插件甚至能锁定浏览器设置，防止用户修复。截至报告发布，该插件在微软Edge官方商店中仍未下架，凸显了软件供应链污染与官方应用商店审核相结合所带来的持续风险。

10

AI绘画工具ComfyUI曝高危漏洞，超10万台服务器面临远程控制风险

流行的AI图像生成工具ComfyUI的官方扩展管理器（ComfyUI-Manager）中被曝出一个高危远程代码执行漏洞（CVE-2025-67303），其CVSS评分高达9.8分。该漏洞源于管理器组件的配置目录访问控制不严，允许未经身份验证的攻击者通过发送特殊请求，篡改服务器配置文件并利用危险接口执行任意脚本代码，从而完全控制运行ComfyUI的服务器。

该漏洞影响ComfyUI-Manager 3.38之前的所有版本。根据网络测绘数据，全球范围内有超过10万台服务器可能受此漏洞影响，其中中国境内风险资产数量接近2.9万个。由于ComfyUI通常需要高性能GPU支持，被攻陷的服务器不仅可能导致AI模型和数据泄露，其强大的计算资源还可能被攻击者窃取用于加密货币挖矿或其他恶意活动。开发团队已发布修复版本，强烈建议所有用户立即将ComfyUI-Manager升级至3.38或更高版本。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《美国圣约医疗遭麒麟勒索软件攻击，近48万患者敏感信息泄露》