六方云 安全态势周刊丨第371期

1、国家能源局印发《能源行业数据安全管理办法（试行）》

规范能源行业数据处理活动，加强数据安全管理，防范数据安全风险，促进数据开发利用。

https://www.secrss.com/articles/85985

02.

关键基础设施

1、新型01flip勒索软件袭击亚太关键基础设施：基于Rust的跨平台武器搭载Sliver C2框架

网络安全领域出现了一个手法老练的新型勒索软件组织，该组织使用专门构建的跨平台攻击武器，将亚太地区关键基础设施作为攻击目标。这款完全采用Rust编程语言编写的"01flip"勒索软件家族，能够以同等破坏力同时攻击Windows和Linux系统。

https://www.freebuf.com/articles/ics-articles/461760.html

2、SHADOW-VOID-042组织冒充趋势科技发起钓鱼攻击，意图渗透关键基础设施

一个复杂威胁组织利用网络安全巨头的声誉发起定向鱼叉式钓鱼攻击，通过冒充趋势科技（Trend Micro）入侵国防、能源和化工领域的关键机构。趋势科技最新报告显示，2025年11月，被追踪为SHADOW-VOID-042的组织不仅瞄准关键基础设施，还试图利用该厂商的品牌标识作为诱饵，渗透趋势科技及其子公司。

https://www.freebuf.com/articles/ics-articles/461963.html

03.

安全事件

1、违规共享上千万患者健康数据，美国凯撒医疗集团赔偿超3.3亿元

美国凯撒医疗集团（Kaiser Permanente）已同意支付最高4750万美元（约合人民币3.35亿元），以了结一项合并的集体诉讼。该诉讼源于该机构在官网、患者门户以及移动应用中使用跟踪代码。索赔人称，这些跟踪器非法将患者信息共享给包括谷歌、微软及推特在内的第三方。

https://www.secrss.com/articles/85923

2、黑客声称兜售250万条大众汽车印度经销商客户数据

某网络犯罪论坛上，攻击者声称已攻破位于印度喜马偕尔邦的官方汽车经销商——曼迪大众汽车门店，其客户数据正被公开售卖。攻击者声称在今年入侵了曼迪大众汽车门店，并窃取了250万条经销商及其客户的个人信息，目前这批数据已被公开挂牌出售。这批数据疑似来自客户关系管理系统后台的泄露。挂牌信息附带的数据样本显示，被窃取的个人信息包含：姓名、家庭住址、邮政编码、电话号码、电子邮箱。

https://www.secrss.com/articles/85919

3、黑客声称兜售250万条大众汽车印度经销商客户数据

某网络犯罪论坛上，攻击者声称已攻破位于印度喜马偕尔邦的官方汽车经销商——曼迪大众汽车门店，其客户数据正被公开售卖。攻击者声称在今年入侵了曼迪大众汽车门店，并窃取了250万条经销商及其客户的个人信息，目前这批数据已被公开挂牌出售。这批数据疑似来自客户关系管理系统后台的泄露。挂牌信息附带的数据样本显示，被窃取的个人信息包含：姓名、家庭住址、邮政编码、电话号码、电子邮箱。https://www.secrss.com/articles/85919

4、研究人员发现未加密的16TB数据库泄露43亿条专业记录

一个未加密的16TB MongoDB数据库暴露了约43亿条专业记录（主要为LinkedIn风格数据），可能引发大规模AI驱动的社会工程攻击。研究员Bob Diachenko与nexos.ai于2025年11月23日发现该未受保护的数据库，两天后完成修复。目前无法确认此前有哪些人访问过这些数据。

https://www.freebuf.com/articles/database/461900.html

1.高危级lz4-java漏洞在解压缩过程中泄露未初始化内存（CVE-2025-66566）

安全研究人员在广泛使用的LZ4压缩算法Java库lz4-java中发现一个高危漏洞（CVE-

2025-66566），其CVSS评分为8.2分，对数据机密性构成重大威胁。该漏洞可使攻击者

诱骗解压缩器读取并暴露未初始化的内存，可能泄露先前操作残留的敏感数据。

https://www.freebuf.com/articles/network/460861.html