烽火狼烟丨暗网数据及攻击威胁情报分析周报（01/06-01/10）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件182起，同比上周下降19.82%。本周内贩卖数据总量共计105694.69万条；累计涉及10个主要地区，主要涉及9种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及贸易、金融、个人信息等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期网络钓鱼攻击呈现多样化的威胁形式，需加强防范；本周内出现的安全漏洞以Fortinet FortiManager访问控制错误漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8925条，主要涉及命令注入、组件漏洞攻击、扫描防护等类型。

01.

重点数据泄露事件

Nor-Well泄露超14GB数据

泄露时间：2025-01-08

泄露内容：近期，美国机械管道承包商Nor-Well遭到黑客组织Play的攻击，导致超14GB数据泄露。Nor-Well成立于1950年，总部位于田纳西州伊丽莎白顿，主要为田纳西州东部、北卡罗来纳州西部和弗吉尼亚州西南部提供商业和工业机械及管道施工服务，涵盖新建和维修/修复项目。泄露数据可能涉及Nor-Well参与的诸多项目，包括沙利文县监狱、卡特县监狱及ames H Quillen VA医疗中心等。

泄露数据量：14GB

关联行业：制造业

地区：美国

Precision Walls泄露超455GB数据

泄露时间：2025-01-07

泄露内容：美国墙体和天花板承包商Precision Walls遭到黑客组织Dragon Force的攻击，导致超455GB数据泄露。Precision Walls是东南部领先的商业石膏板、隔板、隔音天花板和墙板专业承包商，在北卡罗来纳州、南卡罗来纳州、田纳西州和弗吉尼亚州设有多个办事处。此次泄露的数据可能涉及多个重要项目，包括波音总装大楼、查尔斯顿国际机场、坎纳波利斯市政厅/警察总部及罗利达勒姆机场管理局1号航站楼等。

泄露数据量：455 GB

关联行业：制造业

地区：美国

石油和天然气勘探公司Silverback Exploration信息泄露

泄露时间：2025-01-06

泄露内容：美国石油和天然气勘探公司Silverback Exploration遭到黑客组织Bian Lian的攻击，导致公司敏感数据被泄露。Silverback Exploration总部位于圣安东尼奥，是一家私营独立的石油和天然气勘探与生产公司，专注于在全美范围内寻求常规和非常规资源领域的租赁和钻探机会，致力于通过有机开发项目和战略收购推动资源开发。

泄露数据量：未知

关联行业：制造业

地区：美国

JTEKT North America Corporation遭数据泄露

泄露时间：2025-01-06

泄露内容：美国轴承制造商JTEKT North America Corporation遭到黑客组织Black Suit的攻击，泄露数据总量超过894GB。JTEKT North America Corporation成立于2006年，是JTEKT Corporation的分支机构，致力于设计和制造汽车系统、轴承解决方案以及高性能机床，服务于汽车、能源、航空航天、农业、电器、制造业、医疗和铁路等多个行业。此次数据泄露可能对公司及其客户的商业机密和运营安全构成威胁。

泄露数据量：894GB

关联行业：制造业

地区：美国

美国阿拉巴马州教育部数据泄露

泄露时间：2025-01-06

泄露内容：美国阿拉巴马州教育部（Alabama Department Of Education）遭到黑客组织INC Ransom的攻击，导致重要数据被泄露。作为阿拉巴马州政府内的行政实体，教育部负责管理该州的公共教育，监督132个学区及超过90,000名教育人员，其中包括46,000名教师，为约750,000名学生提供教育服务。此次数据泄露事件可能对学区管理、教育人员和学生的信息安全造成重大影响。

泄露数据量：未知

关联行业：教育

地区：美国

02.

热点资讯

乌克兰黑客组织攻击俄罗斯ISP Nodex

乌克兰黑客组织“乌克兰网络联盟”宣布，成功入侵俄罗斯圣彼得堡的互联网服务提供商Nodex，并在窃取敏感文件后清除被攻击系统的相关数据。Nodex随后确认，网络遭到来自乌克兰有计划性的攻击，导致其系统被破坏，目前正在恢复服务。黑客还分享了被攻击的虚拟基础设施截图，包括VMware、Veeam备份和惠普企业系统，乌克兰网络联盟自2016年起活跃，曾多次攻击俄罗斯相关机构。

消息来源：

https://www.bleepingcomputer.com/news/security/russian-isp-confirms-ukrainian-hackers-destroyed-its-network/

Garmin Connect应用全球宕机

近期，Garmin Connect应用发生严重宕机，导致全球数十万用户无法访问其服务，包括活动上传、挑战与连接、健康同步等功能。此次故障影响多个平台和国家，用户在社交媒体上纷纷表达了不满，此次宕机恰逢Garmin新产品Instinct 3发布，用户怀疑此次宕机可能与黑客攻击有关。目前，Garmin手表的独立使用功能未受影响，但相关数据记录与同步功能中断。

消息来源：

https://cybernews.com/news/garmin-connect-major-outage/

美国职业橄榄球联盟球队网站遭攻击，敏感信息或被窃取

美国职业橄榄球联盟球队的粉丝成为网络攻击的受害者，其个人和敏感信息因恶意代码注入而暴露。据悉，恶意代码被植入该球队的商品网站 Pro Shop 及相关服务的结账页面。非营利组织 Green Bay Packers, Inc. 在一封通知中披露了这次网络攻击，攻击源于第三方供应商运营的 Pro Shop 网站，受害者主要是通过该网站完成信用卡交易的用户。此次攻击导致 Pro Shop 用户提交的敏感信息可能被窃取，包括姓名、账单、收货地址、电子邮件、信用卡类型、卡号、有效期及 CVV 安全码。尽管礼品卡、网站账户、PayPal 和 Amazon Pay 的交易未受影响，但信用卡支付的用户面临严重风险。安全研究专家表示，攻击可能涉及服务器端漏洞（如跨站脚本 XSS）、社交工程（如网络钓鱼）或登录/认证配置问题。

消息来源：

https://cybernews.com/news/green-bay-packers-shop-data-breach/

加拿大蒙特利尔北区疑遭勒索攻击

法国裔城市蒙特利尔的十九个行政区之一——蒙特利尔北区（Montréal-Nord）在上周末被勒索软件组织Rhysida宣称攻陷，黑客组织在其暗网泄露博客上发布了蒙特利尔北区的相关信息，并附上了一些疑似从其政府网络中窃取的文档样本，Rhysida要求其在四天内支付10个比特币的赎金（约合100万美元），否则将把蒙特利尔北区的数据出售给最高出价者。目前，Rhysida未披露从蒙特利尔北区服务器中提取的文件数量，仅展示了一些疑似样本，包括一封电子邮件、一份行政合同以及一张加拿大护照，大部分文件内容均为法语。

消息来源：

https://cybernews.com/news/montreal-north-borough-claimed-rhysida-ransomware-gang/

CISA警告美联邦机构迅速加固系统

美国网络安全和基础设施安全局（CISA）警告，美国联邦机构需迅速加固系统，以防止Oracle WebLogic Server和Mitel MiCollab系统中的关键漏洞被利用攻击。CISA已将Mitel MiCollab统一通信平台中NuPoint Unified Messaging（NPM）组件的路径遍历漏洞（CVE-2024-41713）列入其已知利用漏洞目录（KEV）。该漏洞允许攻击者执行未经授权的管理操作，并访问用户和网络信息。Mitel表示：“成功利用该漏洞可能使攻击者获得未经授权的访问权限，从而威胁系统的机密性、完整性和可用性。此漏洞无需身份验证即可被利用。”CISA已要求联邦文职行政机构（FCEB）依据2021年发布的BOD 22-01指令，在2025年1月28日前修复上述漏洞。

消息来源：

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-oracle-mitel-flaws-exploited-in-attacks/

03.

热点技术

基于Mirai的僵尸网络变种利用工业路由器漏洞发动DDoS攻击

近期，安全研究人员发现了一种基于Mirai的僵尸网络变种，利用Four-Faith工业路由器中新披露的漏洞执行分布式拒绝服务（DDoS）攻击。自2024年11月以来，该僵尸网络约有15,000个日活IP地址，感染主要集中在中国、伊朗、俄罗斯、土耳其和美国。攻击者利用超过20个已知安全漏洞和弱Telnet凭证进行初始访问，包括零日漏洞CVE-2024-12856（CVSS评分：7.2），该漏洞由于操作系统存在命令注入缺陷，影响型号为F3x24和F3x36的路由器。研究人员表示，自2024年11月起，攻击者已开始利用该漏洞分发恶意软件，僵尸网络以“gayfemboy”命名，源于其代码中的攻击性术语。一旦设备受感染，恶意软件将隐藏恶意进程，使用Mirai格式的命令扫描易受攻击的设备，并不断更新自身以扩大攻击范围。受害设备随后被用于每天对数百个目标发起DDoS攻击，流量峰值可达100 Gbps，攻击时间通常为10至30秒。除了工业路由器，该僵尸网络还通过多种漏洞扩大影响力，例如CVE-2013-3307、CVE-2016-20016、CVE-2023-26801等，其他目标还包括默认密码的Session Smart Router（SSR）产品以及存在远程代码执行漏洞的DigiEver DVR。

消息来源：

https://thehackernews.com/2025/01/mirai-botnet-variant-exploits-four.html

FireScam恶意软件伪装为Telegram Premium窃取Android设备数据

近期，一款名为FireScam的Android窃密软件被发现伪装成Telegram Premium应用，通过GitHub.io托管钓鱼网站进行传播，这些网站模仿俄罗斯流行的应用商店RuStore来分发恶意安装包文件（APK）。FireScam采用多阶段感染流程，首先通过一个载荷投递程序安装恶意软件主模块，一旦安装，该恶意软件便开始执行监控活动，包括窃取通知、消息以及其他应用数据，并将这些敏感信息上传至Firebase Realtime Database。同时，恶意软件通过声明自己为应用程序的“所有者”，阻止来自其他来源的合法更新，从而确保其持久驻留在设备中。安全研究人员警告，这种利用钓鱼分发方法的攻击不仅能有效地感染设备，还能绕过传统的检测机制，进一步证明了网络犯罪分子通过模仿合法平台诱导用户下载恶意应用的策略日益复杂。

消息来源：

https://thehackernews.com/2025/01/firescam-android-malware-poses-as.html

PLAYFULGHOST恶意软件通过木马化VPN应用对中文用户进行攻击

近期，网络安全研究人员发现了一种新型恶意软件PLAYFULGHOST，具备键盘记录、屏幕捕获、音频录制、远程Shell及文件传输与执行等信息收集功能。PLAYFULGHOST主要通过鱼叉式钓鱼邮件和SEO投毒技术传播木马化的VPN应用，如LetsVPN。鱼叉攻击中，攻击者使用伪装成图像文件的恶意RAR诱骗受害者，文件扩展名为“.jpg”，受害者解压并执行恶意文件后，会释放一个Windows可执行文件，从远程服务器下载并执行PLAYFULGHOST。SEO投毒技术则通过伪装的LetsVPN安装程序引诱用户下载恶意软件，该程序启动后释放中间载荷，进一步加载后门组件。此感染链采用DLL搜索路径劫持和侧加载等方法运行恶意DLL，最终实现将PLAYFULGHOST加载到内存中。PLAYFULGHOST针对中文用户的痕迹明显，例如攻击应用如Sogou、QQ和360安全浏览器。

消息来源：

https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html

电子邮件伪装与网络钓鱼攻击的多样化威胁

近期，网络安全研究人员发现，攻击者通过伪造发件人地址实施邮件垃圾广告活动仍然非常有效。这种伪装技术旨在提高邮件的可信度，从而绕过安全机制，规避检测。尽管DKIM、DMARC和SPF等防护措施能够防止攻击者伪造知名域名，但近年来，攻击者转向利用旧域名或被遗弃的域名来规避基于域名年龄的安全检查。例如，攻击者使用一些已废弃近20年的顶级域名（TLDs），由于这些域名缺乏DNS记录（如SPF记录），更容易通过安全检查。自2022年12月以来，一些恶意邮件通过附件分发二维码，诱导用户使用支付应用扫描并跳转至钓鱼网站，这些邮件以税务相关内容作为诱饵，并通过密码保护附件，进一步提高欺骗性。这些钓鱼页面旨在窃取受害者的身份证明和支付信息。此外，攻击者还伪装成亚马逊、万事达卡等品牌，使用流量分发系统（TDS）将受害者引导至假冒登录页面以窃取凭证。另一类攻击则采用勒索手段，声称通过远程访问木马拍摄到受害者的隐私视频，要求支付比特币赎金。研究表明，通用顶级域名（如.top、.xyz、.shop）因其低廉的注册费用和缺乏严格的注册要求，成为了攻击者的首选工具。这些威胁突显了当前电子邮件与域名滥用的复杂性和多样性，提醒企业与用户提高警惕，加强域名管理及邮件安全防护。

消息来源：

https://thehackernews.com/2025/01/neglected-domains-used-in-malspam-to.html

Ivanti Connect Secure 漏洞被持续利用

近期，Ivanti Connect Secure、Policy Secure 和 ZTA Gateways 存在的严重漏洞被持续利用。CVE-2025-0282漏洞评分为 CVSS 9.0 ，是一个栈溢出漏洞，可能导致未经身份验证的远程代码执行。受影响的版本包括 Ivanti Connect Secure 22.7R2.5 之前的版本、Policy Secure 22.7R1.2 之前的版本以及 ZTA Gateways 22.7R2.3 之前的版本。Ivanti 已发布补丁修复此漏洞，与此同时美国 CISA 已将 CVE-2025-0282 列入已知被利用漏洞目录（KEV），要求联邦机构在 2025 年 1 月 15 日之前应用补丁，并敦促各组织扫描环境中的潜在威胁痕迹并报告任何异常活动或事件。

消息来源：

https://thehackernews.com/2025/01/ivanti-flaw-cve-2025-0282-actively.html

04.

热点漏洞

Dell NativeEdge权限提升漏洞（CVE-2024-47978）

Dell NativeEdge 是戴尔公司提供的一款用于管理和配置网络设备的软件。Dell NativeEdge存在安全漏洞。攻击者可利用该漏洞在本地以低权限访问系统，导致权限提升。

影响产品：

DELL NativeEdge 2.1.0.0

IBM Cognos Analytics跨站脚本漏洞（CVE-2024-25042）

IBM Cognos Analytics是美国国际商业机器（IBM）公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等，并可通过分析关键因素与关键人等内容，协助企业调整决策。IBM Cognos Analytics存在跨站脚本漏洞，该漏洞源于列标题验证不正确，远程攻击者可利用该漏洞执行恶意命令。

影响产品：

IBM Cognos Analytics >=12.0.0，<=12.0.3
IBM Cognos Analytics >=11.2.0，<=11.2.4 FP3

Fortinet FortiManager访问控制错误漏洞（CVE-2024-47575）

Fortinet FortiManager是美国飞塔（Fortinet）公司的一套集中化网络安全管理平台。该平台支持集中管理任意数量的Fortinet设备，并能够将设备分组到不同的管理域（ADOM）进一步简化多设备安全部署与管理。Fortinet FortiManager存在访问控制错误漏洞，该漏洞源于缺少关键功能的身份验证，攻击者可利用该漏洞通过特制的请求执行任意代码或命令。

影响版本：