烽火狼烟丨暗网数据及攻击威胁情报分析周报（01/13-01/17）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件227起，同比上周上升24.73%。本周内贩卖数据总量共计32537.7万条；累计涉及12个主要地区，主要涉及10种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及服务、金融、贸易等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期，黑客组织活动频繁，多家单位已成为攻击目标，需提高警惕；本周内出现的安全漏洞以Rsync堆缓冲区溢出漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 9078条，主要涉及命令注入、组件漏洞攻击等类型。

01.

重点数据泄露事件

Montreal North数据泄露

泄露时间：2025-01-16

泄露内容：黑客组织Rhyside攻击并泄露了加拿大蒙特利尔市Montreal North的数据，涉及数据总量超过728GB。Montreal North位于加拿大魁北克省西南部圣劳伦斯河中的蒙特利尔岛及周边小岛上，是加拿大魁北克省的经济中心和主要港口，蒙特利尔是加拿大最重要的经济中心之一，也是该省面积最大的城市。

泄露数据量：728GB

关联行业：工业

地区：加拿大

Engineered Tower Solutions数据泄露事件

泄露时间：2025-01-13

泄露内容：近期，黑客组织 Dragon Force攻击并泄露了美国电信工程公司Engineered Tower Solutions的数据，涉及数据总量超过269GB。Engineered Tower Solutions是一家提供全方位服务的工程公司，专注于为商业、公用事业和公共安全市场的铁塔运营商和业主提供电信需求服务。其服务包括结构工程、土木工程、建筑工程、岩土工程、电机工程、建筑材料测试等。

泄露数据量：269GB

关联行业：制造业

地区：美国

D&G Enviro-Group数据泄露事件

泄露时间：2025-01-15

泄露内容：黑客组织Black Lock攻击并泄露了加拿大环境测试公司D&G Enviro-Group的数据。D&G Enviro-Group一直专注于环境风险管理领域，提供包括污染场地的评估、研究、表征和修复在内的专业服务，同时还为采矿、机构部门、联邦、省和市政府、运输等行业提供相关增值服务。

泄露数据量：未知

关联行业：服务

地区：加拿大

Jamaica Bearings数据泄露事件

泄露时间：2025-01-13

泄露内容：黑客组织Akira攻击并泄露了美国国防承包商Jamaica Bearings的数据，涉及数据总量超过21GB。Jamaica Bearings总部位于美国，是全球航空和防御工业的领先供应商。公司提供高度工程化的长期供应产品，包括螺齿、密封和其他类型的产品，服务于航空航天、政府、FMS和导出、工业、轨道交通、运动和流量控制、医疗和牙科、设备等行业。

泄露数据量：21GB

关联行业：制造业

地区：美国

Hunter Dickinson Inc数据泄露事件

泄露时间：2025-01-14

泄露内容：黑客组织Bian Lian攻击并泄露了加拿大采矿公司Hunter Dickinson Inc的数据，涉及数据总量超过9.5TB。Hunter Dickinson Inc 成立于1985年，是一家多元化的全球性矿业集团，专注于挖掘或收购大量的矿产资源，包括金、铜、钼、银、铂、锌、铅、钨和钻石。

泄露数据量：9.5TB

关联行业：能源

地区：加拿大

02.

热点资讯

Google Ads用户成为恶意广告诈骗的目标

近期，有一种新的恶意广告活动针对通过Google Ads投放广告的个人和企业，试图通过 Google 上的欺诈广告网络钓鱼获取企业的凭据。该计划包括通过冒充 Google Ads 并将受害者重定向到虚假登录页面来窃取尽可能多的广告商账户，据悉，活动的最终目标是使用被盗的凭据以实现进一步的攻击，同时将它们出售给暗网论坛上的其他犯罪分子。此次活动攻击目标是在 Google搜索引擎上搜索 Google Ads 的用户，广告会将用户重定向到 Google 协作平台上托管的欺诈网站，旨在通过WebSocket捕获他们的凭据和双因素身份验证（2FA）信息，并发送到攻击者控制下的远程服务器。

消息来源：

https://thehackernews.com/2025/01/google-ads-users-targeted-in.html

美国通过制裁打击朝鲜 IT活动

美国财政部（U.S. Treasury Department）宣布对一些与朝鲜相关的个人及公司网络实施制裁。这些公司通过远程IT活动为朝鲜创收，用于资助该国的非法武器计划，并支持俄罗斯在乌克兰的战争活动。财政部代理副部长布拉德利·史密斯（Bradley T. Smith）表示：“朝鲜依靠数千名海外IT工人为其政权创造收入，美国将继续打击这些为其破坏稳定活动提供便利的网络。”此次制裁的对象包括朝鲜公司韩国五松航运公司（Osong）和春树贸易公司（Chonsurim），以及它们的总裁钟仁哲（Jong In Chol）和孙庆植（Son Kyong Sik）。

消息来源：

https://www.bleepingcomputer.com/news/security/us-cracks-down-on-north-korean-it-worker-army-with-more-sanctions/

谷歌OAuth登录漏洞：域名所有权变更导致敏感数据泄露

近期，一项新的研究表明Google身份验证流程中存在安全问题。在“使用 Google 登录”登录Slack等应用程序时，Google会向该服务发送一组关于用户的声明，包括他们的电子邮件地址和托管域，使用这些声明即可将用户登录到他们的账户。谷歌发言人表示，公司建议客户遵循安全最佳实践，并在关闭账户时清除所有用户数据，以确保数据无法访问。下游软件提供商还可以通过使用其应用程序中的sub字段作为用户的唯一标识以避免这一漏洞。

消息来源：

https://thehackernews.com/2025/01/google-oauth-vulnerability-exposes.html

Fortinet设备配置文件和VPN密码泄露

一个名为Belsen的威胁参与者发布了超过15,000个设备的配置文件和VPN密码，对配置文件的分析显示，数据集中的所有 FortiOS 版本都低于 2022 年 10 月发布的 7.2.2 版。数据泄露中包含的大多数设备位于墨西哥（1,603）、美国（679）和德国（208）。许多暴露的 IP 地址属于主要提供商，例如德国电信、沃达丰和其他主要互联网服务提供商。

消息来源：

https://securityaffairs.com/173111/cyber-crime/fortinet-fortigate-devices-data-leak.html

朝鲜黑客组织发起“99行动”攻击Web3和加密货币开发者

与朝鲜有关的黑客组织发起了一项名为“Operation 99”的新网络攻击活动，专门针对希望寻找自由职业者和加密货币相关工作的开发人员。此次攻击通过伪装成合法的工作机会向受害者分发恶意软件，意图入侵目标系统并窃取敏感信息。Operation 99的独特之处在于，它通过编码项目吸引开发人员，作为精心设计的招聘计划的一部分，该计划涉及制作欺骗性的LinkedIn个人资料，然后使用这些个人资料将他们引导至恶意GitLab存储库。攻击的最终目标是部署数据窃取程序，这些程序能够从开发环境中提取源代码、秘密、加密货币钱包密钥和其他敏感数据。

消息来源：

https://thehackernews.com/2025/01/lazarus-group-targets-web3-developers.html

03.

热点技术

基于Python的后门程序助力勒索软件传播

近日，研究人员披露了一起通过Python后门程序进行的勒索软件攻击。攻击者首先通过SocGholish恶意软件入侵目标，该恶意软件伪装成浏览器更新，诱使用户下载，随后与控制服务器建立联系，获取二次有效载荷。约20分钟后，攻击者投放Python后门程序，该程序作为反向代理，通过SOCKS5协议在网络中建立隧道，使攻击者能够利用受害者系统进行横向移动。该后门程序自2023年12月以来持续更新，采用了更先进的混淆技术以规避检测。攻击者通过RDP会话将后门程序传播到同一网络中的其他设备。除了Python后门，攻击者还利用EDRSilencer和LaZagne等工具禁用端点防护、窃取凭证，并使用Sirefef和Mediyes等手段维持隐蔽访问。此外，Codefinger攻击者利用AWS的服务器端加密（SSE-C）加密受害者数据，并通过施加时间压力迫使受害者支付赎金。

消息来源：

https://thehackernews.com/2025/01/python-based-malware-powers-ransomhub.html

WordPress网站遭遇恶意软件攻击，5,000多个站点受影响

近期，一场新的恶意软件攻击波及超过5,000个WordPress网站，攻击者通过创建管理员账户、安装恶意插件并窃取敏感数据。安全人员发现攻击使用wp3.xyz域名来获取数据，但尚未确定初始感染源。攻击者通过加载来自该域名的恶意脚本，创建名为wpx_admin的恶意管理员账户，凭证包含在代码中。随后，恶意插件plugin.php被下载并安装到受感染网站并启动。该插件的目的是收集管理员凭证和日志等敏感数据，并通过伪装成图像请求的方式将数据发送给攻击者的服务器。攻击还包括多个验证步骤，如在创建恶意管理员账户后记录操作状态并进行恶意插件的安装。安全人员建议网站管理员使用防火墙和安全工具封锁wp3.xyz域名，检查其他特权账户及已安装的插件，识别并删除未授权的活动。此外，还可以通过生成唯一令牌、服务器端验证和定期更新令牌来加强WordPress站点的CSRF保护，同时启用多因素认证，为已泄露凭证的账户增加额外的保护层。

消息来源：

https://www.bleepingcomputer.com/news/security/wp3xyz-malware-attacks-add-rogue-admins-to-5-000-plus-wordpress-sites/

FastHTTP库助力高效暴力破解攻击，微软365账户面临风险

近期，威胁行为者利用FastHTTP Go库发起了针对全球Microsoft 365账户的高效暴力破解攻击，攻击始于2025年1月6日，目标是Azure Active Directory Graph API。研究发现该攻击活动的成功率约为10%，即每10次攻击中就有1次成功入侵账户。FastHTTP是一个高性能的HTTP服务器与客户端库，能够在高并发连接下有效处理HTTP请求，在此次攻击中，攻击者利用它自动化进行未授权登录尝试，或者通过反复发送多因素认证（MFA）实施MFA疲劳攻击。研究发现，65%的恶意流量来自巴西，紧随其后的是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。微软365账户被攻陷可能导致机密数据泄露、知识产权盗窃、服务中断等严重后果。管理员可以通过登录Azure门户，导航至Microsoft Entra ID → 用户 → 登录日志，并应用“其他客户端”筛选器来手动检查用户代理。如果发现恶意活动，建议立即过期用户会话、重置所有账户凭证、审查MFA设备并移除未经授权的设备。

消息来源：

https://www.bleepingcomputer.com/news/security/hackers-use-fasthttp-in-new-high-speed-microsoft-365-password-attacks/

Fortinet FortiOS 和 FortiProxy 零日漏洞被利用

近期，攻击者正在利用FortiOS和FortiProxy中的认证机制绕过漏洞（CVE-2024-55591），远程接管Fortinet防火墙并入侵企业网络。该漏洞影响FortiOS 7.0.0至7.0.16版本、FortiProxy 7.0.0至7.0.19版本及7.2.0至7.2.12版本。成功利用漏洞后，攻击者可以通过恶意请求访问Node.js WebSocket模块，获取超级管理员权限。攻击者利用该漏洞生成随机的管理员或本地用户账户，并将其加入现有的SSL VPN用户组或新创建的用户组中。此外，他们还更改防火墙策略及其他设置，并通过之前创建的恶意账户登录SSL VPN，从而建立与内部网络的隧道。安全公司报告称，FortiGate防火墙的管理接口暴露在互联网上的设备自11月中旬以来遭到攻击，攻击包括未经授权的管理员登录、账户创建、SSL VPN认证及配置更改。Fortinet建议管理员禁用HTTP/HTTPS管理接口或通过本地策略限制IP地址访问管理接口。

消息来源：

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-auth-bypass-zero-day-exploited-to-hijack-firewalls/

俄罗斯针对哈萨克斯坦进行网络间谍活动

俄罗斯背景的黑客组织UAC-0063（与APT28有一定关联）正对哈萨克斯坦进行持续的网络间谍活动，旨在收集经济和政治情报。UAC-0063自2023年起已对多个政府机构进行攻击，使用的恶意软件包括HATVIBE、CHERRYSPY和STILLARCH等。这些攻击主要针对政府部门、外交机构、非政府组织、学术界以及能源和国防行业，重点关注哈萨克斯坦、亚洲和东欧地区。此次攻击活动通过鱼叉式网络钓鱼手段展开，攻击者利用哈萨克斯坦外交部的合法Microsoft Office文档作为诱饵，感染目标计算机。这些文档内含恶意宏，触发后启动一个名为“双重打击”的多阶段感染链，最终植入HATVIBE恶意软件。该恶意软件会通过隐藏的Word进程生成一个空白文档，并执行恶意HTA文件，进一步下载并执行CHERRYSPY Python后门。HATVIBE恶意软件使用了一些绕过安全防护的技巧，例如将真正的恶意宏代码存储在XML文件中，创建计划任务时不触发常规监控工具。通过这一系列手段，攻击者成功避开了传统的安全检测。此类攻击手法与APT28相关的Zebrocy活动有很大相似性，因此可以推测这次攻击来自俄罗斯情报机构，目标是获取哈萨克斯坦外交关系等战略情报。

消息来源：

https://thehackernews.com/2025/01/russian-linked-hackers-target.html

04.

热点漏洞

Windows 远程桌面网关（RD 网关）拒绝服务漏洞（CVE-2025-21225）

近日，微软披露了其 Windows 远程桌面网关 (RD 网关) 中的一个严重漏洞，该漏洞可能允许攻击者利用竞争条件，从而导致拒绝服务 (DoS) 攻击。该漏洞被编号为 CVE-2025-21225，已在微软2025 年 1 月的补丁更新中得到解决。当系统的行为取决于并发操作中事件的时间或顺序时，就会出现竞争条件漏洞，攻击者会利用这种不同步的情况。

受影响版本：

Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows Server 2025

Rsync堆缓冲区溢出漏洞（CVE-2024-12084）

在 Rsync守护进程中发现一个基于堆的缓冲区溢出漏洞，此问题是由于代码中对攻击者控制的校验和长度 (s2length) 处理不当造成的。当 MAX_DIGEST_LEN 超过固定的 SUM_LENGTH（16 字节）时，攻击者可以在 sum2 缓冲区中写入越界内容。

影响产品：

Rsync 3.2.7
Rsync 3.3.0

Windows Hyper-V NT 内核集成虚拟化服务提供器权限提升漏洞

Hyper-V，代号Viridian，旧称Windows Server Virtualization，是Microsoft的本地虚拟机管理程序，它可以在运行x86-64位的Windows上创建虚拟机。其中存在权限提升漏洞，攻击者可以利用该漏洞在目标系统获取更高的权限。

影响版本：

Windows Server 2025
Windows Server 2025
Windows Server 2022 23H2 Edition
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems

SimpleHelp路径遍历漏洞（CVE-2024-57727）

CVE-2024-57727是一个未经身份验证的路径遍历漏洞，未经身份验证的远程攻击者可以利用这些漏洞通过精心设计的 HTTP 请求从 SimpleHelp 主机下载任意文件。这些文件包括包含各种机密和哈希用户密码的服务器配置文件。

影响产品：

SimpleHelp v5.5.7

Aviatrix命令注入漏洞（CVE-2024-50603）

由于对 OS 命令中使用的特殊元素的验证不当，未经身份验证的攻击者能够执行任意代码。Shell 可以发送到 list_flightpath_destination_instances 的 cloud_type 中的 /v1/api，或 flightpath_connection_test 的 src_cloud_type 中的 /v1/api中。

受影响版本：