烽火狼烟丨暗网数据及攻击威胁情报分析周报（07/14-07/18）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件426起，同比上周上升16.08%。本周内贩卖数据总量共计149144万条；累计涉及13个主要地区及11种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、贸易、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期攻击面继续扩大，钓鱼、仿冒与供应链攻击事件同步攀升需加强防范；本周内出现的安全漏洞以WeGIA SQL 注入漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源  IP 9795条，主要涉及命令注入、组件漏洞攻击等类型。

美国桥梁建设公司MCM Construction数据泄露事件

泄露时间：2025-07-14

泄露内容：黑客组织BlackLock攻击并泄露了美国桥梁建设公司MCM Construction的数据，泄露数据总量未知。MCM Construction Inc成立于1973年，是一家专门从事重型公路和桥梁建设的总承包商，总部位于加利福尼亚州北高地，项目有世纪高速公路项目、派拉蒙 I、中央大道、林伍德、航空、派拉蒙 II、阿瓦隆、海港立交桥等。

泄露数据量：未知

关联行业：建筑

地区：美国

美国工程咨询公司McParlane & Associates数据泄露事件

泄露时间：2025-07-15

泄露内容：黑客组织Eairos攻击并泄露了美国工程咨询公司McParlane & Associates的数据，泄露数据总量超1.65TB。McParlane & Associates， Inc. （MPA） 是一家提供全方位服务的机械、电气和管道（MEP）工程咨询公司，为建筑环境提供一种集成方法，项目有：半月湾消防局、圣地亚哥县运营中心会议中心、松树谷消防站、湖滨消防局、费尔班克斯牧场消防站等。

泄露数据量：超1.65TB

关联行业：服务

地区：美国

法国照明设备制造商SUNLUX数据泄露事件

泄露时间：2025-07-15

泄露内容：近期，黑客组织Apos攻击并泄露了法国照明设备制造商SUNLUX的数据，泄露数据总量未知。SUNLUX 是一家法国专业照明设备制造商，专注于高品质、节能环保的照明解决方案。公司产品涵盖LED灯具、智能照明系统、户外照明及工业照明设备，以创新技术和设计著称。公司致力于研发智能化和自动化照明技术，为客户提供高效、环保的照明方案，推动绿色能源应用。

泄露数据量：未知

关联行业：制造

地区：法国

美国建筑承包商Clayton Construction数据泄露事件

泄露时间：2025-07-16

泄露内容：近期，黑客组织Dragon Force攻击并泄露了美国建筑承包商Clayton Construction的数据，泄露数据总量超98GB。Clayton Construction Company 成立于 1981 年，是一家获得许可的无限总承包商，服务于工业、办公楼、医疗保健设施、学校、餐馆和零售店等，项目有：巴斯比街社区中心和哥伦比亚市警察分局、克莱姆森大学斯特罗姆瑟蒙德研究所访客中心、穆林斯市政厅等。

泄露数据量：超98GB

关联行业：制造

地区：美国

加拿大建筑承包商CF Construction数据泄露事件

泄露时间：2025-07-17

泄露内容：近期，黑客组织Inc Ransom攻击并泄露了加拿大建筑承包商CF Construction的数据，泄露数据总量未知。CF Construction是一家位于加拿大的建筑公司，通常从事住宅、商业及工业建筑项目的施工和管理。该公司提供建筑工程、项目规划、施工执行、翻新及维修等服务，致力于为客户提供高质量、按时完成的建筑解决方案。

泄露数据量：未知

关联行业：建筑

地区：加拿大

黑客组织持续使用 XORIndex 恶意软件攻击 npm 注册表

2025年6月至7月，黑客组织“传染性采访”（DeceptiveDevelopment）在npm注册表发布了67个恶意软件包，累计下载超17,000次。这些包部署了新型加载器XORIndex，用于窃取浏览器数据、加密货币钱包信息，并投放Python后门InvisibleFerret。该组织持续更新攻击手段，轮换HexEval等加载器，并伪造下载量以增强隐蔽性。同期，其他黑客也发布了10个恶意npm包，通过PowerShell窃取数据并植入挖矿程序。开源软件供应链面临投毒攻击，安全形势严峻。

消息来源：

https://thehackernews.com/2025/07/north-korean-hackers-flood-npm-registry.html

超大流量 DDoS 攻击达到创纪录的 7.3 Tbps，瞄准全球主要行业

据报道，安全厂商第二季度抵御了730万次DDoS攻击，较第一季度的2050万次大幅下降，但超大流量攻击激增，存在超6500次（日均71次）。其中一次攻击峰值达7.3 Tbps/48亿包/秒。攻击趋势转向“大规模洪水+精准探测”组合，L3/4攻击下降81%，HTTP DDoS上升9%，70%来自已知僵尸网络。赎金型DDoS增长68%，电信、IT、游戏业成主要目标，中国、巴西、德国等受攻击最多。DemonBot僵尸网络利用物联网漏洞发动UDP/TCP洪泛攻击，威胁持续升级。

消息来源：

https://thehackernews.com/2025/07/hyper-volumetric-ddos-attacks-reach.html

AsyncRAT 开源代码遭滥用引发恶意软件变种数量激增

自2019年开源发布以来，AsyncRAT远程访问木马已演变为网络犯罪的核心工具，衍生出DCRat、Venom RAT等多种变种。该恶意软件通过钓鱼攻击、捆绑加载器（如GuLoader）传播，具备窃取凭证、远程控制等功能。其模块化设计和开源特性大幅降低攻击门槛，催生了恶意软件即服务（MaaS）生态。变种如DCRat新增反检测技术，Venom RAT则更复杂，而NonEuclid RAT等小众变种甚至能劫持加密货币交易。开源恶意软件的泛滥加剧了威胁态势，迫使安全团队转向行为分析和C2监控等防御手段。

消息来源：

https://thehackernews.com/2025/07/asyncrats-open-source-code-sparks-surge.html

谷歌 AI“Big Sleep”在黑客采取行动之前阻止了对关键 SQLite 漏洞的利用

2025年7月，谷歌披露其AI代理Big Sleep在SQLite数据库引擎中发现并阻止了一个关键内存损坏漏洞（CVE-2025-6965）。该漏洞存在于3.50.2之前的所有版本，攻击者可通过SQL注入引发整数溢出，导致数据泄露风险。这是谷歌首次利用AI技术预先发现并阻止了即将被利用的漏洞。谷歌采用"纵深防御"策略，结合AI推理和传统安全控制，有效防范了该威胁。此次事件展示了AI在网络安全防御中的突破性应用。

消息来源：

https://thehackernews.com/2025/07/google-ai-big-sleep-stops-exploitation.html

思科警告 ISE 存在严重漏洞，允许未经身份验证的攻击者执行 Root 代码

2025年7月，思科披露其身份服务引擎(ISE)和ISE被动身份连接器(ISE-PIC)存在高危漏洞(CVE-2025-20337，CVSS 10.0)，攻击者可远程无需认证以root权限执行任意代码，该漏洞影响ISE 3.3/3.4版本，思科已发布补丁修复。同时，威胁组织正利用Fortinet FortiWeb的漏洞(CVE-2025-25257)投放WebShell，已感染77台设备，主要分布在北美(44台)。思科和Fortinet用户需立即更新系统防范攻击。

消息来源：

https://thehackernews.com/2025/07/cisco-warns-of-critical-ise-flaw.html

基于 PHP 的新型 Interlock RAT 变种利用 FileFix 投递机制攻击多个行业

网络安全研究人员发现，Interlock勒索软件组织近期利用新型PHP变种远程访问木马（RAT）发起攻击，通过FileFix技术（ClickFix的进化版）注入恶意脚本，诱骗用户执行PowerShell命令。该恶意软件具备系统侦察、数据窃取（JSON格式）、持久化（注册表修改）及横向移动（RDP）能力，并滥用Cloudflare Tunnel隐藏C2通信。攻击链始于网站JS脚本注入，重定向至虚假验证页，最终部署Node.js或PHP版Interlock RAT，影响多行业。其特点是结合动态IP过滤、多阶段载荷和备用硬编码IP确保攻击成功率。

消息来源：

https://thehackernews.com/2025/07/new-php-based-interlock-rat-variant.html

恶意软件 HazyBeacon 使用 AWS Lambda 窃取数据

网络安全研究人员发现Interlock勒索软件组织使用新型PHP变种远程访问木马（RAT）发起攻击。该恶意软件通过FileFix技术（ClickFix的升级版）传播，利用虚假验证页诱骗用户执行恶意PowerShell脚本。其具备系统信息窃取（JSON格式）、持久化（注册表修改）、横向移动（RDP）等功能，并滥用Cloudflare Tunnel隐藏C2通信以确保攻击持续性。攻击始于网站JS脚本注入，最终部署PHP或Node.js版Interlock RAT，影响多个行业。

消息来源：

https://thehackernews.com/2025/07/state-backed-hazybeacon-malware-uses.html

新型 Konfety 恶意软件变种通过操纵 APK 和动态代码来逃避检测

网络安全研究人员发现Android恶意软件Konfety出现新型复杂变种，该变种采用"邪恶双胞胎"技术进行广告欺诈。其攻击特征包括：1）使用格式错误的APK结构规避检测；2）动态加载加密的DEX有效载荷；3）篡改清单文件导致分析工具崩溃。该恶意软件通过第三方渠道分发与正版应用同名的恶意应用，利用CaramelAds SDK投放广告、安装恶意程序并隐藏图标，还能根据地理位置调整攻击行为，严重威胁用户隐私与设备安全。

消息来源：

https://thehackernews.com/2025/07/new-konfety-malware-variant-evades.html

黑客利用 Microsoft Teams 向目标公司传播 Matanbuchus 3.0 恶意软件

网络安全研究人员发现恶意软件加载器Matanbuchus升级至3.0版本，该恶意软件即服务（MaaS）产品具备高度隐蔽性和多功能性。新变种特征包括：1）改进的通信协议和内存隐身技术；2）支持CMD/PowerShell反向shell；3）能加载DLL、EXE和shellcode等多种有效载荷。攻击者通过钓鱼邮件、恶意广告或伪造IT支持（如Microsoft Teams电话）诱导用户执行PowerShell脚本进行传播。该恶意软件会收集系统信息、检测安全软件，并通过计划任务实现持久化，最终可能部署勒索软件等恶意载荷，对企业网络安全构成严重威胁。

消息来源：

https://thehackernews.com/2025/07/hackers-leverage-microsoft-teams-to.html

黑客利用 Apache HTTP 服务器漏洞部署 Linuxsys 加密货币挖矿程序

网络安全研究人员发现黑客组织正利用Apache HTTP Server漏洞(CVE-2021-41773)传播Linuxsys加密货币矿工。该攻击通过入侵合法网站作为跳板，从repositorylinux[.]org下载恶意脚本，进而从多个被黑网站获取矿工程序。攻击者采用多层隐蔽技术，包括使用合法SSL证书降低检测率，并通过cron.sh脚本实现持久化。该组织长期活跃，曾利用多个高危漏洞(如CVE-2024-36401等)进行攻击，主要针对高交互系统以规避蜜罐检测。与此同时，安全厂商披露了针对亚洲政府机构的GhostContainer后门攻击，该后门通过Exchange漏洞(CVE-2020-0688)植入，具有动态扩展功能，能完全控制服务器并隐藏恶意流量于正常Web请求中。

消息来源：

https://thehackernews.com/2025/07/hackers-exploit-apache-http-server-flaw.html

LaRecipe远程代码执行漏洞（CVE-2025-53833）

LaRecipe 是一款允许用户在 Laravel 应用中使用 Markdown 创建文档的应用程序。2.8.1 之前的版本存在服务器端模板注入 (SSTI) 漏洞，在易受攻击的配置下可能导致远程代码执行 (RCE)。攻击者可以在服务器上执行任意命令、访问敏感环境变量，以及根据服务器配置提升访问权限。强烈建议用户升级到 v2.8.1 或更高版本以获取补丁。

影响产品：

LaRecipe<2.8.1

文件浏览器的文件处理逻辑拒绝服务 (DoS) 漏洞（CVE-2025-53893)

文件浏览器在指定目录中提供文件管理界面，可用于上传、删除、预览、重命名和编辑文件。在 2.38.0 版本中，在端点 `Filebrowser-Server-IP:PORT/files/{file-name}` 上读取文件时，文件处理逻辑中存在拒绝服务 (DoS) 漏洞。虽然服务器正确处理并存储了上传的文件，但它会在读取操作期间尝试将所有内容加载到内存中，而不会进行大小检查或资源限制。这允许经过身份验证的用户上传大文件并在读取时触发不受控制的内存消耗，从而可能导致服务器崩溃并使其无响应。

影响版本：

文件浏览器 = 2.38.0

Emlog跨站脚本 (XSS) 漏洞（CVE-2025-53924）

Emlog是一个开源网站构建系统。在 pro-2.5.17 之前的版本中，emlog 存在一个跨站脚本 (XSS) 漏洞，允许经过身份验证的远程攻击者通过 siteurl 参数注入任意 Web 脚本或 HTML。攻击者可以将恶意代码注入 siteurl 参数，从而引发存储型 XSS。当用户点击链接时，恶意代码就会被执行。

受影响版本：

Emlog < pro-2.5.17

HT 插件 HT Contact Form 7 存在PHP 本地文件包含漏洞（CVE-2025-54015）

HT 插件 HT Contact Form 7 中存在 PHP 程序中 Include/Require 语句文件名控制不当（“PHP 远程文件包含”）漏洞，允许 PHP 本地文件包含。此问题影响 HT Contact Form 7 2.0.0 之前的版本。

影响版本：

HT Contact Form 7 < 2.0.0

WeGIA SQL 注入漏洞(CVE-2025-54058）

WeGIA 是一款开源 Web 管理器，专注于葡萄牙语和慈善机构。在 3.4.6 之前的版本中，`/html/funcionario/dependente_editarEndereco.php` 端点的 `idatendido_familiares` 参数中发现了一个 SQL 注入漏洞。此漏洞允许攻击者操纵 SQL 查询并访问敏感数据库信息，例如表名和敏感数据。

影响版本：

WeGIA < 3.4.6

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。