烽火狼烟丨暗网数据及攻击威胁情报分析周报（06/23-06/27）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件424起，同比上周下降25.87%。本周内贩卖数据总量共计39036.8万条；累计涉及12个主要地区及10种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、个人信息、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期，受区域冲突持续发酵影响，网络安全领域攻击事件呈现多发态势，对关键信息基础设施、经济社会运行及公众信息安全构成严重威胁，需加强防范；本周内出现的安全漏洞以Allure 2 XML 外部实体漏洞和服务器端请求伪造漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8979条，主要涉及命令注入、组件漏洞攻击等类型。

澳大利亚加油站Kel Campbell数据泄露事件

泄露时间：2025-06-23

泄露内容：近期，黑客组织World Leaks攻击并泄露了澳大利亚加油站Kel Campbell的数据，泄露数据总量超过696GB。Kel Campbell Pty Ltd 是 Caltex 在新南威尔士州南海岸的分销商、零售商和燃料运输承包商，覆盖 Illawarra 和 Shoalhaven 地区。我们的仓库和总部位于肯布拉港，Kel Campbell拥有广泛的车辆，可满足所有交付要求，从大型工业、运输和零售场所到小型农场交付。

泄露数据量：超696GB

关联行业：能源

地区：澳大利亚

加拿大矿业勘探公司Eastern Platinum Limited数据泄露事件

泄露时间：2025-06-24

泄露内容：近期，黑客组织World Leaks攻击并泄露了加拿大矿业勘探公司Eastern Platinum Limited的数据，泄露数据总量超过112GB。Eastern Platinum Limited是一家总部位于加拿大温哥华的矿业和勘探公司，专注于铂族金属（如铂、钯和镍）矿产开采和加工。该公司主要在南非和津巴布韦拥有和运营铂族金属矿山，公司在矿产资源开发、冶炼和销售方面具有一定的业务能力，是铂族金属领域的重要参与者之一。

泄露数据量：超112GB

关联行业：能源

地区：加拿大

美国列克星敦和里奇兰县第五学区Lexington & Richland County School District Five数据泄露事件

泄露时间：2025-06-24

泄露内容：近期，黑客组织Interlock攻击并泄露了美国列克星敦和里奇兰县第五学区Lexington & Richland County School District Five的数据，泄露数据总量超过1300GB。美国列克星敦和里奇兰县第五学区（Lexington & Richland County School District Five）位于南卡罗来纳州，涵盖两县部分区域，以优质教育著称。其教育特色包括STEM项目、大学先修课程（AP）和职业与技术教育（CTE），并多次获州和国家奖项。学区注重个性化学习与技术创新，师生比例合理，社区支持度高，毕业生升学率和就业率表现优异，是南卡州领先的公立学区之一。

泄露数据量：超1300GB

关联行业：教育

地区：美国

美国能源服务提供商Valiant Energy Solutions数据泄露事件

泄露时间：2025-06-25

泄露内容：近期，黑客组织World Leaks攻击并泄露了能源服务提供商Valiant Energy Solutions的数据，泄露数据总量超过437GB。Valiant Energy Solutions是一家总部位于美国康涅狄格州的综合能源服务公司，该公司专注于为住宅和商业客户提供节能解决方案与能源供应服务。其业务涵盖暖通空调（HVAC）系统、隔热、管道与电力服务、太阳能系统安装、EV电动车充电桩、发电机安装及维护，以及燃油（如燃油、柴油、丙烷）配送等。

泄露数据量：超437GB

关联行业：能源

地区：美国

美国牛津镇公园和娱乐部Oxford Township Parks and Recreation Department数据泄露事件

泄露时间：2025-06-26

泄露内容：近期，黑客组织Inc Ransom攻击并泄露了美国牛津镇公园和娱乐部Oxford Township Parks and Recreation Department的数据，泄露数据总量超过90GB。Oxford Township Parks and Recreation Department 是位于美国密歇根州牛津镇的政府部门，专责规划和管理本地区的公共休闲资源与活动。该部门致力于提升居民生活质量，提供丰富多样的户外与室内活动项目，包括儿童夏令营、青少年运动联盟、成人健身课程、老年人项目等。

泄露数据量：超90GB

关联行业：政府

地区：美国

Echo Chamber 越狱诱骗 OpenAI 和 Google 生成有害内容

网络安全研究团队发现了一种针对大型语言模型（LLM）的新型越狱攻击“回音室”（Echo Chamber）。该方法通过间接引用和多步推理，逐步诱导模型（如OpenAI和谷歌的LLM）生成暴力、仇恨言论等违规内容，成功率超90%。攻击者无需专业知识，仅需植入看似无害的提示形成反馈循环，即可瓦解模型的安全防护。同期，安全人员还演示了针对Atlassian系统的“Living off AI”攻击，利用恶意工单触发提示注入，间接操控支持工程师执行特权操作。这些攻击暴露了LLM在推理能力和多轮交互中的安全盲区。

消息来源：

https://thehackernews.com/2025/06/echo-chamber-jailbreak-tricks-llms-like.html

研究人员找到利用XMRogue 阻止加密货币挖矿活动的方法

2025年6月，网络研究团队针对加密货币挖矿僵尸网络发起反制攻击。研究人员利用Stratum协议漏洞，开发出"份额攻击"和"洪水攻击"两种创新技术：前者通过XMRogue工具向矿池提交无效数据，后者则发送大量登录请求触发矿池安全机制。这些攻击成功瘫痪了多个挖矿僵尸网络的运营，其中某个主要僵尸网络的年收益从5万美元暴跌至1.2万美元。攻击导致网络犯罪分子不得不投入大量资源重建基础设施，部分甚至被迫完全放弃挖矿活动。值得注意的是，这些反制措施专门针对非法挖矿，对合法矿工影响甚微，展现了精准打击网络犯罪的新范式。

消息来源：

https://thehackernews.com/2025/06/researchers-find-way-to-shut-down.html

nOAuth 漏洞被发现两年后仍影响 9% 的 Microsoft Entra SaaS 应用

2023年6月，微软Entra ID存在名为nOAuth的安全漏洞，攻击者可篡改未经验证的邮箱属性，利用SaaS应用的“Microsoft登录”功能劫持用户账户。2024年12月，研究人员研究发现，9/104个SaaS应用仍受此漏洞影响，攻击者能跨租户冒充受害者，导致账户接管、数据泄露及横向移动风险。微软重申开发者需遵循OpenID Connect规范，但漏洞缓解依赖应用方修复。同期，研究发现Kubernetes配置错误也可能泄露AWS凭据，加剧云环境风险。

消息来源：

https://thehackernews.com/2025/06/noauth-vulnerability-still-affects-9-of.html

2024年沙特奥运会个人记录遭黑客组织泄露

2025年6月22日，黑客组织Cyber Fattah入侵沙特运动会官网，窃取并泄露了运动员、观众及政府人员的敏感数据（如护照、医疗记录等），意图通过信息战扩大反沙特、反美宣传。同期，黑客组织“掠食麻雀”也攻击伊朗机构，包括盗取加密货币、劫持电视台，加剧两国网络冲突。事件凸显中东网络战升级，黑客组织形成“联盟”扩大影响力，技术手段与意识形态动机交织。

消息来源：

https://thehackernews.com/2025/06/pro-iranian-hacktivist-group-leaks.html

网络犯罪分子利用开源工具攻击非洲各地金融机构

自2023年7月起，非洲多家金融机构遭网络攻击，攻击者（代号CL-CRI-1014）利用开源工具（如PoshC2、Chisel）伪装合法软件入侵系统，窃取凭证并试图通过地下论坛转卖访问权限。安全团队研究发现，攻击链通过MeshCentral Agent、Classroom Spy等工具横向移动，并伪造微软、VMware等企业签名规避检测。类似攻击早在2022年已出现（如"DangerousSavanna"活动），目标多为非洲金融业。同期，新勒索组织Dire Wolf也在全球多国（含金融业）发动攻击，进一步加剧威胁。

消息来源：

https://thehackernews.com/2025/06/cyber-criminals-exploit-open-source.html

XDigo 恶意软件利用 Windows LNK 漏洞对东欧政府发动攻击

网络安全研究人员发现新型基于Go语言的恶意软件XDigo，该恶意软件通过精心构造的Windows快捷方式（LNK文件）漏洞（ZDI-CAN-25373）实施多阶段攻击，利用微软未遵循自身MS-SHLLINK规范的缺陷隐藏恶意命令。攻击链通过ZIP压缩包分发，内含诱饵PDF和侧载的恶意DLL，最终部署具有间谍功能的XDigo窃取文件、剪贴板内容和屏幕截图，并支持远程命令执行。此次攻击主要针对东欧政府机构和俄罗斯企业，延续了XDSpy组织自2011年以来的网络间谍活动模式。

消息来源：

https://thehackernews.com/2025/06/xdigo-malware-exploits-windows-lnk-flaw.html

APT28 利用 Signal Chat 在乌克兰部署 BEARDSHELL 恶意软件和 COVENANT

乌克兰CERT-UA近期发现黑客组织APT28组织通过Signal发送携带恶意宏的Word文档（Акт.doc），释放新型恶意软件BEARDSHELL（C++编写）和COVENANT框架。该攻击利用Roundcube等邮件系统的XSS漏洞（CVE-2020-35730等）窃取数据，并通过Icedrive云服务外泄信息。恶意软件可实现远程控制、窃取敏感数据并劫持邮箱，已影响40多个乌克兰政府机构。攻击特征包括：利用社交工程传播、多阶段载荷投放、内存驻留技术。

消息来源：

https://thehackernews.com/2025/06/apt28-uses-signal-chat-to-deploy.html

黑客利用错误配置的 Docker API 通过 Tor 网络挖掘加密货币

网络安全公司发现攻击者利用配置错误的Docker API发起新型加密劫持攻击，通过Tor网络隐藏行踪。攻击者创建恶意容器并挂载主机根目录，部署Base64编码脚本，从.onion域名下载远程恶意载荷，最终植入XMRig矿工。攻击手法包括SSH后门配置、安装扫描工具（masscan等）及通过Tor代理（socks5h）隐匿C2通信，主要针对科技、金融和医疗行业的云环境。该活动凸显了配置不当的云服务面临的安全风险。

消息来源：

https://thehackernews.com/2025/06/hackers-exploit-misconfigured-docker.html

远程访问攻击中利用 SonicWall NetExtender 木马和 ConnectWise 漏洞

网络安全研究人员发现一种新型恶意软件攻击，攻击者分发篡改的SonicWall SSL VPN NetExtender木马版本，窃取用户VPN凭据。该恶意软件伪装成官方版本（10.3.2.27），通过虚假网站传播，并篡改核心组件（如NeService.exe）以绕过证书验证，将用户名、密码等数据泄露至攻击者服务器。此外，攻击者滥用ConnectWise的Authenticode签名技术（如EvilConwi恶意软件），在网络钓鱼邮件或虚假AI工具中植入恶意代码，伪装合法进程实现持久远程访问。这些攻击严重威胁企业数据安全，需警惕供应链污染及签名滥用风险。

消息来源：

https://thehackernews.com/2025/06/sonicwall-netextender-trojan-and.html

黑客组织APT35利用人工智能钓鱼攻击以色列科技专家

网络安全研究人员发现伊朗黑客组织"Educated Manticore"正在使用新型AI增强钓鱼攻击手段针对以色列目标。该攻击通过WhatsApp和电子邮件冒充高管助理，诱导受害者访问高度仿真的Google登录页面，利用React技术和WebSocket连接实时窃取账户凭据及2FA验证码。攻击包还包含键盘记录功能，能捕获用户所有输入内容。该组织利用两以冲突背景精心设计话术，并快速更换攻击基础设施。此类攻击已导致多名以色列记者和网络安全专家的敏感账户被盗，严重威胁个人隐私和国家安全。

消息来源：

https://thehackernews.com/2025/06/iranian-apt35-hackers-targeting-israeli.html

WordPress 的 Homerunner 插件跨站请求伪造漏洞（CVE-2025-5932）

WordPress 的 Homerunner 插件在 1.0.29 及之前的所有版本中都存在跨站请求伪造漏洞。这是由于 main_settings() 函数中缺少或不正确的随机数验证造成的。这使得未经身份验证的攻击者能够通过伪造的请求更新插件设置，前提是他们可以诱骗网站管理员执行某些操作，例如点击链接。

影响产品：

WordPress <= 1.0.29

Octo-STS容易受到未经身份验证的 SSRF 攻击（CVE-2025-52477)

Octo-STS 是一款 GitHub 应用，其作用类似于 GitHub API 的安全令牌服务 (STS)。Octo-STS v0.5.3 之前的版本容易受到未经身份验证的 SSRF 攻击，攻击者可以利用 OpenID Connect 令牌中的字段进行攻击。恶意令牌已被证实会触发内部网络请求，从而可能返回包含敏感信息的错误日志。请升级到 v0.5.3 以解决此问题，新版本包含用于净化输入和编辑日志的补丁集。

影响版本：

Octo-STS < v0.5.3

Kanboard用户名枚举和基于 IP 地址欺骗的暴力破解保护绕过漏洞(CVE-2025-52576）

Kanboard 是一款专注于看板方法的项目管理软件。在 1.2.46 版本之前，Kanboard 存在用户名枚举和基于 IP 地址欺骗的暴力破解保护绕过漏洞。通过分析登录行为并滥用受信任的 HTTP 标头，攻击者可以确定有效的用户名并绕过速率限制或阻止机制。任何运行可公开访问的 Kanboard 实例的组织都会受到影响。有权访问登录页面的攻击者可以利用此漏洞枚举有效用户名并绕过基于 IP 地址的访问机制，从而使所有用户帐户面临更高的暴力破解或凭证填充攻击风险。

受影响版本：

Kanboard < 1.2.46

Komga跨站脚本攻击漏洞（CVE-2025-52880）

Komga 是一个用于漫画、漫画书、蓝光光盘、杂志和电子书的媒体服务器。在 1.8.0 至 1.21.3 版本中，当提供 EPUB 资源（无论是直接从 API 提供还是使用 epub 阅读器阅读）时，都发现了跨站脚本 (XSS) 漏洞。该漏洞允许攻击者以受害者的名义执行操作。当以管理员用户为目标时，可以结合控制服务器端命令来实现任意代码执行。要利用此漏洞，恶意 EPUB 文件必须存在于 Komga 库中，并且随后由管理员用户在 epub 阅读器中访问该文件。1.22.0 版本包含针对此问题的补丁。

影响版本：

1.8.0 < Komga < 1.21.3

Allure 2 XML 外部实体漏洞和服务器端请求伪造漏洞（CVE-2025-52888）

Allure 2 是多语言测试报告工具 Allure Report 的 2.x 版本分支。Allure 2 2.34.1之前的版本使用的 xunit-xml-plugin 插件存在一个严重的 XML 外部实体 (XXE) 漏洞。该插件未能安全地配置 XML 解析器（“DocumentBuilderFactory“），并在处理测试结果 .xml 文件时允许外部实体扩展。这允许攻击者从文件系统读取任意文件，并可能触发服务器端请求伪造 (SSRF)。

影响版本：

Allure 2 < 2.34.1

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。