烽火狼烟丨暗网数据及攻击威胁情报分析周报（08/25-08/29）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件556起，同比上周上升51.5%。本周内贩卖数据总量共计126684.6万条；累计涉及13个主要地区及10种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、贸易、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期攻击活动和漏洞披露数量上升，需立即加强防护措施，部署必要的安全防护设备；本周内出现的安全漏洞以NodeBB论坛软件SQL注入漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP8265条，主要涉及命令注入、组件漏洞攻击等类型。

美国DaVita肾透析公司数据泄露事件

泄露时间：2025-08-25

泄露内容：近期，Interlock 勒索软件团伙攻击其网络，窃取透析实验室数据。泄露信息包括姓名、地址、出生日期、社会安全号码、健康保险相关信息、DaVita 内部识别信息、部分临床信息（健康状况、其他治疗信息、部分透析实验室检测结果）。

泄露数据量：1510GB

关联行业：医疗

地区：美国

美国农民保险公司（Farmers Insurance）数据泄露事件

泄露时间：2025-08-26

泄露内容：客户的姓名、地址、出生日期、驾照号码和社会安全号码的后四位遭到泄露。此次数据泄露是在波及广泛的Salesforce攻击中被盗取的。威胁行为者通过语音钓鱼诱骗员工将恶意的OAuth应用程序与公司的Salesforce实例关联，从而下载并窃取数据库。

泄露数据量： 1,111,386

关联行业：保险

地区：美国

美国软件开发商MathWorks 数据泄露事件

泄露时间：2025-08-27

泄露内容：近期，MathWorks遭遇勒索软件攻击，导致其部分服务中断近一周，影响数百万客户访问。攻击者可能访问了用户的个人详细信息，包括姓名、地址、出生日期、社会安全号码（或其他国家身份证号码）。报告指出，超过10,000名个人信息被暴露。

泄露数据量：10,000

关联行业：IT

地区：美国

日产汽车子公司 Creative Box Inc. 数据泄露事件

泄露时间：2025-08-27

泄露内容：近期，Qilin 勒索软件团伙声称从日产汽车子公司 Creative Box Inc.（CBI）窃取 4TB 数据，包括 3D 车辆设计模型、内部报告、财务文件、VR 设计工作流程及照片。日产汽车已证实数据泄露，CBI 是日产全资拥有的东京设计工作室，专注于实验性和概念车型设计。

泄露数据量： 4TB

关联行业：制造

地区：日本

美国医疗保健服务集团数据泄露事件

泄露时间：2025-08-28

泄露内容：近期，医疗保健服务集团发生数据泄露事件。黑客侵入公司系统，窃取含个人数据的文件。泄露数据包括姓名、社会安全号码、驾照号码、州身份证号码、金融账户信息及完整访问凭证。该集团为养老院、辅助生活中心和医院等医疗机构提供家政、洗衣、餐饮及营养服务，成立于1976年，总部位于宾夕法尼亚州本萨勒姆，为全美数千家护理和医疗机构服务。

泄露数据量： 624,496

关联行业：医疗

地区：美国

内华达州因网络攻击关闭州政府办公室

美国内华达州遭遇一起网络安全事件，攻击始于2025年8月25日凌晨，州长技术办公室称太平洋时间1点52分左右出现 “网络问题”，波及政府网站、电话系统及在线平台，攻击发生后团队立即开展24小时恢复工作，州长技术办公室曾警告恢复期间相关服务可能变慢或无法使用，州长隆巴多宣布关闭所有州政府办公室，后续州长办公室证实该事件并表示正积极调查、将验证系统后再恢复正常运行，目前911及紧急服务未受影响。

消息来源：

https://www.bleepingcomputer.com/news/security/nevada-closes-state-offices-as-cyberattack-disrupts-it-systems/

瑞典IT系统供应商遭网络攻击影响200个市政区域

瑞典约80%的市政系统IT供应商Miljödata遭网络攻击，致200多个地区系统访问受阻，还可能泄露敏感数据，攻击者索要1.5枚比特币（约 16.8 万美元）赎金；该公司提供工作环境与人力资源管理系统，瑞典多数市政用其处理医疗证明等事务，8月25日CEO证实影响范围，正联合外部专家调查恢复，多地公告提醒市民敏感数据或泄露，瑞典民防部长称警方已介入。

消息来源：

https://www.bleepingcomputer.com/news/security/it-system-supplier-cyberattack-impacts-200-municipalities-in-sweden/

销售自动化平台Salesloft遭黑客入侵窃取数据

销售自动化平台Salesloft披露了一起数据泄露事件，其与Salesforce集成的Drift聊天代理遭到黑客入侵。黑客通过技术手段获取了用于 Salesforce 集成的Drift OAuth和刷新令牌，并利用这些令牌进行了Salesforce数据盗窃活动。此次被盗的数据主要是客户的凭证，如 AWS 访问密钥、密码和 Snowflake相关的访问令牌等敏感信息，而非客户核心业务信息，Salesloft 未使用Drift-Salesforce集成的客户不受影响。

消息来源：

https://www.bleepingcomputer.com/news/security/salesloft-breached-to-steal-oauth-tokens-for-salesforce-data-theft-attacks/

美国工业及科技公司遭黑客投递恶意软件

纽约州商业委员会（BCNYS）披露了一起数据泄露事件，影响了超4.7万人。攻击者入侵了BCNYS的系统，窃取了包含个人、财务和医疗信息的文件。BCNYS在8月发现入侵并启动调查，目前没有发现财务或医疗欺诈及身份盗窃的证据。BCNYS将为受影响的个人提供免费安全监控，并敦促他们监控账户和报告中的可疑活动。

消息来源：

https://therecord.media/hackers-fake-ndas-malware

新型威胁组织ShadowSilk入侵中亚及亚太政府机构

网络安全公司披露，新型威胁组织ShadowSilk在中亚及亚太地区针对政府机构发起攻击，已渗透超30个目标，主要动机为数据窃取，其工具集和基础设施与YoroTrooper等已知黑客团体存在重叠。该组织通过鱼叉式钓鱼邮件投递带密码的压缩文件，释放加载器将C2流量隐藏在Telegram机器人通信中，还利用多种漏洞、工具进行渗透与数据窃取，受害者分布于乌兹别克斯坦等多国，涵盖政府及多行业，近期仍活跃。

消息来源：

https://thehackernews.com/2025/08/shadowsilk-hits-36-government-targets.html

Salesloft泄露影响Workspace账户：OAuth令牌为关键攻击

谷歌8月28日报告，Salesloft旗下 Drift平台的数据泄露规模超初始预估，除此前披露的攻击者用被盗OAuth令牌入侵客户 Salesforce 实例、窃取 AWS 访问密钥等敏感信息以准备后续勒索外，Drift “电子邮件集成” 相关 OAuth 令牌也已泄露；目前谷歌已撤销被盗令牌、禁用 Drift 与 Workspace 集成，Salesforce 也暂停 Drift 与自身、Slack 等的集成，同时谷歌建议使用 Drift 的企业将相关验证令牌视为已泄露，及时轮换凭证、排查未授权访问，强调 Workspace 及 Alphabet 本身未受影响，受影响域名中其他账户也安全。

消息来源：

https://www.bleepingcomputer.com/news/security/google-warns-salesloft-breach-impacted-some-workspace-accounts/

黑客组织 Blind Eagle：多种技术入侵政府机构

安全研究显示，黑客组织 Blind Eagle（又称 TAG-144）有五个独立活动集群，攻击哥伦比亚各级政府机构，波及厄瓜多尔等国及北美用户，兼具间谍与敛财目的。其核心技术手段包括：钓鱼邮件（仿政府名义、用 URL 缩短器伪装链接、盗邮箱增可信度，配地理过滤隐藏踪迹）、远程访问木马（RAT，如 Lime RAT 等）、动态域名、合法互联网服务（如 Discord，存恶意载荷避拦截）、VPS、VPN 及隐写术（将程序集嵌入 JPEG 图像躲监控）；攻击链分两类，分别通过Visual Basic Script或SVG附件加载恶意程序。五个集群攻击目标与工具各有侧重，且其使用的篡改版 AsyncRAT 曾被其他黑客组织使用，增加溯源难度，近 60% 攻击针对政府部门，哥伦比亚为首要目标。

消息来源：

https://www.securitylab.ru/news/562893.php?utm_referrer=https://www.securitylab.ru/news/

Zoom 虚假链接陷阱：商人账户在“会议”中被盗

安全公司报告新攻击场景：攻击者在Telegram伪装客户，向中小企业管理者发送仿冒 Zoom 会议链接，受害者点击后需填Google账号密码、输Telegram验证码，期间遭攻击者催促施压（社会工程学手段）；钓鱼页面有异常地址、重复要凭证等可疑点，攻击者获Google权限后，会查关联加密钱包、银行账户及机密信息；专家建议开启双因素认证、不点陌生链接、核对网站地址，且正常Zoom会议无需输Google密码或Telegram验证码。

消息来源：

https://www.securitylab.ru/news/562897.php

生成式AI助力Linux：辅助筛选稳定补丁

生成式 AI 已介入Linux稳定补丁筛选，辅助识别需向后移植到稳定分支（含LTS分支）的修复程序，LTS维护者Sasha Levin推动更新内核文档明确 AI 使用规则，邮件列表中已有LLM快速判断更改移植性的情况 —— 可补充识别作者未标记的重要修复，缓解支持压力；近期Levin邮件中出现LLM生成的注释，会分析提交并给出“应移植” 等判断（如提及修复用户问题、风险低等理由），此类评论还伴随其他补丁移植提议；目前AI仅作辅助，最终决定权仍在人工，LLM成为开发人员工具，其核心应用范围尚未确定。

消息来源：

https://www.securitylab.ru/news/562882.php

黑客组织Storm-0501：利用云功能窃取云端数据

据微软报告，黑客组织Storm-0501弃用恶意代码，借云平台功能攻击：瞄准防护不均的大公司，用Evil-WinRM远程启动PowerShell、DCSync偷密码哈希，经Entra Connect Sync服务器找无MFA的全局管理员账户，同步密码后用自身MFA获Azure高权限，再以AADInternals加受控域稳固控制；随后分配订阅权限、用AzureHound寻备份存储，借AzCopy复制内容、盗密钥，最终删资源或加密数据，通过被盗账户索要赎金；微软建议启用MFA、最小权限等防护措施。

消息来源：

https://www.securitylab.ru/news/562876.php

NodeBB论坛软件SQL注入漏洞（CVE-2025-50979）

NodeBB Forum Software是一款现代、快速的论坛软件。在版本v4.3.0的搜索功能中存在SQL注入漏洞。该漏洞产生的原因是对用户搜索输入的处理不当，攻击者可利用该漏洞通过精心构造的输入数据，导致SQL注入，执行未授权的数据库操作，获取或篡改论坛数据。

影响版本：

NodeBB Forum Software v4.3.0

Commvault路径遍历漏洞（CVE-2025-57790）

Commvault是一款全面的数据备份与恢复软件。在11.32.0至11.32.101版本和11.36.0至11.36.59版本中存在路径遍历漏洞。该漏洞产生的原因是对文件路径的验证不足，攻击者可利用该漏洞通过构造特殊的路径序列，实现未授权的文件系统访问，并可能导致远程代码执行，完全控制受影响系统。

影响版本：

Commvault 11.32.0 至 11.32.101版本, 11.36.0 至 11.36.59版本

Apple Image I/O框架越界写入漏洞（CVE-2025-43300）

Image I/O是Apple操作系统用于处理图像数据的核心框架。在多个版本的iOS、iPadOS和macOS中存在越界写入漏洞。该漏洞产生的原因是在处理恶意制作的图像文件时对内存边界检查不当，攻击者可利用该漏洞导致应用程序意外终止或任意代码执行，完全接管受影响设备。

影响版本：

Apple iOS, iPadOS, macOS 13.7、18.6、17.7、15.6版本

sha.js加密库安全漏洞（CVE-2025-9288）

sha.js是一个广泛使用的JavaScript加密库，用于计算SHA哈希值。在2.4.5–2.4.11和3.2.4–3.2.8版本中存在输入验证不足漏洞。该漏洞产生的原因是对输入数据的验证不充分，攻击者可利用该漏洞实施哈希回滚攻击、碰撞攻击、拒绝服务攻击，甚至可能提取加密私钥等敏感信息。

影响版本：

[email protected]–2.4.11, [email protected]–3.2.8

nginx邮件模块信息泄露漏洞（CVE-2025-53859）

nginx是一款高性能的HTTP和反向代理服务器，其邮件模块用于处理邮件代理服务。在0.7.22至1.29.1之前的版本中存在信息泄露漏洞。该漏洞产生的原因是ngx_mail_smtp_module在特定配置下对内存处理不当，攻击者可利用该漏洞读取进程内存中的敏感信息，包括可能的安全令牌和用户数据。

影响版本：

nginx Open Source, nginx Plus 0.7.22 至 1.29.1之前的版本

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。