烽火狼烟丨暗网数据及攻击威胁情报分析周报（04/27-04/30）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件502起，同比上周减少16.4%。本周内贩卖数据总量共计10243.5万条；累计涉及8个主要地区及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及个人信息、金融、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期安全威胁以数据泄露与漏洞攻击为主，多个政府及加密行业机构发生敏感数据或高权限凭证泄露，本周内出现的安全漏洞中以LiteLLM SQL注入漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8532 条，主要涉及SQL注入、组件漏洞攻击等类型。

阿布扎比财政部数据疑似泄漏

泄露时间：2026-04-27

泄露内容：攻击者在暗网论坛发布帖子，声称出售阿联酋阿布扎比财政部的“超级管理员（SuperAdmin）访问权限”。该机构是阿布扎比政府核心财政管理部门，负责预算、资金及财政政策执行。

泄露数据量：未披露

关联行业：政府

地区：阿联酋

乌干达农业部疑似数据泄露

泄露时间：2026-04-27

泄露内容：乌干达农业、动物工业与渔业部（MAAIF）疑似发生数据泄露事件。该机构运营一个面向农民和农业推广人员的数字平台（E-Extension）。泄露数据为一个数据库，包含敏感用户信息及系统凭证，包括姓名、电子邮箱、电话号码、家庭住址、密码、职位信息，以及API密钥、Bearer令牌和网关配置等关键系统数据。

泄露数据量：未披露

关联行业：政府

地区：乌干达

Jeff Honeycutt疑似数据泄露

泄露时间：2026-04-27

泄露内容：攻击者在暗网平台发布信息，称已获取德克萨斯州保险公司Jeff Honeycutt的相关数据。此次泄露涉及超过12,000条独特且干净的记录，来源于一个2018年至2020年的数据集。泄露的数据包括全名、完整家庭地址、电子邮件地址、座机、手机号码、房价、建造年份、保险续保日期以及商业客户信息。

泄露数据量：30万

关联行业：保险

地区：美国

FOSPIBAY疑似数据泄露

泄露时间：2026-04-24

泄露内容：秘鲁社会基金项目（FOSPIBAY）的系统疑似遭受数据泄露。泄露的数据包括用户账户信息、国民身份证号、订单记录、电话号码、住址、付款卡记录、用户ID、用户名、密码哈希值、电子邮箱、注册时间戳、账单配送等敏感信息。

泄露数据量：2万

关联行业：服务

地区：秘鲁

Padanama Publication数据库数据泄露

泄露时间：2026-04-24

泄露内容：斯里兰卡最大的印刷出版公司Padanama Publication疑似发生数据泄露，攻击者非法访问并提取了其客户端数据库，并在暗网论坛以约50美元价格出售。据称泄露的数据样本包含多种敏感信息，包括系统唯一标识符、客户注册ID、国民身份证号、一次性密码、出生日期、电子邮箱、姓名、主要电话号码、称谓、实际邮寄地址、内部用户、系统编码以及账户状态等。

泄露数据量：未披露

关联行业：服务

地区：斯里兰卡

Windows打开RDP时安全警告显示异常

微软确认，2026年4月安全更新中新加入的RDP文件安全警告存在已知问题，会在部分Windows11、Windows10和Windows Server系统上错误显示，表现为文字重叠、按钮错位或部分被遮挡，导致用户难以阅读甚至无法操作该对话框。微软表示，该问题通常出现在多显示器且缩放比例不同的场景下，例如一台显示器为100%、另一台为125%。这项安全警告原本是为了防范恶意RDP文件而引入：用户首次打开RDP文件时会看到一次性风险提示，之后每次连接前都会显示文件签名状态、远程地址以及本地资源重定向信息，并默认禁用相关选项。由于RDP文件常用于企业远程连接，且近年来已被攻击者频繁用于钓鱼和凭证窃取，此次显示异常虽然是界面问题，但会影响用户正确识别和处理远程连接风险。

消息来源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-new-remote-desktop-warnings-may-display-incorrectly/

Robinhood邮件流程被滥用发送钓鱼信息

Robinhood证实，其账户创建流程被攻击者滥用，向真实用户发送带有钓鱼内容的合法邮件。攻击者利用注册新账户时自动发送的“Your recent login to Robinhood”通知邮件，在未被正确过滤的设备字段中注入任意HTML，使邮件中伪装出“检测到未识别设备”活动提醒，并诱导用户点击钓鱼链接。由于这些邮件直接来自Robinhood官方邮箱，且通过了SPF和DKIM校验，因此具有很强迷惑性。攻击者还可能借助此前泄露的Robinhood用户邮箱列表，以及Gmail的“点别名”特性，将伪造注册行为精准投递给目标用户。Robinhood表示此次事件并非系统或客户账户被攻破，用户资金和个人信息未受影响，并已通过移除可被滥用的Device字段修复问题，同时建议收到该邮件的用户立即删除且不要点击其中链接。

消息来源：

https://www.bleepingcomputer.com/news/security/robinhood-account-creation-flaw-abused-to-send-phishing-emails/

黑客组织利用生成式AI与恶意NPM包发起针对Web3开发者的攻击

近期，黑客组织通过名为PromptMink的恶意软件活动，利用npm包中的恶意代码进行加密货币窃取。攻击者通过生成式人工智能编写恶意软件，并巧妙地将恶意包作为依赖项加入多个npm包中，这些包用于加密货币交易和社交身份创建，目的是通过泄露凭证来访问用户加密钱包。此次攻击采用多阶段策略，首先使用看似无害的包作为诱饵，随后下载真正的恶意代码。黑客还通过伪装成虚拟工作面试的方式，诱使开发者下载并执行这些包，从而进一步扩展其控制范围。该活动展现了攻击者在攻击技术上的不断进化，并强调了其对Web3和加密货币开发者的持续威胁。

消息来源：

https://thehackernews.com/2026/04/new-wave-of-dprk-attacks-uses-ai.html

NDR成为对抗AI威胁的关键防线

随着AI大幅缩短漏洞从披露到被利用的时间窗口，传统“尽快打补丁”的防守模式正越来越难以应对现实威胁，安全团队需要转向“假设已被入侵”的新思路，把重点放在实时检测、快速还原攻击链和自动化遏制扩散上。像Claude Mythos这类AI模型能够在极短时间内发现复杂漏洞和防御薄弱点，这意味着企业很难单靠修补速度维持安全。相比之下，NDR（网络检测与响应）通过持续监控网络流量、识别横向移动、命令控制通信和数据外泄等异常行为，能够帮助SOC更快发现入侵后的活动，并结合资产盘点、攻击链关联和自动化遏制机制，压缩威胁扩散时间，降低AI驱动攻击演变为大规模安全事件的风险。

消息来源：

https://thehackernews.com/2026/04/after-mythos-new-playbooks-for-zero.html

虚假数据泄露通知正成为新型钓鱼诱饵

随着数据泄露事件愈发频繁，攻击者正借机伪造“数据泄露通知”邮件实施诈骗：要么蹭真实泄露事件热度发送假通知，要么凭空捏造泄露事故，冒充知名品牌或企业IT部门诱骗收件人点击恶意链接、打开恶意附件，或提交个人、财务及账户信息。借助AI和钓鱼工具包，攻击者如今能快速批量生成语言自然、品牌元素齐全、极具迷惑性的假通知。为降低风险，用户应通过官方渠道独立核实通知真伪，使用强且唯一的密码、密码管理器和多因素认证，并部署可靠的邮件安全防护；若已上当，则应立即改密、启用MFA、查杀恶意软件、联系银行并持续监控账户异常。

消息来源：

https://www.welivesecurity.com/en/scams/data-breach-alert-might-be-trap/

VECT2.0存在致命加密缺陷，受害文件或被永久性破坏

研究人员警告称，VECT2.0勒索软件虽然以“加密”受害者文件为目标，但其在处理大文件加密时存在严重的nonce（随机数）管理缺陷：对超过128KB的文件分块加密时，多个分块共用同一nonce输出缓冲区，导致前面分块对应的nonce被不断覆盖，最终只有最后一个nonce被保存到磁盘。这意味着文件通常只有最后25%可能恢复，前面大部分内容将因nonce丢失而无法解密，而且这些丢失的nonce也不会发送给攻击者，因此即使受害者支付赎金，攻击者也无法完成解密。由于企业中大多数关键数据，如虚拟机磁盘、数据库、备份以及常规办公文档，通常都超过这一阈值，VECT2.0实际上更像一种具有勒索外衣的数据擦除工具。与此同时，VECT还在Breach Forums招募加盟者，并宣布与曾发动多起供应链攻击的TeamPCP合作，试图借供应链入侵进一步投放勒索载荷并扩大攻击范围。

消息来源：

https://www.bleepingcomputer.com/news/security/broken-vect-20-ransomware-acts-as-a-data-wiper-for-large-files/

微软 Entra ID AI 代理管理角色存在权限提升漏洞

微软 Entra ID 中为 AI 代理设计的代理 ID 管理员特权内置角色存在权限范围过宽缺陷，被分配该角色的用户可接管任意服务主体、实现权限提升与租户大范围控制；微软于 4 月 9 日完成云环境补丁修复，限制其非代理服务主体所有权分配权限，同时业内建议企业监控敏感角色使用、追踪服务主体所有权变更与凭证创建、防护特权服务主体，也凸显出 AI 非人类身份新角色需严格界定权限范围、校验权限应用边界的必要性。

消息来源：

https://thehackernews.com/2026/04/microsoft-patches-entra-id-role-flaw.html

LofyGang借Minecraft工具传播木马

巴西网络犯罪团伙LofyGang在沉寂三年多后再次活跃，发起针对Minecraft玩家的一轮新攻击活动，利用伪装成“Slinky”的作弊工具诱导用户主动运行恶意程序，并最终在受害主机内存中部署信息窃取木马LofyStealer（又名GrabBot）。该恶意软件可从Chrome、Edge、Brave、Opera、Firefox等多个浏览器中窃取Cookie、密码、令牌、银行卡数据及IBAN等敏感信息，并将数据回传至其C2服务器。研究人员指出，LofyGang早在2022年就曾通过npm错别字包、GitHub伪装仓库和子依赖投毒等JavaScript供应链手法窃取DiscordNitro、游戏平台和流媒体账户，如今则进一步转向带有免费和付费版本的MaaS（恶意软件即服务）模式，通过定制化构建器“Slinky Cracked”扩大传播。此事件也再次反映出攻击者正持续滥用GitHub、YouTube、Reddit等高信任平台，通过SEO投毒、虚假仓库和社交诱导分发恶意载荷，绕过传统安全防护并扩大受害面。

消息来源：

https://thehackernews.com/2026/04/brazilian-lofygang-resurfaces-after.html

LiteLLM漏洞正被黑客利用窃取密钥

黑客正积极利用开源LLM网关中的严重SQL注入漏洞CVE-2026-42208，从暴露实例中窃取API密钥、主密钥、虚拟密钥、环境变量和模型提供商凭证等敏感信息。该漏洞出现在LiteLLM代理的API密钥校验步骤中，攻击者无需认证，只需向任意LLMAPI路由发送特制的Authorization请求头，即可读取并修改后端数据库内容。研究人员发现，漏洞公开约36小时后就出现了有针对性的实战利用。LiteLLM维护者已在1.83.7版本中通过参数化查询修复该问题；若暂时无法升级，建议通过配置disable_error_logs:true作为缓解措施。同时，所有暴露在公网且存在漏洞版本的LiteLLM实例都应被视为可能已遭入侵，相关密钥和凭证应立即轮换。

消息来源：

https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-a-critical-litellm-pre-auth-sqli-flaw/

Trigona攻击开始使用定制工具加速数据窃取

研究人员发现，近期Trigona勒索软件攻击已开始使用名为uploader_client.exe的定制命令行工具进行数据外泄，以替代更容易触发安全告警的公开工具如Rclone和MegaSync。该工具具备多项规避与提速能力，包括每个文件最多并行5条连接上传、在传输2GB流量后自动轮换TCP连接、按文件类型选择性窃取高价值数据，以及通过认证密钥限制外部访问被盗文件。这表明攻击者正在投入资源开发专有恶意工具，以在攻击关键阶段降低暴露度。报告还显示，Trigona在恢复活动后，通常会先安装Huorong的HRSword内核驱动服务，再部署多种可禁用安全产品的工具，并借助易受攻击驱动终止终端防护进程，同时利用PowerRun提权执行程序，结合AnyDesk、Mimikatz和Nirsoft实现远程访问、凭证窃取和密码恢复功能。

消息来源：

https://www.bleepingcomputer.com/news/security/trigona-ransomware-attacks-use-custom-exfiltration-tool-to-steal-data/

Xuxueli xxl-job硬编码加密密钥漏洞（CVE-2026-7306）

Xuxueli xxl-job是一款分布式任务调度平台，提供OpenAPI接口用于任务管理和调度。Xuxueli xxl-job存在硬编码加密密钥漏洞。该漏洞产生的原因是xxl-job-admin/src/main/java/com/xxl/job/admin/scheduler/openapi/OpenApiController.java文件中某未知函数对default_token参数使用了硬编码的加密密钥，攻击者可利用该漏洞通过远程访问OpenAPI接口进行构造请求，从而可能绕过安全认证或影响敏感操作。

影响版本：

Xuxueli xxl-job <= 3.3.2

WattBox 800/820系列固件远程命令执行漏洞（CVE-2026-41446）

WattBox800和820系列是一款智能电源管理设备，提供远程管理和自动化控制功能。WattBox存在远程命令执行漏洞。该漏洞产生的原因是固件中包含未公开的诊断HTTP接口，这些接口仅依赖设备MAC地址和服务标签进行认证，而这两个值都以明文形式印在设备标签上，攻击者可利用该漏洞通过获取设备标签或相关文档进行认证，从而访问接口并以root权限执行任意命令。

影响版本：

WattBox 800 & 820 Series < 2.10.0.0

o2oa不当授权漏洞（CVE-2026-7292）

o2oa是一款企业办公协作平台，提供文件同步、任务管理和流程管理等功能。o2oa存在不当授权漏洞。该漏洞产生的原因是NodeAgent.java文件中syncFile函数未对操作进行严格权限验证，攻击者可利用该漏洞通过远程访问构造请求进行未经授权的操作，从而可能访问或修改不应被操作的文件和资源。

影响版本：

o2oa <= 10.0

JeecgBoot存在SQL注入漏洞（CVE-2026-7290）

JeecgBoot是一款快速开发平台，提供代码生成、数据字典管理及后台管理功能。JeecgBoot存在SQL注入漏洞。该漏洞产生的原因是jeecg-boot/jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionUtil.java文件中SqlInjectionUtil函数未对传入的keyword参数进行有效过滤，攻击者可利用该漏洞通过远程构造恶意输入执行任意SQL查询，从而访问、篡改或删除数据库中的敏感数据。

影响版本：

JeecgBoot <= 3.9.1

Cryptobox账户锁定漏洞（CVE-2026-5794）

Cryptobox是一款提供安全存储和加密功能的应用系统。Cryptobox存在账户锁定漏洞。该漏洞产生的原因是系统在处理登录请求时未对特定请求进行正确限制，攻击者可利用该漏洞通过发送特制请求触发目标用户账户锁定，从而阻止合法用户登录系统。影响版本：

Cryptobox < 4.38.0

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。