2025-12-27 01:51:38 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周暗网数据贩卖事件增17%达6.3亿条，教育制造行业受重创。重点威胁包括n8n远程代码执行漏洞、FortiCloudSSO认证绕过及RansomHouse勒索软件升级。恶意软件方面，macOSStealer利用签名绕过防御，Chrome恶意扩展窃取凭据，Android恶意软件趋向多组件融合。 综合评分： 85 文章分类： 威胁情报,数据泄露,恶意软件,漏洞预警,安全运营

cover_image

烽火狼烟丨暗网数据及攻击威胁情报分析周报（12/22-12/26）

盛邦安全应急响应中心

2025年12月26日 17:13 北京

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件351起，同比上周增加17%。本周内贩卖数据总量共计63697万条；累计涉及10个主要地区及6种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及金融、服务、贸易等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期主要威胁来自教育、制造、餐饮等多行业频发的数据泄露与勒索软件攻击，攻击者不断强化针对虚拟化环境和核心业务文件的加密手段，对多行业数据与核心系统安全构成持续压力；本周内出现的安全漏洞以 n8n 工作流平台远程代码执行威胁漏洞风险最为突出；内部安全运营中心共监测到重点恶意攻击来源 IP 8563 条，主要涉及组件漏洞攻击、命令注入及扫描探测等类型。

01.

重点数据泄露事件

雅夫内教育中心数据泄露

泄露时间：2025-12-23

泄露内容：雅夫内教育中心是一家位于墨西哥墨西哥城的K-12 犹太教育中心。泄露信息主要涉及敏感的学生记录，包括学生个人身份信息、医疗健康记录、家庭住址、家长联系方式及其他内部管理文档。

泄露数据量：未涉及

关联行业：教育

地区：墨西哥

Autohaus Elstermann GmbH数据泄露

泄露时间：2025-12-24

泄露内容：勒索软件组织声称已成功入侵 Autohaus Elstermann GmbH（一家位于德国的汽车经销商），并实施勒索软件攻击。其宣称已窃取并控制该公司的敏感数据，相关数据可能已被用于勒索并存在数据泄露的风险。泄露信息包括：公司内部数据库、财务文件、员工及客户的个人身份信息等敏感资料。

泄露数据量：未涉及

关联行业：制造

地区：德国

韩国KAPA 数据库泄露

泄露时间：2025-12-23

泄露内容：攻击者声称已非法访问并发布了该韩国公共管理协会（KAPA）的数据库。泄露数据涉及与学术研究相关的敏感信息，据称有该组织内部存储的学术研究数据、专业资料及相关用户记录、学术研究人员的相关信息。

泄露数据量：未涉及

关联行业：教育

地区：韩国

Wisanka Indonesia 数据泄露

泄露时间：2025-12-24

泄露内容：攻击者声称已从 Wisanka Indonesia（印度尼西亚 Wisanka 家具制造商）内部系统窃取大量敏感文件，并在暗网泄露。据称泄露的数据约 27 GB，包含该公司内部文件、设计方案及发票等商业资料。泄露信息涵盖内部设计文件、商业发票、公司文档及相关资料。

泄露数据量：约27GB

关联行业：制造

地区：印度尼西亚

Grupo Panamá 数据泄露

泄露时间：2025-12-23

泄露内容：攻击者声称已侵入 Grupo Panamá（墨西哥 Grupo Panamá 餐饮及面包连锁企业）及其关联农业供应商的数据系统，并窃取大量敏感商业及员工信息。泄露内容包含财务数据、员工相关资料及公司运营记录的敏感数据。

泄露数据量：约35GB

关联行业：餐饮

地区：墨西哥

02.

热点资讯

Teams 默认强化消息安全防护以降低协作风险

Microsoft 计划自 2026 年 1 月起在 Teams 中默认启用多项消息安全防护措施，以降低用户在协作沟通中接触恶意内容的风险。这些措施包括对高风险文件类型的默认阻止、对消息中可疑或恶意链接的检测与提示，以及支持用户反馈误判结果的机制。启用后，含有潜在威胁的链接会被标记警告，存在风险的文件将被直接拦截。对于已自定义相关安全策略的组织，此次变更不会自动覆盖现有配置，管理员可根据需要提前审查和调整设置。这些默认安全强化措施旨在提升 Teams 在防范钓鱼攻击和恶意内容传播方面的整体防护能力。

消息来源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-teams-strengthens-messaging-security-by-default-in-january/

跨国联合行动打击勒索软件并破获大规模网络犯罪

国际刑警组织协调开展的代号为 Operation Sentinel 的跨国行动在非洲 19 个国家逮捕了 574 名涉嫌网络犯罪的嫌疑人，其中涉及勒索软件、商业邮件诈骗和数字敲诈等活动，并查获约 300 万美元非法收益。行动期间相关部门成功关闭了超过 6000 个恶意链接并解密了六种不同的勒索软件变体，有助于避免更多组织支付赎金。此次行动涉及的案件估计造成超过 2100 万美元的经济损失，在塞内加尔、加纳等地还成功阻止大额诈骗或恢复大量加密数据，部分嫌疑人被当场拘捕和设备被扣押。该行动凸显国际合作在打击跨境网络犯罪与勒索软件威胁中的重要性。

消息来源：

https://www.bleepingcomputer.com/news/security/interpol-led-action-decrypts-6-ransomware-strains-arrests-hundreds/

更可持续的上网方式：采用绿色浏览器减少数字能耗

互联网活动对能源消耗和数字浪费有实质影响，频繁运行浏览器、大量标签页、广告、跟踪器和后台进程都会增加设备与基础设施的能耗。选择设计上更注重资源效率和可持续性的浏览器是一种减少这种影响的实践方式而无需改变日常上网习惯。所谓“绿色浏览器”应具备高效利用系统资源、内置减少数据加载的工具、较少冗余后台活动等特点，同时对环境责任有透明承诺。以 Wave Browser 为例，它通过内置广告拦截、内存节省工具和集成实用功能来减少对额外扩展的依赖，从而降低不必要的数据请求和系统负担；此外，它通过与环保项目合作，将用户正常浏览行为转化为对海洋、河流等环境清洁工作的资金支持，并公开展示其环境影响数据。采用这样的浏览器可以在维持现代、安全浏览体验的同时，通过更高效地设计和实际环保行动来减少数字能耗。

消息来源：

https://thehackernews.com/2025/12/how-to-browse-sustainably-with-a-green-browser.html

RansomHouse 通过多层加密机制提升勒索软件复杂度

RansomHouse 的勒索软件工具近期对其加密机制进行了重大升级，将原来的单阶段线性加密改为更复杂的多层数据处理方法，以增强加密强度、速度和在现代目标环境中的可靠性。新加密器变种名为 “Mario”，采用两个密钥主密钥和次密钥以及动态分块文件处理，使得数据恢复更加困难并提高了静态分析与逆向工程的难度。该变种主要针对虚拟化环境文件，处理后将文件重命名并留下勒索说明，从而在加密后谈判中为攻击者提供更强的筹码。同时，这一技术演进反映出勒索软件开发者在提高加密效力和规避检测方面的持续努力。

消息来源：

https://www.bleepingcomputer.com/news/security/ransomhouse-upgrades-encryption-with-multi-layered-data-processing/

大量 FortiCloud SSO 设备因身份验证漏洞面临远程攻击风险

全球超过 25,000 台启用了 FortiCloud 单点登录（SSO）功能的 Fortinet 设备已被发现通过互联网公开暴露，使它们可能面临远程攻击风险。监测机构通过设备指纹识别技术识别到这些系统，发生的实际攻击正围绕两个关键的身份验证绕过漏洞（CVE-2025-59718 和 CVE-2025-59719）展开，这些漏洞影响 FortiOS、FortiProxy、FortiSwitchManager 和 FortiWeb 等产品，并允许攻击者通过构造恶意的 SAML 消息在不需要合法凭据的情况下绕过 FortiCloud SSO 登录，从而获取管理员权限并访问管理界面。攻击一旦成功，可能导致敏感配置泄露，包括网络布局、防火墙策略和哈希密码等，从而为进一步渗透和破坏提供机会。目前尚未明确有多少暴露设备已停止风险，但美国网络安全和基础设施安全局已将其中一项关键漏洞列入“已被利用漏洞目录”，并要求联邦机构尽快修补。设备暴露风险凸显了互联网管理接口安全的重要性和限制外部访问的必要性。

消息来源：

https://www.bleepingcomputer.com/news/security/over-25-000-forticloud-sso-devices-exposed-to-remote-attacks/

03.

热点技术

MacSync Stealer 利用签名公证绕过 macOS 安全防护

一个新变种的 MacSync Stealer 恶意软件针对 macOS 系统采用了更隐蔽的传播方式，通过伪装成数字签名并经过 Apple 公证的 Swift 应用程序分发，从而绕过 Apple 的 Gatekeeper 安全检查并避免触发系统警告。该伪装安装器看似是普通软件安装包，但实际在运行后会从远程服务器下载并执行编码的恶意脚本，从目标设备窃取敏感数据，如凭据、浏览器存储的信息和加密货币钱包等。与早期需要用户手动执行命令的传播方式不同，这种利用签名和公证机制的方式降低了用户交互壁垒，提高了隐蔽性和感染成功率。尽管相关开发者证书已被撤销，这一演变反映出攻击者正在利用平台信任机制使恶意软件看起来更像合法应用，以增强传播效果。

消息来源：

https://thehackernews.com/2025/12/new-macsync-macos-stealer-uses-signed.html

恶意 Chrome 扩展通过代理暗中窃取用户数据

两款名为 Phantom Shuttle 的恶意 Chrome 浏览器扩展被发现具备窃取用户敏感信息的能力。它们以网络速度测试或代理服务插件的形式出现在官方扩展商店，用户安装并支付订阅后扩展会修改 Chrome 的代理设置，将流量通过攻击者控制的中间人服务器转发。扩展在正常功能之外，借助硬编码凭据自动注入认证并拦截超过 170 个高价值网站（包括开发平台、云服务、社交媒体等）的网络请求，从而捕获登录凭据、会话令牌、浏览数据等敏感信息并持续发送给远程控制端。同时它们保持与命令控制服务器的心跳通信，实现持续的数据外泄。由于恶意软件提供部分正常功能以掩盖恶意行为，此类威胁强调浏览器扩展可能成为用户凭据和数据泄露的隐蔽风险。

消息来源：

https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html

Digiever NVR 设备安全漏洞预警

近期，一项影响 Digiever DS-2105 Pro 网络录像机（NVR）的高危安全漏洞 CVE-2023-52163 被确认已在真实环境中遭到利用。该漏洞源于设备缺乏必要的访问控制机制，攻击者可通过 time_tzsetup.cgi 接口实施命令注入，从而在未授权的情况下执行远程代码，控制受影响设备。由于该型号设备已停止维护，厂商不再提供安全更新或补丁，漏洞无法通过官方方式修复。在实际攻击中，该缺陷已被用于传播多种僵尸网络恶意程序，导致设备被纳入大规模攻击活动，增加网络安全风险。安全建议包括：避免将相关设备直接暴露在公网环境中，及时修改默认账号和密码，并评估是否需要更换或下线存在风险的设备，以降低潜在的安全威胁。

消息来源：

https://thehackernews.com/2025/12/cisa-flags-actively-exploited-digiever.html

恶意 NPM 包窃取 WhatsApp 账户并长期监控通信数据

一个名为 lotusbail 的恶意软件包伪装成 WhatsApp Web API 的开源库，在 Node 包管理器 (NPM) 上发布并获得了超过 56,000 次下载。它在提供正常功能的同时，将 WhatsApp 的身份验证令牌、会话密钥、发送和接收的所有消息、联系人列表、媒体文件等敏感数据拦截并秘密发送给攻击者。该恶意模块通过封装真实的 WebSocket 客户端拦截通信以捕获凭据，在加密后外泄，并利用 WhatsApp 的设备配对流程将攻击者的设备永久绑定到受害者账户，即使删除该软件包也不会自动终止访问，除非手动解除设备关联。为了规避分析，该包还包含大量循环和混淆代码，使传统检测更难识别。此类供应链攻击凸显了依赖第三方开源组件时的安全风险。

消息来源：

https://www.bleepingcomputer.com/news/security/malicious-npm-package-steals-whatsapp-accounts-and-messages/

Android 恶意软件融合多种攻击组件

Android 恶意软件正在演变成更复杂、更多样的攻击活动，多个恶意代码派系将投放器（dropper）、短信窃取功能和远程访问能力（RAT）融合为一个整体工具链，以提高感染率和攻击效果。攻击者使用伪装成合法应用的安装包隐藏恶意载荷，在用户手动启用“未知来源应用安装”后，本地释放如 Wonderland 这类恶意模块，使其在设备上建立双向命令控制通道，能够窃取短信、一次性验证码、联系人等敏感信息，并执行其他恶意行为如批量发送短信以扩散感染。分发方式包括假冒的 Google Play 页面、社交媒体广告和滥用被盗的即时通讯会话进行传播，而基础设施采用快速变化的域名和混淆技术以规避检测和 takedown。此趋势反映出移动恶意软件从简单银行木马或独立窃取工具转向集成多功能攻击平台的方向。

消息来源：

https://thehackernews.com/2025/12/android-malware-operations-merge.html

04.

热点漏洞

n8n 远程代码执行漏洞（CVE-2025-68613）

n8n 工作流自动化平台存在远程代码执行漏洞，已认证用户在配置工作流时提交的表达式，会在未与底层运行时充分隔离的执行环境中被解析执行，攻击者可借此以 n8n 进程权限执行任意代码，进而完全控制受影响实例，引发敏感数据泄露、工作流被篡改、系统级操作被非法执行等严重安全后果。

影响版本：

0.211.0 ≤ n8n < 1.120.4
n8n < 1.121.1
n8n < 1.122.0

Eclipse BlueChi 安全漏洞(CVE-2025-2515)

Eclipse BlueChi是Eclipse开源的一款服务控制和状态管理软件。Eclipse BlueChi存在安全漏洞，该漏洞源于拥有root权限的用户可以在受管节点上创建或覆盖systemd服务单元文件，可能导致权限提升、未经授权的服务执行和系统破解。

影响版本：

Eclipse BlueChi <1.0.0

EchoCCS Specto CM 存在文件上传漏洞 (CVE-2025-2155）

Echo Call Center Services Trade和Industry Inc的Specto CM服务中存在一种漏洞，允许上传危险类型的文件，存在远程代码注入的风险。这个问题影响了Specto CM的所有版本，直到2025年之前的版本都受到影响。

影响版本：

EchoCCS Specto CM<17032025

OpenOps 操作系统存在命令注入漏洞 (CVE-2025-68922）

OpenOps是OpenOps开源的一个自动化平台。OpenOps 0.6.11之前版本存在操作系统命令注入漏洞，该漏洞源于Terraform块存在远程代码执行。

影响版本：

OpenOps < 0.6.11

WooCommerce存在远程代码执行漏洞(CVE-2025-13773）

针对WordPress的WooCommerce插件中的“打印发票与发货单”（Print Invoice & Delivery Notes for WooCommerce）插件存在远程代码执行漏洞。该漏洞存在于所有低于5.8.0版本的插件中，其原因是“WooCommerce_Delivery_Notes::update”函数中缺少权限检查，以及在Dompdf中启用了PHP，同时“template.php”文件中缺少转义处理。这使得未经身份验证的攻击者有可能在服务器上执行代码。

影响版本：

WooCommerce <= 5.8.0

05.

攻击情报

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。

请注意：以上均为监测到的情报数据，盛邦安全不做真实性判断与检测

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：盛邦安全应急响应中心《烽火狼烟丨暗网数据及攻击威胁情报分析周报（12/22-12/26）》