文章总结: 本周暗网数据贩卖事件环比增23.24%,涉及美西等多起重大泄露。热点技术涵盖Chrome扩展劫持、BYOVD攻击及AI工具滥用,漏洞预警重点关注U-OfficeForce反序列化等高危风险。报告建议强化身份治理与权限管控,监控恶意IP并及时修补漏洞以应对复杂威胁态势。 综合评分: 89 文章分类: 威胁情报,数据泄露,漏洞预警,恶意软件,安全运营
烽火狼烟丨暗网数据及攻击威胁情报分析周报(03/02-03/06)
盛邦安全应急响应中心
2026年3月6日 18:19 北京
WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析,本周总体情况如下:
本周内共发现暗网数据贩卖事件350起,同比上周增加23.24%。本周内贩卖数据总量共计68132.3万条;累计涉及7个主要地区及7种数据分类,数据泄露来源地区分布情况如图1所示。
图1 泄露数据来源地区分布情况
本周内泄露数据涉及贸易、教育、服务等多种类型数据,具体占比如图2所示。
图2 泄露信息数据类型占比
近期主要威胁来自恶意软件、AI工具及网站攻击,需加强关注;本周内出现的安全漏洞以U-Office Force不安全反序列化漏洞危害程度较大;内部安全运营中心共发现恶意攻击来源IP 7179条,主要涉及扫描探测、跨站脚本攻击等类型。
01.
重点数据泄露事件
美国Elasticsearch数据泄露
泄露时间:2026-03-03
泄露内容:安全组织发现一个可公开访问的Elasticsearch实例。Elasticsearch是由Elastic开发的分布式搜索与分析引擎。该实例包含约6.76亿条美国公民身份记录,涵盖完整的身份信息,包括社会安全号码(SSN)、出生日期、历史地址和电话号码等敏感数据。
泄露数据量:6.76亿
关联行业:信息技术
地区:美国
Eholo数据泄露
泄露时间:2026-03-04
泄露内容:黑客声称已成功入侵心理健康管理平台Eholo。该平台主要供心理学家和心理中心用于患者及诊所管理。黑客已窃取Eholo Health的完整数据库,泄露数据包括约114.67万份医疗记录和60.13万条用户个人身份信息(PII)。
泄露数据量:174.8万
关联行业:医疗
地区:西班牙
OptimizerAI数据库泄露
泄露时间:2026-03-04
泄露内容:攻击者在暗网论坛上发帖声称OptimizerAI.xyz存在数据库泄露。OptimizerAI.xyz 是一个AI音效平台。泄露的数据集包含超过11.8万名用户的记录,涉及电子邮件地址、用户名、注册时间戳、个人资料图片以及多个与Discord相关的字段。攻击者还表示此次泄露还涉及超过110万条与该平台相关的音频生成记录。
泄露数据量:122.8万
关联行业:人工智能
地区:美国
PlayStation数据泄露
泄露时间:2026-03-04
泄露内容:某威胁组织泄露了约50万个PlayStation账户日志。PlayStation是一家家用电子游戏机品牌,提供主机游戏、在线服务及数字娱乐生态系统。泄露的数据集包含多个敏感字段,如用户ID、用户名、密码、账户类型、账户创建日期、公开信息、功能权限、服务提供商、账户状态、验证信息、登录上下文、相关URL以及时间戳等。
泄露数据量:50万
关联行业:娱乐
地区:美国
Florajet数据库泄露
泄露时间:2026-03-04
泄露内容:黑客声称正在出售法国在线鲜花配送平台Florajet的数据库。泄露的数据包含从2023年至2026年期间的145万份订单,总数据量达136GB。攻击者还表示经过去重处理后该数据集包含约95.2万个独立的个人电话号码和120万个唯一的完整地址。
泄露数据量:未涉及
关联行业:服务
地区:法国
02.
热点资讯
身份安全盲点助长现代网络攻击
最新研究显示,与身份相关的安全事件正显著增加。在云环境和AI技术日益普及的背景下,企业对身份的可见性和治理能力不足,使身份安全成为主要攻击目标。许多企业已将AI代理投入生产,但这些工具往往绕过人工审批,被授予敏感数据权限,且缺乏有效监管,形成了安全盲点。如今,攻击者更倾向于利用被盗或权限过高的凭证直接登录系统,使身份取代防火墙,成为新的安全边界。同时,多云和多种身份提供商架构加剧了身份碎片化,企业难以全面掌握访问情况,风险随之放大。简言之,传统基于网络外围的防护策略已难以应对当前威胁,强化身份治理、提升可见性与权限控制,已成为安全防护的关键所在。
消息来源:
https://www.esecurityplanet.com/threats/identity-security-blind-spots-fuel-modern-attacks/
Cloudflare的Next.js替代框架存在严重安全问题
Cloudflare推出一款AI辅助构建的Next.js替代框架“vinext”,旨在方便开发者将应用部署到其Workers平台。该项目由一名工程师在一周内用AI协作完成,号称兼容Next.js并绕过Vercel限制。但发布后即被发现大量漏洞:Vercel披露7个安全漏洞(含2个关键级),当前已修复;独立研究者又发现45个安全漏洞(含4个关键级),包括会话劫持、缓存污染和中间件绕过。研究指出,AI快速迭代使传统漏洞披露流程难以适用。Cloudflare称该框架仍属“实验性”,建议生产环境谨慎使用,正逐步修复问题。
消息来源:
https://cybernews.com/security/hackers-find-critical-flaws-in-cloudflares-nextjs-alternative/
AI 伪造身份证平台运营者认罪
一名运营AI虚假身份证生成平台的男子认罪。他运营的订阅制网站“OnlyFake”利用AI自动生成超1万份伪造身份证件,涵盖美国驾照、护照、社保卡及56个国家的证件,用户可自定义信息,生成的假证能通过银行和加密交易所的自动验证系统,从而绕过KYC检查。
消息来源:
https://www.esecurityplanet.com/threats/operator-of-ai-fake-id-platform-pleads-guilty/
荷兰消费者组织批评Meta对诈骗广告不重视
荷兰消费者权益组织指出,Meta在打击诈骗广告方面行动不足,导致大量欺诈性广告仍在Facebook和Instagram平台投放。2025年底,该组织测试30家已知诈骗网站,发现其中16家仍在Meta投放广告,情况较2024年未见改善。诈骗广告常冒用知名品牌和名人名义,但Meta收到报告后仅删除小部分。内部数据显示,这类广告每年为Meta带来约160亿美元收入,占其年营收约10%,每天约有150亿条“高风险”诈骗广告出现在用户信息流中。Meta回应称这些数字片面,并强调正加大打击力度。反对者认为Meta应更积极监测和阻断不良广告,否则用户仍将频繁遭遇诈骗诱导和虚假推销。
消息来源:
https://cybernews.com/security/meta-blind-eye-scam-ads-circulate/
Cloudflare利用熔岩灯增强数据加密的随机性
全球互联网基础设施公司Cloudflare利用约100盏熔岩灯组成的“熵墙”辅助数据加密。由于计算机难以生成真正的随机数,而加密密钥的安全性高度依赖随机性,Cloudflare通过摄像机定时拍摄熔岩灯墙的实时图像,将画面中熔岩形状的细微变化转化为随机数据,再与系统数据结合,作为生成SSL/TLS加密密钥的输入。这种物理随机源能为网站和服务间的安全通信提供不可预测的密钥种子。若摄像机失效公司也会使用Linux系统的其他随机输入作为备份。类似技术早在1990年代已有先例,但Cloudflare将其实际应用于保护数百万网站的安全通信,是一种创新而有趣的解决方案。
消息来源:
https://cybernews.com/security/cloudflare-data-encryption-lava-lamps/
03.
热点技术
Chrome扩展被劫持推送ClickFix恶意软件
曾受信任的Chrome扩展QuickLens在2026年2月被新所有者接管后发布恶意更新,沦为ClickFix恶意软件载体。更新后的版本请求深层浏览器权限(如declarativeNetRequestWithHostAccess、webRequest),并在用户访问网页时移除Content-Security-Policy等安全头,以削弱浏览器防护。被劫持的扩展与C2服务器通信,定期执行恶意JavaScript脚本,部分载荷伪装成Google Update,诱导用户下载googleupdate.exe,通过PowerShell执行远程代码。该脚本还针对MetaMask、Phantom、Coinbase Wallet等加密货币钱包扩展,窃取助记词及活动数据,并尝试抓取Gmail、Facebook广告账户、YouTube频道数据及支付信息。专家建议集中管理扩展权限、定期审核并移除可疑插件,若确认恶意应立即卸载扩展、更改凭证并转移加密资产。
消息来源:
https://www.esecurityplanet.com/threats/chrome-extension-hijacked-to-push-clickfix-malware/
BYOVD利用恶意驱动绕过Windows防护
一种名为BYOVD(自带易受攻击驱动)的攻击技术正被广泛利用。攻击者在获取管理员权限后,将拥有有效数字签名但存在安全漏洞的合法Windows内核驱动程序加载至系统中,并利用其暴露的内核接口(如任意内存读写)实现任意代码执行,从而获得Ring 0级别的完全控制权。由于驱动程序具备合法签名,因此能够绕过Windows的驱动签名等信任机制。攻击者可借此禁用或终止EDR等终端安全进程、隐藏恶意活动,并辅助实现横向移动。该技术的危险性在于将可信系统组件武器化,规避传统检测。防御建议包括:启用HVCI和Windows Defender Application Control以限制未授权驱动加载;开启Secure Boot并监控可疑驱动加载及内核服务事件。
消息来源:
https://www.esecurityplanet.com/threats/byovd-turns-trusted-drivers-against-windows-security/
黑客利用开源AI工具CyberStrikeAI发动攻击
最新安全分析显示,开源AI安全测试平台CyberStrikeAI正被攻击者滥用于发动自动化攻击。该工具最早出现在针对Fortinet FortiGate防火墙的大规模入侵行动中,攻击波及55个国家的数百台设备。CyberStrikeAI集成100多种安全工具,具备漏洞扫描、渗透测试与攻击链自动化能力,并通过生成式模型自动识别和利用弱点。研究人员发现多个部署该平台的服务器与受害设备存在通信,表明攻击者已将AI工具从侦察扩展至实际渗透与利用。此类AI原生攻击框架正在降低攻击门槛,使低技术水平攻击者也能实施复杂入侵,加剧网络安全防御压力。
消息来源:
https://www.bleepingcomputer.com/news/security/cyberstrikeai-tool-adopted-by-hackers-for-ai-powered-attacks/
伪造的Google网站利用PWA窃取凭据和多因素验证码
安全专家警告称,一种新型钓鱼攻击正通过伪造的Google安全页面(域名google-prism[.]com)诱导用户安装恶意Progressive Web App(PWA)。该页面模拟“安全检查”流程,诱骗用户授予权限并安装应用。这款恶意PWA运行于浏览器环境,但伪装成独立程序;安装后会申请通知权限并注册Service Worker,在后台执行多项恶意任务,包括窃取剪贴板内容、联系人和GPS数据,利用WebOTP API截获短信验证码(MFA/OTP),回传受害者身份信息,甚至将受害者浏览器充当HTTP代理以转发攻击流量。此外,部分受害者还被诱导下载假冒的Android安全更新APK,该应用申请SMS、联系人及通知访问等高权限,用于拦截验证码、记录击键并实现对设备的持久控制。
消息来源:
https://www.bleepingcomputer.com/news/security/fake-google-security-site-uses-pwa-app-to-steal-credentials-mfa-codes/
虚假Laravel软件包在Packagist上分发远程访问木马
安全研究人员发现,攻击者在PHP包管理平台Packagist上发布了多个伪装成Laravel工具的恶意软件包,包括nhattuanbl/lara-helper、nhattuanbl/simple-queue和nhattuanbl/lara-swagger。这些恶意包通过依赖链传播,在Windows、macOS和Linux系统中部署跨平台远程访问木马(RAT)。攻击者还发布了部分正常包以提升信誉,诱导开发者安装。恶意代码采用混淆技术隐藏自身,运行后连接远程C2服务器,回传系统信息并接收指令,支持执行任意命令、屏幕截图及文件上传/下载等操作,可能导致主机被完全控制。研究人员建议,凡安装过相关包的项目应视为已被入侵,需立即移除恶意依赖、轮换所有密钥与凭证,并检查异常出站流量。
消息来源:
https://thehackernews.com/2026/03/fake-laravel-packages-on-packagist.html
04.
热点漏洞
Tenda AC15栈缓冲区溢出漏洞(CVE-2026-3400)
Tenda AC15是腾达推出的一款无线路由器产品,为网络场景提供无线信号覆盖、网络连接管理等网络服务功能。Tenda AC15 15.13.07.13及之前版本存在栈缓冲区溢出漏洞,该漏洞产生的原因是/goform/TextEditingConversion文件的未知功能对wpapsk_crypto2_4g参数的操作缺乏有效边界校验,对该参数的恶意操作会引发栈缓冲区溢出。攻击者可利用该漏洞远程构造恶意参数发起攻击触发缓冲区溢出,进而获取服务器最高权限并执行任意代码。
影响版本:
Tenda AC15<=15.13.07.13
thinkgem JeeSite路径遍历漏洞(CVE-2026-3405)
thinkgem JeeSite是一款基于Java的企业级快速开发平台,为各类Web应用开发提供基础架构和功能组件支持。thinkgem JeeSite 5.15.1及之前版本存在路径遍历漏洞,该漏洞产生的原因是组件ConnectionHandler的未知函数对数据操作缺乏有效校验,非法的操作会引发路径遍历问题。攻击者可利用该漏洞通过远程方式发起攻击突破路径访问限制,读取服务器上的非授权文件,造成部分信息泄露。
影响版本:
thinkgem JeeSite<=5.15.1
SimStudio授权绕过漏洞(CVE-2026-3432)
SimStudio是一款提供认证授权相关服务的软件,支持OAuth认证流程管理及访问令牌发放等核心功能。SimStudio 0.5.74之前版本存在授权绕过漏洞,该漏洞产生的原因是/api/auth/oauth/token接口存在特定代码路径,传入credentialAccountUserId和providerId参数时会绕过所有授权检查。攻击者可利用该漏洞无需认证提供任意用户的用户ID和提供商名称,获取对应OAuth访问令牌并窃取第三方服务的凭证。
影响版本:
SimStudio<0.5.74
U-Office Force不安全反序列化漏洞(CVE-2026-3422)
U-Office Force是由e-Excellence研发的企业级办公系统,为企业提供办公协同、业务管理等一站式办公服务。U-Office Force存在不安全反序列化漏洞,该漏洞产生的原因是系统未对序列化内容做安全校验,对恶意构造的序列化数据缺乏有效防护。攻击者可利用该漏洞无需认证发起远程攻击,在服务器端执行任意代码。
影响版本:
U-Office Force<29.50
eosphoros-ai db-gpt代码注入漏洞(CVE-2026-3409)
eosphoros-ai db-gpt是一款基于大模型的数据库智能交互平台,提供自然语言转SQL、数据查询分析及智能问答等AI驱动的数据库服务。eosphoros-ai db-gpt 0.7.5版本存在代码注入漏洞,该漏洞产生的原因是组件FlowImportEndpoint的/api/v1/serve/awel/flow/import文件中importlib.machinery.SourceFileLoader.exec_module函数对File参数的操作缺乏有效校验与过滤。攻击者可利用该漏洞远程构造恶意File参数进行操作注入恶意代码,进而对服务器执行非授权的代码操作。”
影响版本:
eosphoros-ai db-gpt 0.7.5
05.
攻击情报
本周部分重点攻击来源及攻击参数如下表所示,建议将以下IP加入安全设备进行持续跟踪监控。
请注意:以上均为监测到的情报数据,盛邦安全不做真实性判断与检测
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:盛邦安全应急响应中心 《烽火狼烟丨暗网数据及攻击威胁情报分析周报(03/02-03/06)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论