文章总结： 本周勒索攻击与数据泄露频发，多款主流软件曝高危漏洞。新型僵尸网络利用区块链隐蔽C2，恶意扩展伪装AI窃密。微软捣毁Tycoon2FA钓鱼设施。建议立即修补漏洞，严控扩展权限，加强AI与云端安全审计。 综合评分： 78 文章分类： 漏洞预警,数据泄露,威胁情报,恶意软件,安全大事件

赛欧思一周资讯分类汇总(2026-03-02 ~ 2026-03-07)

SOC SOC

赛欧思安全研究实验室

2026年3月7日 09:30 河南

一周资讯分类汇总：

1、勒索事件：

• INC 勒索软件入侵 Ramet-Trom、LKE集团、Abrams 及丹麦 HS 公司

  INC 勒索软件团伙宣称已入侵以色列、德国和美国多个行业的多家机构。据称遭泄露的数据包括：来自 Ramet-Trom 的 1TB 数据（含蓝图及合同）；来自 LKE 集团的 800GB 以上数据；来自艾布拉姆斯建筑产品的约 9.6GB 数据；来自丹麦高中的约 70.7GB 数据。

  来源: Daily Dark Web

• 夏威夷大学癌症中心确认遭遇勒索软件攻击后数据泄露

  夏威夷大学癌症中心表示，去年其流行病学部门遭受勒索软件攻击，导致多达 120 万人的信息泄露。该机构发布的声明称，黑客获取了包含社会保障号码（SSN）和驾驶执照号码的记录，这些信息源自夏威夷州交通部。

  来源: The Record

2、攻击事件：

• 汉达拉黑客入侵沙迦国家石油公司，以色列公司受牵连

  汉达拉黑客组织宣称已成功入侵中东能源领域多家实体。最新公布的受害者名单包括：沙迦国家石油公司和以色列机遇能源公司。据该组织宣称，对沙迦国家石油公司的攻击行动已窃取 1.3TB 敏感信息，涉密数据包括：机密财务数据石油合约项目细节。

  来源: Daily Dark Web

3、漏洞情报：

• Perplexity 的 Comet 浏览器遭日历邀请攻击入侵

  Zenity Labs 的安全研究人员披露了 Perplexity 旗下 Comet “智能代理”浏览器中的一个关键漏洞，攻击者可通过恶意 Google 日历邀请窃取本地文件。该漏洞被命名为 PerplexedBrowser，攻击过程无需用户额外操作，仅需执行”接受会议”等常规请求。

  来源: GBHackers

• IPVanish VPN for macOS 漏洞可实现权限提升与代码执行

  在适用于 macOS 的 IPVanish VPN 应用程序中发现了一个高危安全漏洞，该漏洞允许任何无特权的本地用户在无需用户交互的情况下，以 root 权限执行任意代码，漏洞源于权限分离控制机制的彻底失效。

  来源: GBHackers

• Mail2Shell 零点击攻击使黑客能够劫持 FreeScout 邮件服务器

  FreeScout 客服平台存在最高危漏洞，黑客无需任何用户交互或身份验证即可实现远程代码执行。该漏洞编号为 CVE-2026-28289，更严重的是漏洞可通过发送至 FreeScout 配置邮箱的恶意邮件附件触发。

  来源: BleepingComputer

• 低程式码 AI 平台 Langflow 存在远端 RCE 漏洞，提示词注入可致伺服器遭远端接管

  开源低程式码 AI 工作流程建构平台 Langflow 遭揭露重大安全漏洞 CVE-2026-27966。该平台的CSV代理节点因预设配置疏失，攻击者可透过提示词注入引导模型触发该工具，进而在伺服器端执行任意 Python 代码与作业系统指令。

  来源: iThome

• 惠普企业公司 AutoPass 漏洞允许远程攻击者绕过身份验证

  惠普企业公司（HPE）披露了其 AutoPass 许可证服务器（APLS）中存在一个远程身份验证绕过漏洞，该漏洞可能使未经身份验证的攻击者通过网络绕过登录控制。该漏洞编号为 CVE-2026-23600，其 CVSS v3.1 评分为 7.3。

  来源: GBHackers

• Python 热门 ORM 爆出 9.8 分致命漏洞，数据库或被完全读取

  Python 异步 ORM 库 ormar 曝出严重安全漏洞 CVE-2026-26198，CVSS 评分 9.8 分，影响版本 0.9.9 至 0.22.0。漏洞可导致 SQL 注入，可读取任意数据库内容，已修复于 0.23.0 版本，建议立即升级并审计相关接口。

  来源: CN-SEC 中文网

• OneUptime 命令注入漏洞存在系统完全被接管的重大风险

  在用于监控和管理在线服务的 OneUptime 平台中，发现了一个关键的命令注入漏洞（编号CVE-2026-27728）。该漏洞允许经过身份验证的用户在探针服务器上执行任意操作系统命令，存在完全接管系统的重大风险。

  来源: GBHackers

• Angular 国际化漏洞使黑客能通过关键跨站脚本漏洞执行恶意代码

  在广受欢迎的 Web 应用程序框架 Angular 中发现了一个高危安全漏洞。该漏洞编号为 CVE-2026-27970，影响框架的国际化（i18n）处理流程。若遭利用，攻击者可借此在应用程序内执行恶意代码。

  来源: GBHackers

• ClawJacked 攻击使恶意网站能够劫持 OpenClaw 窃取数据

  安全研究人员披露了流行 AI 代理 OpenClaw 中一个名为 “ClawJacked” 的高危漏洞，该漏洞允许恶意网站在用户不知情的情况下暴力破解本地运行实例的访问权限并将其控制权夺走。

  来源: BleepingComputer

• FreeBSD 漏洞允许攻击者导致整个系统崩溃

  管理员必须紧急修补 FreeBSD 一个高危漏洞，该漏洞可使攻击者逃逸隔离的 jail 环境。该漏洞编号为 CVE-2025-15576，该漏洞允许受 jail 限制的进程绕过受限环境，未授权获取对宿主底层文件系统的完全访问权限。

  来源: 黑客资讯

• 自 2023 年起，思科 SD-WAN 关键漏洞遭 0day 攻击利用

  思科警告称，其 Catalyst SD-WAN 设备存在一个关键认证绕过漏洞（编号: CVE-2026-20127），该漏洞最高严重性等级为 10.0，已被用于 0day 攻击中。攻击者可借此远程入侵控制器，并在目标网络中添加恶意伪装对等节点。

  来源: BleepingComputer

• RustFS 控制台存在的存储型 XSS 漏洞危及 S3 管理员凭证安全

  RustFS 控制台发现关键安全漏洞，该漏洞被追踪为 CVE-2026-27822，属于存储型跨站脚本攻击（XSS）漏洞，CVSS v3 评分为 10.0。该漏洞允许攻击者在管理控制台环境中执行任意 JavaScript 代码，可能导致系统完全失控。

  来源: GBHackers

4、信息泄露：

• 新力量党数据泄露事件暴露 3.3 万用户记录

  2026年3月，一名威胁行为者在知名网络犯罪论坛上公开了台湾知名政党新力量党（NPP）可供下载的数据库，逾 33000 名用户个人信息疑似遭泄露。泄露数据包含：完整姓名、电子邮箱地址、电话号码、实际居住地址、Line账号、职业信息、出生日期、性别、账户创建及更新时间戳。

  来源: Daily Dark Web

• RoundOne人工智能数据泄露事件暴露求职者信息

  据称，人工智能驱动的招聘平台 RoundOne AI 遭到入侵，导致 3706 名求职者和用户的个人记录外泄。据称泄露的数据包括：候选人AI摘要、候选人评级、候选人技能、电子邮箱地址、完整姓名、地理位置、电话号码、订阅信息。

  来源: Daily Dark Web

• 全球恐怖主义数据库 GTD 209705 条记录泄露

  2026年3月2日，暗网监测系统发现全球恐怖主义数据库（GTD）完整数据集在黑客论坛泄露，包含 1970 年以来 209705 条恐怖事件记录，格式为 JSON，大小 602.7MB。

  来源: CN-SEC 中文网

• OptimizerAI 数据泄露暴露超过 118000 条用户记录

  OptimizerAI，这个平台以人工智能音效而闻名，据称遭遇了一次数据泄露，导致超过 118000 名独立用户的个人信息被泄露。泄露的数据包括：用户ID（UID）、电子邮件地址、用户名、账户创建和注册时间戳、订阅计划详情（当前计划、计费周期、价格及支付ID）等。

  来源: Daily Dark Web

• LexisNexis 称黑客在受控数据泄露事件中访问了历史数据

  数据分析巨头 LexisNexis 证实，在网络犯罪论坛泄露的信息属实，有威胁行为者宣称窃取了该公司 2GB 数据，包含数百万条记录、含 .gov 邮箱地址的联系信息、政府机构及律师事务所的账户记录、密码、IT事件工单等。

  来源: The Record

• 土耳其电信 Superonline 客户数据泄露事件暴露个人身份信息

  土耳其主要互联网服务提供商 Turkcell Superonline 据称遭遇安全漏洞，导致大量客户记录外泄。据该黑客称，数据库包含 30 万余条记录，泄露的数据包括：客户全名、土耳其国民身份证号（TCKN）、客户ID、电话号码、电子邮箱地址、详细投诉内容、客户实际住址。

  来源: Daily Dark Web

• CarGurus 数据泄露事件致 1240 万账户信息外泄

  数百万 CarGurus 用户可能遭遇个人信息和财务数据泄露，起因是知名黑客组织发布了据称从该汽车交易平台窃取的海量数据集。此次泄露事件被归咎于勒索组织 ShinyHunters，涉及 1240 万条记录，其中约 70% 为新数据。

  来源: eSecurity Planet

• 1200 万个暴露的 .env 文件揭示广泛存在的安全漏洞

  Mysterium VPN 的研究人员发现，有 12088677 个 IP 地址正在公开提供 .env 类型的文件。泄露了包括 JWT 签名密钥、API 密钥、数据库密码及服务令牌在内的凭证信息，美国以近 280 万个暴露 IP 位居榜首，约占总暴露 IP 的 23%。

  来源: Security Affairs

• 欧洲 DIY 工具电商 ManoMano 发生数据泄露，3800 万客户受影响

  DIY 连锁品牌巨头 ManoMano 正通知客户发生数据泄露事件，该事件由黑客入侵第三方服务提供商导致。事件调查结果显示，共有 3800 万人受到影响，暴露的数据类型包括： 姓名、电子邮箱、电话号码、客服沟通记录。

  来源: 安全内参

• 荷兰电信公司 Odido 逾百万条记录遭大规模泄露

  荷兰电信公司 Odido 遭遇大规模数据泄露事件，近 70 万客户的个人信息遭曝光。泄露数据包含：全名及实际地址、电子邮箱及电话号码、银行账户号码、客服人员记录的备注信息、出生日期、护照及驾照号码。

  来源: GBHackers

• 黑客利用 Claude AI 漏洞窃取政府数据

  黑客利用 Claude AI 漏洞，通过持续提示绕过安全防护生成漏洞利用代码，从墨西哥政府窃取 150GB 敏感数据。据 Bloomberg 报道，此次攻击行动从 2025 年 12 月持续到 2026 年 1 月初。

  来源: CN-SEC 中文网

5、僵尸网络：

• OCRFix 僵尸网络利用 ClickFix 钓鱼攻击和 EtherHiding 技术掩盖区块链 C2 基础设施

  OCRFix 是一场多阶段僵尸网络木马活动，其利用伪造的 Tesseract OCR 下载站点、ClickFix 式 PowerShell 执行机制以及 BNB 智能链上的 EtherHiding 技术，来隐藏其轮换式区块链支持的命令基础设施。

  来源: GBHackers

• Aeternum 僵尸网络将指令隐藏在 Polygon 智能合约中

  Qrator Labs 研究人员揭露了名为 Aeternum 的僵尸网络，该网络通过 Polygon 区块链上的智能合约运行其命令与控制基础设施。Aeternum 通过将指令存储于 Polygon 区块链规避传统基于服务器的清除手段。

  来源: Security Affairs

6、金融事件：

• 韩国税务机构数据泄露致 480 万美元加密货币被盗

  一份旨在彰显税务执法成果的公开新闻稿，却意外曝光了价值数百万美元的没收加密货币。韩国国税厅（NTS）无意中泄露了被查扣 Ledger 硬件钱包的助记词，导致不明身份者转移了约 480 万美元的数字资产。

  来源: eSecurity Planet

7、恶意软件：

• GachiLoader：通过 API 跟踪击败 Node.js 恶意软件

  GachiLoader 是一种高度混淆的 Node.js 恶意软件，用于分发 Rhadamanthys 窃密器。攻击者利用 YouTube 被入侵账号传播伪装成游戏外挂的恶意软件，通过 PE 注入技术诱导系统从内存加载恶意 PE 文件。

  来源: CN-SEC 中文网

• Dohdoor 恶意软件以多阶段攻击为目标，瞄准美国学校和医疗机构

  Dohdoor 是一种新型后门恶意软件，通过多阶段攻击链针对美国学校和医疗机构，滥用 DNS-over-HTTPS 和云基础设施隐藏 C2 流量，可能与朝鲜黑客组织 Lazarus 有关联，最终投放 CobaltStrike 实现持久入侵。

  来源: CN-SEC 中文网

• 像素完美浏览器扩展遭利用进行隐蔽脚本注入与安全标头剥离

  Chrome 扩展程序 “QuickLens——谷歌镜头搜索界面”，已悄然从合法的生产力工具蜕变为完整的远程代码执行平台。该程序滥用浏览器信任机制、安全标头及静默自动更新功能，最终演变为由C2服务器驱动的隐蔽攻击活动，能够向受害者访问的任意网站注入任意脚本。

  来源: GBHackers

• 伪装成 AI 助手，30 款恶意 Chrome 扩展程序窃取账号凭证

  据悉，超 30 万的用户安装了共计 30 款的恶意 Chrome 浏览器扩展程序，它们伪装成 AI 助手形式以窃取用户账号凭证、邮件内容与浏览信息，其中部分扩展目前仍上架于 Chrome 应用商店。

  来源: CN-SEC 中文网

8、钓鱼事件：

• 网络钓鱼活动使用 Google 云通过 GCS 存储桶托管恶意重定向

  最近出现了一个复杂的网络钓鱼活动，利用 Google Cloud 的可信基础设施在 Google 合法域名 googleapis.com 上托管恶意重定向。调查显示，攻击者创建了一个名为 “whilewait” 的 GCS 存储桶，存放 comessuccess.html 页面。

  来源: GBHackers

9、国际安全情报：

• 微软主导了对 Tycoon2FA 网络钓鱼服务基础设施的打击行动

  欧洲刑警组织称，Tycoon2FA 服务是全球规模最大的网络钓鱼行动之一，其基础设施已被由微软牵头的多家 IT 公司和执法机构联合摧毁。查封了支撑 Tycoon2FA 核心基础设施的 330 个活跃域名，包括其控制面板和欺诈性登录页面。

  来源: CSOonline

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛欧思安全研究实验室 SOC SOC《赛欧思一周资讯分类汇总(2026-03-02 ~ 2026-03-07)》