文章总结: 本周监测暗网数据贩卖510起超17亿条,涉及叙利亚国防部、Instagram等事件。重点威胁包括AI代理隐患、Node.js及ServiceNow漏洞。技术层面发现网络窃取及恶意软件攻击。新增SumatraPDF、FreeRDP等高危漏洞,建议及时修复并监控情报中的恶意IP。 综合评分: 90 文章分类: 威胁情报,数据泄露,漏洞预警,恶意软件,网络安全
烽火狼烟丨暗网数据及攻击威胁情报分析周报(01/12-01/16)
盛邦安全应急响应中心
2026年1月16日 17:33 北京
WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析,本周总体情况如下:
本周内共发现暗网数据贩卖事件510起,同比上周增加21.72%。本周内贩卖数据总量共计175057.1万条;累计涉及8个主要地区及7种数据分类,数据泄露来源地区分布情况如图1所示。
图1 泄露数据来源地区分布情况
本周内泄露数据涉及通信、金融、博彩等多种类型数据,具体占比如图2所示。
图2 泄露信息数据类型占比
近期主要威胁来自软件高危漏洞、恶意软件及网站攻击,需加强关注;本周内出现的安全漏洞以FreeRDP URBDRC客户端越界读取漏洞危害程度较大;内部安全运营中心共发现恶意攻击来源IP8379条,主要涉及命令注入、组件攻击等类型。
01.
重点数据泄露事件
叙利亚国防部数据泄露
泄露时间:2026-01-14
泄露内容:攻击者声称获取了叙利亚国防部的数据,共1014行记录,包括名字、姓氏、父亲名字、母亲名字、身份证号、年龄、出生地、出生日期、国籍、性别、兵役状态、征兵部门、征兵号等信息。
泄露数据量:未涉及
关联行业:政府
地区:叙利亚
巴西市政税务数据库泄露
泄露时间:2026-01-14
泄露内容:攻击者声称获取了巴西市政税务数据库,数据来自米纳斯吉拉斯州各城市使用的ISSWeb系统,泄露的信息包括纳税人记录、NFSe发票、申报单、访问日志、缴费指南等。
泄露数据量:未涉及
关联行业:政府
地区:巴西
韩国医院患者及系统记录泄露
泄露时间:2025-01-14
泄露内容:攻击者发布了韩国医院modhospital.kr系统超过150万条记录,其中包括患者数据、员工信息、设备日志和内部基础设施信息。
泄露数据量:150万
关联行业:医疗
地区:韩国
Instagram大规模用户数据泄露
泄露时间:2026-01-12
泄露内容:据报道约1750万个Instagram用户账户遭入侵,导致敏感个人信息外泄,目前这些数据正在暗网流通。该事件对用户隐私与账户安全构成严峻威胁。此次泄露涵盖大量个人敏感信息,包括用户名、电子邮箱、电话号码及物理地址。
泄露数据量:1750万
关联行业:社交媒体
地区:美国
乌兹别克斯坦网络安全与机密信息研究所数据泄露
泄露时间:2026-01-13
泄露内容:攻击者声称获取了乌兹别克斯坦网络安全与机密信息研究所的1万条学生数据,包括名字、姓氏、父姓、身份证号。
泄露数据量:1万
关联行业:IT
地区:乌兹别克斯坦
02.
热点资讯
人工智能代理为安全监测埋下隐患
人工智能代理已迅速从实验性工具发展成为安全、工程、IT和运维等领域日常工作流程的核心组件,演变为嵌入关键流程的共享型、组织级代理。组织代理通常拥有远超个人用户的权限,使其能够跨越多个系统和工作流程。这打破了传统的访问控制模型,在传统的模型中,权限是在用户级别强制执行的。权限受限的用户可以通过代理间接触发操作或检索他们无权直接访问的数据。由于日志和审计跟踪会将活动归因于代理而非请求者,因此这种权限提升可能在缺乏清晰可见性、问责机制或策略执行的情况下发生。身份和访问管理(IAM)系统基于用户身份强制执行权限,但当操作由AI代理执行时,授权评估是基于代理的身份,而非请求者的身份,从而掩盖操作的发起者及其原因,进一步加剧了这个问题。使用代理后,安全团队失去了强制执行最小权限原则、检测滥用行为导致权限提升可以在不触发传统控制措施的情况下发生。
消息来源:
https://thehackernews.com/2026/01/ai-agents-are-becoming-privilege.html
Node.js严重漏洞可能导致服务器崩溃
Node.js发布了更新修复了一个严重的安全问题,该问题影响几乎所有生产环境中的Node.js应用程序,如果被成功利用,可能会引发拒绝服务攻击。其根本缺陷在于,当启用async_hooks时,如果用户代码中发生堆栈溢出,Node.js会返回错误提示代码而不是处理异常。Async_hooks是一个底层Node.jsAPI,允许开发者跟踪异步资源的生命周期。Node.js表示该问题会影响多个框架和应用程序性能监控工具,包括ReactServerComponents、Next.js、Datadog、NewRelic、Dynatrace、ElasticAPM和OpenTelemetry,原因是它们使用了AsyncLocalStorage,这是一个构建在async_hooks模块之上的组件,它允许在异步操作的整个生命周期内存储数据。此次修复措施能够检测堆栈溢出错误,并将其重新抛出给用户代码。
消息来源:
https://thehackernews.com/2026/01/critical-nodejs-vulnerability-can-cause.html
ServiceNow严重漏洞允许未经身份验证的用户冒充他人
ServiceNow披露了其ServiceNow人工智能平台的一个现已修复的严重安全漏洞的详细信息,该漏洞可能使未经身份验证的用户能够冒充其他用户并以该用户的身份执行任意操作。虽然没有证据表明该漏洞已被实际利用,但建议用户尽快应用相应的安全更新以降低潜在威胁。研究员在报告中指出,虚拟代理集成漏洞允许未经身份验证的攻击者仅使用电子邮件地址即可冒充任何ServiceNow用户,从而绕过多因素身份验证和单点登录保护。这是迄今为止发现的最严重的AI驱动型安全漏洞。利用这些漏洞,攻击者可以像任何用户一样远程操控特权代理工作流。
消息来源:
https://thehackernews.com/2026/01/servicenow-patches-critical-ai-platform.html
64%的第三方应用程序在没有正当理由的情况下访问敏感数据
对4700个领先网站的分析研究表明,64%的第三方应用程序在没有商业理由的情况下访问敏感数据,而2024年这一比例为51%。政府部门恶意活动从2%飙升至12.9%。这种治理缺口并非纸上谈兵。最近一项调查发现,24%的组织仅依赖Web应用防火墙 等通用安全工具,这使它们容易受到本研究中指出的特定第三方风险的影响。另有34%的组织仍在评估专用解决方案,这意味着尽管意识到了威胁,仍有58%的组织缺乏适当的防御措施。预算受限的机构正在供应链竞争中处于劣势。而拥有更完善预算管理的私营部门则正在稳定其运营环境。造成这种风险的一个关键因素是“营销足迹”。研究发现,营销和数字部门目前造成了43%的第三方风险敞口,而IT部门仅造成了19%。报告发现,47%运行在付费框架下的应用程序缺乏商业合理性。营销团队经常在这些敏感环境中部署转化工具,却没有意识到其后果。
消息来源:
https://thehackernews.com/2026/01/new-research-64-of-3rd-party.html
AWS CodeBuild配置错误使GitHub代码库面临攻击风险
Amazon WebServices CodeBuild的一个严重配置错误可能导致云服务提供商自己的GitHub存储库被完全接管,从而使每个AWS环境都面临风险。通过利用该漏洞,攻击者可以注入恶意代码,从而发起平台范围的入侵,这不仅可能影响无数依赖于SDK的应用程序,还可能影响控制台本身,从而威胁到每个AWS账户。该缺陷是持续集成管道中的一个弱点造成的,该弱点可能使未经身份验证的攻击者能够入侵构建环境,泄露GitHub管理员令牌等特权凭据,然后使用这些凭据将恶意更改推送到受感染的存储库,从而为供应链攻击创造途径。攻击者可以利用这种提升的访问权限,直接将代码推送到主分支,批准拉取请求,并窃取存储库的机密信息,最终为供应链攻击铺平道路。
消息来源:
https://thehackernews.com/2026/01/aws-codebuild-misconfiguration-exposed.html
03.
热点技术
网络窃取活动从在线结账页面窃取信用卡信息
网络安全研究人员发现了一项自2022年1月以来一直活跃的大规模网络窃取活动,该活动在一个现已受到制裁的主机提供商的可疑域名后被发现。经查涉事域名cdn-cookie[.]com托管了高度混淆的JavaScript有效载荷,例如“recorder.js”或“tab-gtm.js”,这些有效载荷被网上商店加载以方便信用卡信息窃取。具体来说它会检查文档对象模型树中名为wpadminbar的元素,该元素指向WordPress网站上的一个工具栏,该工具栏会在已登录的管理员或具有相应权限的用户访问网站时显示。如果存在wpadminbar元素,窃取程序将启动自毁程序并从网页中移除自身,每次网页的DOM被修改时,窃取程序都会尝试执行一次。窃取器还会检查是否选择了Stripe作为支付选项,如果选择了,则会在浏览器的localStorage中创建一个名为“wc_cart_hash”的元素,并将其值设置为“true”,以表明受害者的钱包已被成功窃取。如果缺少此标志,则窃取程序会生成一个虚假的Stripe付款表单,通过用户界面操纵替换合法表单,从而诱骗受害者输入他们的信用卡号、有效期和卡验证码号码。
消息来源:
https://thehackernews.com/2026/01/long-running-web-skimming-campaign.html
FortiSIEM的严重漏洞允许远程代码执行
Fortinet发布声明修复了影响FortiSIEM的一个严重安全漏洞,该漏洞可能允许未经身份验证的攻击者在易受攻击的实例上执行代码。问题在于FortiSIEM的phMonitor服务处理与向Elasticsearch记录安全事件相关的传入请求。这会调用一个带有用户控制参数的shell脚本,从而为通过curl注入参数的实现提供了条件,并在管理员用户的上下文中实现了对磁盘的任意文件写入。这种有限的文件写入权限可以被利用来完全控制系统,方法是利用curl参数注入向“/opt/charting/redishb.sh”写入反向shell,该文件由管理员用户写入,并且由设备通过具有root权限运行的cron作业每分钟执行一次。说明向该文件写入反向shell可以实现从管理员到root的权限提升,从而使攻击者能够不受限制地访问FortiSIEM设备。该攻击最关键之处在于phMonitor服务暴露了多个无需身份验证的命令处理程序。这使得攻击者只需获得7900端口的网络访问权限即可轻松调用这些函数。
消息来源:
https://thehackernews.com/2026/01/fortinet-fixes-critical-fortisiem-flaw.html
恶意Chrome扩展程序伪装成交易工具窃取MEXCAPI密钥
网络安全研究人员披露了一个恶意的谷歌Chrome扩展程序的详细信息,该扩展程序能够窃取与MEXC相关的API密钥,同时伪装成在该平台上自动交易的工具。根据Chrome网上应用商店的介绍,这款浏览器插件被描述为一个扩展程序。这样安装的扩展程序就能让攻击者控制从受感染浏览器访问的任何MEXC账户,从而执行交易、进行自动提款,甚至清空可通过该服务访问的钱包和余额。一旦用户访问MEXC的API管理页面,该扩展程序就会注入一个名为script.js的内容脚本,并在已通过身份验证的MEXC会话中开始运行。为了实现这一点,该扩展程序会检查当前URL是否包含字符串“/user/openapi”,该字符串指向API密钥管理页面。该脚本随后通过编程方式创建一个新的API密钥,并确保提现功能已启用。同时它会篡改页面用户界面,使用户误以为提现权限已被禁用。一旦生成访问密钥和私钥的过程完成,该脚本就会提取这两个值,并通过HTTPSPOST请求将它们发送到攻击者控制的硬编码Telegram机器人。这种威胁构成严重风险因为只要密钥有效且未被撤销,它就会一直处于活动状态,即使攻击者最终从Chrome浏览器中卸载了扩展程序,攻击者仍然可以不受限制地访问受害者的帐户。
消息来源:
https://thehackernews.com/2026/01/malicious-chrome-extension-steals-mexc.html
黑客利用c-aresDLL侧加载漏洞绕过安全防护并部署恶意软件
安全专家披露了一项活跃的恶意软件活动的细节,该活动利用与开源c-ares库相关的合法二进制文件中的DLL侧加载漏洞来绕过安全控制。攻击者通过将恶意libcares-2.dll与任何已签名的合法ahost.exe配对来执行其代码,从而实现规避。该攻击的关键在于将恶意版本的DLL文件放置在与存在漏洞的二进制文件相同的目录中,利用其易受搜索顺序劫持的特性,执行恶意DLL文件的内容而非合法的对应文件,从而赋予攻击者代码执行权限。此次攻击活动中使用的“ahost.exe”可执行文件由GitKraken签名,通常作为GitKraken桌面应用程序的一部分分发。研究显示该恶意软件以数十个名称分发,包括但不限于“RFQ_NO_04958_LG2049pdf.exe”、“PO-069709-MQ02959-Order-S103509.exe”和“FaturadaDHL.exe”,这表明该恶意软件使用发票和询价单(RFQ)的伪装来诱骗用户打开它。这种攻击通常始于一封钓鱼邮件,这封邮件通常包含一个伪装成Facebook登录链接的超链接。受害者一旦点击短链接,就会被重定向到一个伪造的MetaCAPTCHA验证码页面,该页面会诱导受害者登录其Facebook帐户。登录后会触发一个弹出窗口,该窗口利用BitB方法显示一个虚假的登录页面,旨在窃取受害者的登录凭证。
消息来源:
https://thehackernews.com/2026/01/hackers-exploit-c-ares-dll-side-loading.html
PLUGGYAPE恶意软件利用Signal和WhatsApp进行攻击
安全研究人员披露了一种新型网络攻击的详细信息,这些攻击使用了名为PLUGGYAPE的恶意软件。传播恶意软件的攻击链利用即时通讯软件Signal和WhatsApp作为传播媒介,攻击者伪装成慈善组织,诱骗目标点击看似无害的链接harthulp-ua[.]com或solidarity-help[.]org,冒充基金会并下载受密码保护的存档。这些压缩包中包含一个使用PyInstaller创建的可执行文件,最终导致了PLUGGYAPE的部署。据分析,该后门程序的后续版本增加了混淆和反分析检查,以防止这些文件在虚拟环境中执行。PLUGGYAPE是一款用Python编写的程序,它通过WebSocket或消息队列遥测传输与远程服务器建立通信,使操作者能够在受感染的主机上执行任意代码。对MQTT协议通信的支持于2025年12月添加。该恶意软件并非直接将域名硬编码到恶意软件中,而是从rentry[.]co和pastebin[.]com等外部粘贴服务中获取命令与控制服务器地址,并以base64编码形式存储。这使得攻击者能够维持运行的安全性和弹性,即使原始基础设施被检测到并摧毁也能实时更新C2服务器。
消息来源:
https://thehackernews.com/2026/01/pluggyape-malware-uses-signal-and.html
04.
热点漏洞
SumatraPDF不受信搜索路径漏洞(CVE-2026-23512)
SumatraPDF是一款适用于Windows系统的多格式文档阅读器。SumatraPDF ≤3.5.2版本在触发 “高级选项” 设置时存在不受信搜索路径漏洞,应用程序调用notepad.exe时未指定绝对路径。在Windows系统下,攻击者可利用该漏洞在应用安装目录放置恶意notepad.exe文件,从而造成用户打开高级选项时执行任意恶意代码的后果。
影响版本:
SumatraPDF ≤ 3.5.2
FreeRDP URBDRC客户端越界读取漏洞(CVE-2026-22859)
FreeRDP是远程桌面协议(RDP)的免费开源实现,支持跨平台的远程桌面连接与控制功能。FreeRDP <3.20.1版本中存在越界读取漏洞,该漏洞源于URBDRC客户端未校验服务器提供的MSUSB_INTERFACE_DESCRIPTOR值边界,在libusb_udev_complete_msconfig_setup函数中将其作为索引使用。攻击者可利用该漏洞构造恶意服务器数据,从而造成内存越界读取的后果。
影响版本:
FreeRDP<3.20.1
Modular DS权限分配错误导致权限提升漏洞(CVE-2026-23550)
Modular DS是一款模块化数据服务类产品。Modular DS在2.5.1及之前版本中存在权限分配错误漏洞,该漏洞源于系统对用户角色与操作权限的映射配置存在缺陷,未严格遵循最小权限原则分配权限,导致低权限用户可获得超出其角色范围的操作权限。攻击者可利用该漏洞越权执行高权限操作,从而造成敏感数据泄露、系统配置被篡改的后果。
影响版本:
Modular DS<=2.5.1
Shopwar权限绕过漏洞(CVE-2026-23497)
Shopware是一款开源的电商平台,为企业提供全渠道的电子商务解决方案,涵盖商品管理、订单处理、客户运营等核心功能。Shopware中存在权限绕过漏洞,该漏洞源于CVE-2023-2017漏洞修复的回退问题,map (…) 覆写功能未校验数组和特制的PHP Closure是否在允许列表内。攻击者可利用该漏洞绕过权限校验执行未授权操作,从而造成平台数据被篡改、敏感信息泄露的后果。
影响版本:
6.7.0.0<=Shopware<6.7.6.1
Rocket.Chat敏感信息泄露漏洞(CVE-2026-23477)
Rocket.Chat是一款开源、安全且可高度定制的企业级通信协作平台,支持团队聊天、文件共享、视频会议等多种功能。Rocket.Chat ≤6.12.0版本中的GET /api/v1/oauth-apps.get接口存在权限校验缺失漏洞,该接口可被任意已认证用户访问,且无需匹配对应角色或权限,只要用户知晓OAuth应用ID即可获取包含client_id、client_secret在内的敏感字段。攻击者可利用该漏洞查询OAuth应用的敏感配置信息,从而造成OAuth应用凭证泄露、第三方授权服务被非法调用的后果。
影响版本:
Rocket.Chat ≤ 6.12.0
05.
攻击情报
本周部分重点攻击来源及攻击参数如下表所示,建议将以下IP加入安全设备进行持续跟踪监控。
请注意:以上均为监测到的情报数据,盛邦安全不做真实性判断与检测
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:盛邦安全应急响应中心 《烽火狼烟丨暗网数据及攻击威胁情报分析周报(01/12-01/16)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论