暗网快讯-20250328

1. 黑客论坛兜售恶意Shellcode工具，威胁企业安全

2. 黑客论坛兜售“完全不可检测”加密服务，威胁企业安全

3. 巴基斯坦国家数据库遭重大数据泄露，4.5亿条信息被窃

4. 黑客论坛兜售意大利国家警察邮箱访问权限

5. 黑客组织宣称入侵伊拉克电子服务平台，窃取200GB敏感数据

6. 黑客论坛兜售新型企业邮箱扫描工具

8. 暗网兜售南非跨国企业高级访问权限 

9. 印尼电信运营商32GB客户数据遭泄露，暗网标价0.5比特币出售

10. 波多黎各驻美代表处系统权限遭暗网拍卖 黑客开价2500美元兜售管理员访问

2025年3月27日监测发现，黑客论坛用户“NightRaider”公开售卖一款恶意Shellcode执行工具，售价250美元。该工具具备高度隐蔽性和规避能力，支持自加载器和远程进程注入，可绕过AMSI/ETW等安全检测机制，并采用自定义API解析、内存混淆及反沙盒技术逃避分析。其加密载荷功能支持多来源获取Shellcode，环境密钥机制确保定向攻击。卖家声称2月限量出售加载器及源代码，后续改进计划未披露。此类工具可能被用于网络渗透、数据窃取等非法活动，对企业和机构构成严重威胁。安全专家建议加强终端防护，监控异常进程行为，并警惕论坛、暗网中的恶意软件交易。目前相关售卖信息已上报执法部门调查。

2025年3月27日，网络安全研究人员发现黑客论坛用户“Twixx”公开出售所谓“私人加密服务”，声称可帮助恶意软件绕过主流终端安全检测软件，包括Windows Defender、浏览器防护及SmartScreen等。该服务标价400美元，承诺提供长期规避能力，并附带EV证书以增强伪装合法性。卖家在帖子中宣称，该方案是打造“完全不可检测（FUD）”恶意软件的最经济高效方式，但未披露具体技术细节。此类服务可能被用于勒索软件、间谍软件等攻击活动，严重威胁企业及个人数据安全。专家建议加强终端防护，警惕异常证书及加密行为，并及时更新防病毒规则库。

2025年3月27日监测发现日，勒索软件组织Babuk宣称成功入侵巴基斯坦国家数据库和注册管理局（NADRA），窃取约4.5亿条敏感数据，文件总量达70GB。泄露信息涉及巴基斯坦军方及相关秘密机构，可能包含公民个人及国防相关数据。黑客通过加密通讯平台Session和Tox发布下载链接，并留下联系方式（[email protected]）进行后续勒索或交易。勒索者发布的两个下载链接显示，有三张图片和一个CSV文件，试图证明事件的真实性。此次事件再次凸显关键基础设施面临的网络威胁，尤其是国家级数据库的安全防护挑战。专家建议受影响机构立即启动应急响应，排查数据泄露范围，并加强网络监控与访问控制。

2025年3月26日，黑客论坛用户"empathy"公开出售意大利国家警察（poliziadistato.it）电子邮件系统的未授权访问权限。该帖发布于数据泄露论坛BreachForums，但未披露具体涉及账户数量、获取方式及要价等细节。意大利国家警察作为该国重要执法机构，其邮箱系统可能包含敏感执法信息和行动数据。目前意大利官方尚未就此事发表声明。网络安全专家指出，此类政府邮箱泄露可能危及刑事调查、证人保护等核心执法工作，建议：立即重置所有执法邮箱凭证；核查近期邮件往来异常活动；加强多因素认证防护。

2025年3月27日监测发现，勒索软件组织BABUK声称成功入侵伊拉克半官方电子服务平台Aman Iraq（aman-iraq.com），窃取约200GB敏感数据。据其声明，泄露数据包括用户全名、出生日期、电话号码、电子邮件、身份证件、驾照、车辆信息等，文件类型涵盖CSV、PDF、图片等多种格式。该平台主要提供保险、金融、法律咨询等综合服务。黑客通过加密通讯工具Session公布联系方式（[email protected]），并威胁将在未获联系的情况下公开全部数据。目前，Aman Iraq官方尚未对此事作出回应。网络安全专家建议受影响用户：1️⃣ 立即修改相关账户密码；2️⃣ 警惕可能出现的钓鱼攻击和身份盗用；3️⃣ 关注平台官方通知以获取进一步指引。

2025年3月27日监测发现，黑客论坛用户“CyberPaladin”公开兜售名为“Cyber Mail Checker”的恶意邮箱扫描工具，宣称可针对企业及个人邮箱（支持IMAP/POP3/HOTMAIL协议）进行自动化攻击。该工具需通过Socks5代理或Hotmail HTTP运行，功能包括暴力破解主机端口、扫描子域名及SRV记录、按日期/发件人检索邮件、下载HTML格式邮件内容，并具备收件箱验证功能以规避检测，其宣称扫描速度可达8000次/分钟（普通邮箱）和1000次/分钟（企业邮箱）。开发者提供1.2.1版本更新，新增多密码检测模式及Hotmail/Outlook域名全覆盖功能，同时附赠源代码以支持二次开发，通过Telegram账号@sup_privatecloud以100-200美元价格出售。网络安全专家警告，此类工具可能被用于商业间谍攻击或凭证窃取等非法目的，建议企业立即强化邮箱登录多因素认证、限制IMAP/POP3协议开放范围，并持续监控异常登录行为。

7、暗网论坛出现Kubernetes Ingress NGINX高危漏洞的相关交易

2025年3月28日监测发现，据暗网论坛3月27日XSS.is披露，威胁行为者"no1"公开叫卖Kubernetes Ingress NGINX Controller的漏洞利用链，涉及CVE-2025-24513、CVE-2025-24514等五个漏洞。该漏洞组合被命名为"IngressNightmare"，可使攻击者在无需权限提升的情况下实现远程代码执行(RCE)并获取Kubernetes集群敏感数据。论坛信息显示，攻击者已发布部分概念验证代码（PoC），但承认当前版本不完整，需配合特定清单配置才能生效。根据Wiz Research此前研究，这些漏洞确实存在集群级安全风险。目前尚未监测到大规模利用活动，但漏洞细节的公开增加了企业云环境的暴露风险。建议使用Ingress NGINX的企业密切关注官方补丁进展，并加强集群访问控制。

2025年3月28日监测发现，暗网论坛Exploit.in上3月27日披露，威胁行为者"personX"正在出售南非某大型跨国企业的未授权访问权限。根据论坛帖子内容，该访问权限包含：通过双重认证(2FA)的VPN接入、10台vCenter服务器的管理员权限、vCenter的SSH访问通道以及多个域用户账户。此次泄露的访问权限级别极高，特别是vCenter管理员权限可能危及企业整个虚拟化基础设施。虽然具体企业名称未被披露，但攻击者强调目标为"大型跨国公司"，暗示可能涉及关键基础设施领域。目前尚不清楚该访问权限是通过漏洞利用还是内部渗透获取。企业安全团队应紧急核查vCenter日志，监测异常管理活动，并重新评估VPN和域账户的访问控制策略。

2025年3月28日监测发现，暗网论坛BreachForums披露（2025年3月27日），印尼占碑省电信服务商PT. Batanghari Baik Net的32GB数据库正在被出售。泄露数据包含：10万+客户个人信息（姓名、身份证号、住址、订阅详情）、技术报告（光纤信号强度、MikroTik设备日志）、内部法律文件及70个电视频道运营数据。卖家"sentap"声称数据从bbn.net.id窃取，包含通信部注册文件等敏感内容，要价0.5比特币（约合2.3万美元）。该运营商主要提供光纤宽带和有线电视服务，此次泄露可能影响Villa Kenali等地区客户。专家指出，泄露的Rx Power等技术参数可能被用于网络攻击。印尼通信部已介入调查，建议受影响用户警惕钓鱼诈骗。

2025年3月28日监测发现，暗网论坛Exploit.in披露（2025年3月27日），威胁行为者"K3MP3R"正在拍卖美国波多黎各代表处住房管理部门的RDWeb（远程桌面Web访问）权限。根据拍卖信息，该权限包含：本地/架构管理员权限（Windows 19系统）；涉及1710台主机的控制能力；使用赛门铁克杀毒软件的环境。卖家采用竞价模式出售，起拍价2000美元（每次加价250美元），限时一口价2500美元。目标机构年收入达6400万美元，但具体系统入侵途径尚未披露。专家警告，此类政府关联机构的权限泄露可能被用于外交间谍活动或数据窃取。建议相关单位立即核查远程访问日志，重置所有凭证。

原文始发于微信公众号（网空闲话plus）：暗网快讯-20250328