【暗网快讯】20250411期

1. 印度某银行CRM系统访问权限遭非法兜售

2. 主流邮箱及服务器管理账户遭批量兜售

3. 委内瑞拉国家警察数据库遭系统性泄露

4. 新型FUD加载器loader.c暗网流通

5. Gmail自动化骚扰工具源码暗网流通

6. 印度班加罗尔水务系统遭系统性入侵

7. 三菱汽车越南客户数据库遭泄露

8. 跨国多行业数据库遭系统性泄露

9. 自动化工具BazookaAIO v2.2遭泄露引安全担忧

10. 法国某报业公司遭Citrix系统非法访问兜售

2025年4月10日监测发现，威胁行为者"vebxpert"在暗网论坛breachforums.st公开出售印度某大型银行机构客户关系管理系统（CRM）的未授权访问权限。该银行年营收达7.2亿美元，员工规模超6000人，攻击者声称已掌握包括用户凭证（ID/密码）、20万+敏感文档在内的核心数据资产。技术分析显示三大风险特征：1）访问权限涉及CRM系统，可能泄露客户账户信息、交易记录及内部通讯文档；2）攻击者通过OpenWeb网络分销，存在二次转售风险；3）6000名员工的账号体系暴露，或成为鱼叉式钓鱼攻击跳板。鉴于印度银行业正推进数字卢比改革，此类漏洞可能冲击金融系统稳定性。

行业专家建议采取紧急措施：1）立即重置所有CRM系统凭证，启用硬件密钥多因素认证；2）部署用户行为分析（UEBA）系统监测异常数据访问模式；3）对20万文档开展数据指纹标记，追踪黑市流通情况；4）审查第三方服务商系统对接权限。监管机构应启动专项调查，提醒金融机构重点筛查".india banking"等论坛关键词的暗网监控情报。

2025年4月10日监测发现，威胁行为者"Dragon"在暗网论坛breachforums.st公开贩售Hotmail、Yahoo、AOL等服务的Webmail/SMTP账户权限，同步出售被黑cPanel控制面板及配备WHM的虚拟私有服务器（VPS）。该攻击者通过Telegram（@xDRAG00N）建立完整销售链条，并运营专属频道https://t.me/cloud_drag0n实施交易。技术分析揭示三重威胁：1）泄露的SMTP账户可大规模发送钓鱼邮件与垃圾信息，绕过常规反垃圾邮件检测；2）cPanel权限暴露可能导致网站代码篡改、数据库窃取等二次攻击；3）WHM级VPS控制权或成为DDoS攻击跳板。攻击者采用OpenWeb网络分销，支持中间人担保交易，显示专业化黑产运营特征。安全建议：1）相关邮箱用户立即启用多因素认证（MFA），更换账户密码；2）企业需审查服务器管理日志，核查异常cPanel登录IP及时间戳；3）部署邮件网关加强SMTP流量监控，阻断异常发信行为；4）建议执法机构溯源Telegram交易群组，追踪WHM漏洞利用链。呼吁重点关注"cloud_drag0n"等关联关键词的暗网活动。

2025年4月10日监测发现，威胁行为者"rootkik"在暗网论坛泄露委内瑞拉玻利瓦尔国家警察（PNB）99,666名警官完整档案，含身份证号、家庭住址、REDIP权限等19项敏感数据，并通过MediaFire提供下载。攻击者声称持续控制PNB系统，可篡改档案、降级警衔及伪造处分记录。此次泄露构成国家级安全危机：1）执法人员住址暴露加剧人身安全风险；2）REDIP凭证泄露可能危及执法通信网络；3）系统修改权限贩卖（需付费获取）存在政权干预隐患。数据涵盖全国所有警务单位，家庭住址字段完整度达100%，或引发线下针对性犯罪。应对建议：1）立即冻结PNB系统账户，启用生物识别多因素认证；2）部署暗网数据追踪系统，标记外泄文件指纹；3）协调国际刑警介入权限倒卖调查；4）为受影响警官提供紧急安全防护。

2025年4月10日监测发现，威胁行为者"mentalpositive"在暗网论坛xss.is出售完全免杀（FUD）的Windows加载器loader.c。该恶意工具采用C语言开发（80KB），支持Windows 7+及服务器系统，在VirusTotal检测率为0/60+，通过生成设备唯一指纹绕过杀软防护，并利用Tor托管PHP面板实现匿名控制。技术特征显示高风险性：1）双载荷投递模式（二进制/DLL直投+URL重定向）提升渗透成功率；2）内存驻留机制避免磁盘特征暴露；3）服务器兼容性扩大企业攻击面。测试证实其可解密执行勒索软件等第二阶段攻击，且无传统IoC残留。防御建议：1）部署内存行为监控系统，捕捉无文件攻击痕迹；2）启用网络层TLS流量解密，阻断恶意URL重定向；3）服务器环境实施应用白名单策略，限制未知DLL加载；4）更新终端防护至具备AI动态分析能力的版本。

2025年4月10日监测发现，威胁行为者"shadowscript"在暗网论坛以3000美元价格出售Gmail邮件提醒工具源代码。该工具可向单个邮箱发送三次提醒，通过Telegram机器人（@allsparkqube）反馈拒收状态，并支持"邮箱|电话"格式数据导入及末两位数字匹配验证。潜在威胁包括：1）伪装官方通知实施钓鱼攻击，结合电话号码进行精准社工；2）利用拒收监控筛选有效邮箱，提升垃圾邮件攻击效率；3）开源特性允许定制化绕过邮件防护规则。防御建议：1）企业启用邮件频率分析系统，阻断异常批量提醒行为；2）用户核查含电话号码的"系统通知"发件人真实性；3）安全团队监控Telegram机器人流量特征；4）法律机构追踪工具交易链条。建议将样本纳入威胁情报库，升级邮件安全网关过滤策略。

2025年4月10日，威胁行为者"pirates_gold"在暗网出售印度班加罗尔水务局（BWSSB）数据库root权限，涉及29.1万用户敏感信息，含住址、水务账户及审批文件（如"1/2英寸水管安装许可"）。样本数据暴露用户Madhu M的完整住址（#3 & 4, Medarahalli）及审批时间戳（2025-03-15 10:33:09），攻击者可实时篡改供水状态。三重风险凸显：1）篡改审批数据可能扰乱城市供水；2）"手机号+住址+文件编号"组合易被用于精准钓鱼；3）车辆信息泄露或引发线下犯罪。应对建议：1）立即隔离owc.bwssb.gov.in系统，审计3月以来的数据库操作日志；2）向用户推送安全警示，强化账户OTP验证；3）部署工控网络异常流量监测；4）联合国际组织追踪暗网权限交易。

2025年4月10日监测发现，威胁行为者"mr_jack311"在暗网出售三菱汽车越南客户数据，含姓名、车牌、VIN及维护记录（如样本中34C-33518车牌车辆的2025年4月9日未接通保养提醒）。泄露信息精准关联用户住址（如Hai Duong省地址）与车辆身份，可能引发：1）伪造维护通知的钓鱼攻击；2）VIN滥用导致的车辆克隆；3）企业客户（如VIET DAI公司）供应链欺诈。应对措施：1）企业立即审计4月9日后服务系统日志，重置客服账号（如hd.nganTT）；2）用户警惕含VIN的"官方"联系信息；3）部署VIN异常查询监控；4）越南CERT协同国际组织追踪Telegram渠道@ErosCloud_Support。建议三菱汽车启动客户预警机制，受影响用户启用账户双因素认证。

2025年4月10日监测发现，威胁行为者"rootsilence"在暗网批量出售俄、乌等国9个组织数据库，总量超118万条。关键泄露包括：1）俄罗斯westafricaroro公司2400条密码哈希；2）乌兹别克商会32万企业税号档案；3）俄汽车经销商6万条VIN数据；4）香水电商50万条支付记录。主要风险：1）哈希破解引发撞库攻击；2）税号（TIN）泄露助长金融诈骗；3）VIN暴露导致车辆克隆犯罪；4）支付信息泄露威胁用户财产安全。应对措施：1）涉事企业立即重置凭证，审计2024-2025年日志；2）商会通知企业核查税务记录；3）汽车业建立VIN泄露响应机制；4）俄乌CERT联合追踪"SilenceRoot"交易节点。建议受影响用户启用支付监控，警惕税务相关钓鱼邮件。

2025年4月11日监测发现，网络论坛DemonForums出现用户"Starip"发布的BazookaAIO v2.2工具泄露事件。该工具是由Blaschuko和Freeload开发的一款多功能自动化工具包，主要面向Discord代码截取和自动化操作爱好者。据悉，该工具具备代理抓取、实时聊天、Discord Nitro代码自动截取等多项功能，采用轻量级CLI界面设计。虽然开发者定位为实用工具，但安全专家警告，此类工具可能被滥用于非法网络活动，如未经授权的代理扫描、账号盗取等行为。目前尚未发现该工具被大规模用于攻击的案例，但网络安全机构建议企业加强对异常自动化流量的监测，防范可能的恶意滥用风险。

2025年4月10日监测发现，黑客论坛Breach Forums出现针对法国报业公司的网络攻击事件。用户"Usami"公开兜售某未具名法国报纸出版公司的Citrix系统访问权限，声称已控制包含3.3TB内部文件的系统。据发帖信息显示，受害公司年收入达7000万欧元，员工约300人。攻击者以300美元价格出售访问凭证，并附有系统目录截图。安全专家指出，此类初始访问可能涉及远程办公系统漏洞，攻击者可借此窃取敏感采编资料、财务数据，甚至植入勒索软件。此次事件再次暴露媒体行业数字资产保护短板。三个下载链接中显示了泄露文件的数量和目录。目前涉事公司尚未公开回应，建议相关企业立即核查Citrix系统日志，加强多因素认证机制，防范供应链攻击风险。

原文始发于微信公众号（网空闲话plus）：【暗网快讯】20250411期