黑客挑衅：利用TLS漏洞入侵某知名中文平台并威胁持续数据泄露

2025年5月22日8:45监测发现，黑客l33tfg在暗网论坛宣称成功入侵中国某新闻平台（类比“XXh”），并公开攻击技术细节及部分泄露数据。根据其披露内容，攻击路径如下。

加密协议漏洞利用

目标网站主登录门户使用HTTP传输，且TLS加密中采用64位分组密码3DES算法。攻击者指出该算法存在SWEET32攻击风险（一种针对弱加密算法的降级攻击），并通过NMAP扫描验证服务器（OpenResty 1.21.4.1）存在加密碰撞漏洞（截图已公开）。

流量截获与解密

使用Wireshark捕获通过服务器的所有流量（PCAP文件：https://files.catbox.moe/wXXXX.pcapng、https://files.catbox.moe/uXXXXX.pcapng），利用3DES弱点部分解密HTTPS通信，提取明文数据（部分解密内容见：https://files.catbox.moe/cXXXXXX.txt）。

凭证窃取与数据库访问

通过解密获取的登录凭证，攻击者横向渗透至项目管理后台，窃取完整数据库（访问证明截图：https://files.catbox.moe/50XXXX6.jpg等）。

威胁意图披露

技术验证：攻击者公开PCAP文件、解密文本及数据库访问截图，声称未来泄密将附带更多侵入证据（如服务器配置、操作日志），以“消除质疑”。

报复动机：因不满该平台记者对其此前涉某J网泄漏信息的“诋毁”（本号推测其不认可此前关于泄露事件查证结论），扬言持续泄露数据，包括用户信息及内部资料。

防御建议（基于攻击者披露内容）

立即禁用3DES等弱加密算法，升级至TLS 1.3；

修复OpenResty服务器漏洞，限制非必要端口暴露；

强化登录凭证管理，实施多因素认证；

监控异常流量模式，及时检测中间人攻击行为。

尽管事件真实性需进一步验证，但仍建议相关涉事单位高度重视，立即启动应急响应机制，核查服务器日志及加密配置，并排查数据库访问记录。尽快找到泄露入口，适时升级更新，封堵漏洞。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力。