一、APT与国家级威胁
APT组织部署新型TencShell恶意软件攻击全球制造商
TencShell是一种持久化后门工具,能够在受害系统中长期驻留并执行远程命令。攻击者通过鱼叉式钓鱼邮件和供应链攻击渗透目标网络。受害制造商遍布多个国家和行业,包括半导体、汽车和航空航天领域。
Ghostwriter组织恢复对乌克兰政府目标的攻击
APT组织Ghostwriter已恢复对乌克兰政府目标的网络攻击。该组织在经历了一段沉寂期后重新活跃,使用更新的攻击工具和技术针对乌克兰政府机构和军事单位发起网络间谍活动。Ghostwriter的攻击手法包括钓鱼邮件、凭据窃取和恶意文档投递。乌克兰计算机应急响应小组(CERT-UA)已发布相关警告,敦促政府机构加强安全防护。
Mustang Panda利用更新版FDMTP后门发动亚太间谍活动
APT组织Mustang Panda被发现使用更新版FDMTP后门在亚太地区发动间谍活动。新版FDMTP后门增强了通信加密和命令执行能力,使其更难被安全工具检测。Mustang Panda主要针对东南亚和南亚的政府机构、军事组织和外交部门。该组织的攻击活动与地缘政治紧张局势密切相关。安全研究人员正在追踪其基础设施和攻击指标。
黑客滥用Cloudflare发动马来西亚间谍活动
攻击者利用Cloudflare Workers部署恶意载荷,利用Cloudflare的信誉绕过安全过滤。这种将合法云服务武器化的手法使传统基于域名信誉的安全检测失效。攻击目标包括马来西亚政府部门和关键基础设施运营商。Cloudflare已采取措施封锁相关恶意部署。
二、漏洞预警
Microsoft Exchange Server零日漏洞遭活跃利用
Microsoft确认其本地部署Exchange Server存在一个被追踪为CVE-2026-42897的严重零日漏洞,且已被攻击者活跃利用。该漏洞允许未经认证的远程攻击者在受影响的服务器上执行任意代码。CISA已将该漏洞添加到已知被利用漏洞目录中,要求联邦机构在规定时限内完成修补。Microsoft在5月补丁星期二中发布了修复补丁,安全研究人员敦促所有使用本地Exchange的组织立即应用更新。这是Exchange Server近年来面临的又一重大安全威胁。
NGINX关键漏洞遭活跃利用
安全专家警告,NGINX中一个被追踪为CVE-2026-42945的关键漏洞正在被攻击者活跃利用。该漏洞是一个存在长达18年之久的缺陷,被命名为NGINX Rift,影响全球使用最广泛的Web服务器软件。攻击者可利用该漏洞绕过安全控制、获取敏感信息或执行恶意操作。由于NGINX承载着全球超过三分之一的Web流量,该漏洞的影响范围极其广泛。安全社区强烈建议所有NGINX用户立即升级到修复版本。
Linux内核Fragnesia漏洞允许本地用户获取Root权限
安全研究人员发现Linux内核中一个名为Fragnesia的新漏洞,允许本地用户提升权限至Root级别。该漏洞存在于Linux内核的网络碎片处理模块中,攻击者可通过特制的系统调用触发漏洞,绕过正常权限控制获取最高系统权限。该漏洞影响多个主流Linux发行版,包括Ubuntu、Debian和CentOS。Linux内核团队已发布修复补丁,各发行版也在积极推送更新。鉴于Linux在服务器和云计算环境中的广泛使用,该漏洞的潜在影响不容忽视。
Cisco Catalyst SD-WAN Controller关键漏洞遭攻击利用
攻击者正在积极利用Cisco Catalyst SD-WAN Controller中的关键漏洞(CVE-2026-20182),该漏洞允许未经认证的远程攻击者执行任意命令。Cisco已确认该零日漏洞正在被活跃利用,并发布了安全更新。SD-WAN是企业广域网架构的核心组件,一旦被攻陷,攻击者可获取对整个网络流量的控制权。Cisco敦促所有使用Catalyst SD-WAN的客户立即应用补丁。这是Cisco网络设备近期遭受的又一次严重安全威胁。
Pwn2Own Berlin 2026:三大AI产品被攻破 总奖金超129万美元
Pwn2Own Berlin 2026黑客大赛第三天,DEVCORE团队被加冕为Master of Pwn,本届大赛总奖金达到创纪录的129.8万美元。三天的比赛中,多个AI产品被成功攻破,包括AI助手和AI代理平台。Microsoft Exchange Server在第二天比赛中再次被攻陷。赛事结果显示,即使是最新一代AI安全产品也存在可被利用的漏洞,AI系统的安全性仍需大幅提升。大赛期间共发现20余个零日漏洞。
CISA将Microsoft Exchange Server漏洞添加至已知被利用漏洞目录
CISA将Microsoft Exchange Server中的一个漏洞添加到其已知被利用漏洞(KEV)目录中。该漏洞已在野外被攻击者活跃利用,CISA要求联邦民用机构在规定期限内完成修补。CISA持续更新KEV目录,为各组织提供优先修补指导。安全专家建议所有使用本地Exchange Server的组织,不仅仅是联邦机构,都应关注该目录并及时修补被列入的漏洞。
Chaotic Eclipse披露MiniPlasma零日漏洞 暗示2024补丁不完整
安全研究团队Chaotic Eclipse披露了一个影响Plasma桌面环境的MiniPlasma零日漏洞,暗示2024年的相关安全补丁可能不完整。该漏洞允许本地攻击者通过特制的图形操作获取提升权限。研究人员发现,此前的修补只覆盖了部分攻击路径,留下了可被利用的缺口。该事件凸显了安全补丁质量审计的重要性,以及独立安全研究在发现修补不完整问题中的关键作用。
三、AI安全
OpenClaw AI服务器遭Claw Chain关键漏洞威胁
安全研究人员发现OpenClaw AI代理平台中存在一系列被称为Claw Chain的关键漏洞,数千台运行OpenClaw的服务器面临风险。这些漏洞可被链接利用,允许攻击者从初始的低权限访问逐步提升至完全控制系统。漏洞链包括代理技能注入、记忆文件泄露和会话劫持等多个攻击面。OpenClaw作为快速增长的AI代理平台,已被大量企业和个人用户采用。研究人员已在公开披露前向OpenClaw团队报告了这些漏洞。
AI将漏洞利用窗口缩短至数小时
最新研究表明,前沿AI模型正在加速安全漏洞的发现和利用过程,将传统上需要数天或数周的漏洞利用开发周期缩短至数小时。AI可以自动分析漏洞公告、生成概念验证代码并测试利用效果。这意味着组织修补漏洞的时间窗口正在急剧缩小,传统的补丁管理周期(通常为30-90天)已无法应对AI加速的威胁。安全专家呼吁组织采用自动化补丁管理和实时威胁检测来应对这一趋势。
AI代理后门:你的安全工具栈看不见的威胁
安全研究人员警告,AI代理系统中存在的后门威胁正在被传统安全工具所忽视。与传统的恶意软件不同,AI后门可以隐藏在看似正常的代理行为中,通过微妙的指令操纵来泄露数据或执行未授权操作。现有的安全监控工具无法有效检测这些嵌入在AI推理过程中的恶意行为。研究建议组织对AI代理实施严格的输入输出审计、行为基线监控和最小权限原则。
NCSC发布代理AI使用安全指南
英国国家网络安全中心(NCSC)发布了关于安全使用代理AI的指导文件。该指南强调了AI代理在自主执行任务时面临的独特安全挑战,包括提示注入攻击、权限滥用和数据泄露风险。NCSC建议组织在部署代理AI时采取防御深度策略,包括严格的访问控制、持续的行为监控和明确的人机协作边界。该指南与此前CISA和盟国发布的类似建议相呼应,形成国际共识。
英国央行、FCA和财政部联合警告前沿AI风险
英格兰银行、金融行为监管局(FCA)和英国财政部联合发布报告,对前沿AI模型在金融领域的风险发出警告。报告指出,AI模型在金融交易、风险评估和客户服务中的广泛应用带来了系统性风险,包括模型幻觉导致的错误决策、AI被用于金融欺诈以及模型同质化引发的市场共振效应。报告呼吁金融机构加强对AI模型的治理和压力测试。
AI语音克隆技术:威胁与挑战
AI语音克隆技术的快速发展正在带来严重的安全挑战。仅需要几秒钟的语音样本,AI就能生成逼真的人声克隆,被广泛用于社会工程攻击、身份欺诈和虚假信息传播。文章详细分析了AI语音克隆的技术原理、主要开发商以及该技术的滥用趋势。专家呼吁语音生物识别系统需要升级以应对AI克隆语音的威胁,同时建议组织实施多因素语音验证机制。
四、恶意软件与勒索软件
Reaper恶意软件使用伪造Microsoft域名窃取macOS密码
新型恶意软件Reaper利用伪造的Microsoft域名来窃取macOS用户的密码。该恶意软件通过钓鱼邮件传播,一旦安装,会创建模仿Microsoft登录界面的虚假提示,诱骗用户输入凭据。与传统的macOS恶意软件不同,Reaper具有高度混淆的代码和反检测能力,能够在较长一段时间内保持隐蔽。安全研究人员表示,针对macOS平台的攻击正在显著增加,macOS不再是免疫恶意软件的安全岛。
Gremlin Stealer进化为模块化威胁,具备高级规避能力
信息窃取恶意软件Gremlin Stealer已进化为模块化威胁平台,具备高级规避检测的能力。新版本的Gremlin Stealer采用插件架构,可以根据目标环境动态加载不同的功能模块,包括浏览器数据窃取、加密钱包劫持和键盘记录等。其规避技术包括反虚拟机检测、代码混淆和进程注入等。安全分析师认为,这种模块化趋势正在成为信息窃取恶意软件的发展方向。
Gentlemen勒索软件团伙遭遇内部泄露,运营细节曝光
Gentlemen勒索软件团伙自身遭遇内部泄露,其运营细节被曝光。泄露的信息包括团伙的内部通信、攻击目标列表、赎金谈判记录和成员身份线索。这一罕见的反转向研究人员提供了深入了解勒索软件团伙运作模式的机会。泄露显示Gentlemen团伙采用加盟模式运营,从多个附属组织获取初始访问权限。执法机构正在利用泄露信息追踪团伙成员。
Foxconn确认遭受网络攻击影响北美运营
全球最大电子代工制造商Foxconn确认遭受网络攻击,影响其北美部分运营。攻击导致多个生产设施的系统暂时中断,Foxconn正在评估受影响范围。此前Wired报道了Foxconn遭受勒索软件攻击的详细情况,指出攻击者利用未修补的VPN漏洞获取初始访问权限。作为苹果等科技巨头的主要供应商,Foxconn遭受攻击可能对全球电子产品供应链产生连锁影响。
West Pharmaceutical恢复运营,此前遭勒索软件攻击
制药巨头West Pharmaceutical Services开始恢复运营,此前该公司遭受了严重的勒索软件攻击导致系统大规模中断。攻击影响了公司的订单处理、生产调度和客户服务等关键业务系统。West Pharmaceutical是全球最大的注射药物包装组件供应商之一,其系统中断对医药供应链造成了显著影响。公司表示未支付赎金,而是通过备份系统恢复运营。
五、供应链安全
OpenAI遭遇供应链攻击,恶意TanStack包植入后门
OpenAI确认遭受供应链攻击,攻击者通过在npm包仓库中发布恶意的TanStack软件包植入后门代码。TanStack是流行的开源JavaScript工具库,被大量前端项目依赖。此次攻击利用了开发者对知名开源包的信任,在合法包名基础上发布带有细微差异的恶意版本。OpenAI表示其内部系统在恶意包被安装后不久即检测到异常行为并进行了隔离。该事件再次凸显了软件供应链安全的脆弱性,建议组织加强对第三方依赖的审查和自动化安全扫描。
六、数据泄露与网络钓鱼
Grafana Labs确认GitHub令牌泄露导致源码被盗
Grafana Labs确认黑客通过泄露的GitHub令牌获取了其代码库的访问权限,并下载了部分源代码。网络犯罪组织声称对此次攻击负责,并向Grafana提出赎金要求,但Grafana表示已拒绝支付赎金。攻击者获取的令牌来自一名前员工的GitHub账户,该账户的访问权限在员工离职后未被及时撤销。Grafana表示此次泄露不影响其云服务的客户数据安全。该事件凸显了离职员工权限管理和令牌轮换的重要性。
ShinyHunters黑客组织入侵7-11 加盟商数据泄露
知名黑客组织ShinyHunters声称入侵了7-11的系统,窃取了加盟商数据和Salesforce记录。泄露的数据包括加盟商的个人信息、财务数据以及通过Salesforce平台管理的客户交互记录。7-11已确认正在调查此次安全事件。ShinyHunters是活跃多年的网络犯罪组织,此前曾入侵多家大型企业。此次攻击再次表明,大型零售连锁企业的供应链和第三方平台可能成为攻击者的突破口。
亚马逊S3存储桶泄露日本酒店平台客人敏感数据
安全研究人员发现一个公开可访问的亚马逊S3存储桶,泄露了日本酒店平台Tabiplat入住客人的敏感个人信息。泄露的数据包括客人的姓名、联系方式、预订详情和支付信息。该存储桶因配置错误而设置为公开访问,任何人均可下载其中的数据。云存储错误配置导致的数据泄露事件屡见不鲜,该事件再次提醒组织必须加强对云资源访问控制的管理和审计。
iPhone被盗后遭黑客解锁:Telegram上售卖的廉价工具成帮凶
Wired调查发现,被盗iPhone的解锁已成为一条成熟的黑产链条。攻击者在Telegram上售卖廉价解锁工具,通过利用iOS的恢复模式和社交工程手段绕过激活锁和密码保护。一些工具售价仅几十美元,却能有效地将偷来的iPhone重置为可出售状态。该报道详细追踪了从手机被盗到最终被转售的全过程,揭示了设备安全与物理安全之间的脆弱环节。
七、执法行动与政策动态
INTERPOL大规模打击行动逮捕201名网络犯罪嫌疑人
国际刑警组织(INTERPOL)在中东和北非地区发起大规模打击网络犯罪行动,逮捕了201名涉嫌参与钓鱼和欺诈网络的嫌疑人。行动代号为Operation First Light,参与国家超过30个。执法部门查获了价值数百万美元的资产,包括加密货币、银行账户和房地产。此次行动重点打击了网络钓鱼、在线诈骗和电信欺诈等犯罪活动,展现了国际执法合作打击网络犯罪的决心。
荷兰警方张贴诈骗嫌疑人照片 74名嫌疑人落网
荷兰警方采取了一种创新的执法方式:在公共广告牌和社交媒体上张贴网络诈骗嫌疑人的照片,促使74名嫌疑人被捕。这些嫌疑人涉嫌参与多种在线诈骗活动,包括投资欺诈和恋爱诈骗。警方表示,公开曝光策略在威慑犯罪和获取公众线索方面取得了显著效果。这一做法引发了关于隐私权和执法效率之间平衡的讨论。
网络犯罪双胞胎因忘记关闭Microsoft Teams录音被捕
一对涉嫌网络犯罪的双胞胎兄弟因一个低级错误被捕:他们忘记关闭Microsoft Teams的会议录音功能,导致犯罪计划被完整记录。录音内容包括他们讨论攻击目标、分配任务和分享非法收益的对话。这些证据被检方用于起诉,兄弟二人面临多项网络犯罪指控。此案再次证明,即使技术高超的网络犯罪分子也可能因基本操作失误而暴露。
Google推出Android间谍软件取证工具面向高风险用户
Google推出了一款面向高风险Android用户的间谍软件取证工具。该工具可检测和移除Android设备上的间谍软件(包括商业监控软件),并生成取证报告帮助受害者了解被监控的细节。工具主要面向记者、人权活动家和其他可能成为政府监控目标的高风险群体。此前Apple也推出了类似的Lockdown Mode功能,Google此举填补了Android生态在反间谍软件方面的空白。
结语
本周全球网络安全态势依然严峻。APT组织的活跃度持续上升,关键基础设施成为主要攻击目标;漏洞披露数量保持高位,多个主流平台产品存在安全隐患;AI技术在网络攻击中的应用日益成熟,攻击自动化程度不断提升,传统的安全防御手段面临新的挑战。与此同时,供应链攻击和数据泄露事件依然高发,显示了数字生态系统中信任链条的脆弱性。建议各相关机构和企业持续关注最新威胁情报,加强漏洞管理和安全监测,及时更新防护策略,筑牢网络安全防线。
京公网安备 11010802033237号
