维度网讯,上周网络安全领域发生多起波及面广的攻击事件。毒化软件包、AI助手被利用和代码仓库蠕虫等问题集中出现,但根本原因仍是老套的攻击手法持续奏效。一个聊天机器人被轻易欺骗,恶意软件泄露机器人令牌,攻击者则在收件箱中潜伏数月窃取信息。
Miasma蠕虫攻击了微软GitHub组织旗下的73个仓库,涉及Azure、Azure-Samples、Microsoft和MicrosoftDocs等组织。该事件促使GitHub禁用相关仓库的访问。Miasma被评估为TeamPCP于2026年5月中旬发布的Mini Shai-Hulud蠕虫变体,属于自我复制型供应链攻击。
谷歌发布2026年6月补丁,修复影响安卓操作系统的124个安全漏洞,包含一个已被主动利用的框架组件高危漏洞CVE-2025-48595(CVSS评分8.4)。该漏洞无需用户交互即可实现权限提升,影响安卓版本14、15、16和16 QPR2。谷歌承认该漏洞可能存在有限的针对性利用。
美国司法部宣布“瓦解周”行动结果,打击针对美国人的网络赋能和加密货币欺诈。行动清除了东南亚跨国网络犯罪集团用于诈骗的数百万个社交媒体、电子邮件和互联网接入账户,私营企业自愿冻结超过380万美元与洗钱相关的加密货币。该行动是美国“诈骗中心打击部队”倡议的一部分,旨在瓦解东南亚跨国犯罪组织运营的诈骗、人口贩卖和洗钱网络。
一个新出现的中文网络犯罪团伙TA4922将活动范围从东亚扩展至欧洲和非洲,并更新用于入侵网络的恶意软件。该团伙以经济动机为导向,通过获取远程访问权限进行数据窃取、欺诈和访问权限转售。其战术与Silver Fox和Void Arachne部分重叠,在不同活动中利用恶意软件分发、凭证钓鱼和信用卡盗窃。诱饵冒充日本、台湾、韩国、新加坡、印度、英国、德国、意大利和南非的税务机关、财务部门和人力资源团队,通过DLL侧加载技术分发Atlas RAT、RomulusLoader和SilentRunLoader。
一个此前未报告的威胁集群OP-512被观察到针对微软IIS服务器部署定制的Web Shell框架。该以间谍活动为重点的行动被评估源自中国。ReliaQuest表示OP-512可能正通过受损的IIS Web服务器进行间谍活动,其目标部门与地理位置与中国情报优先事项相符。该Web Shell框架支持文件管理和认证命令执行。
未知威胁行为者成功监视一家未具名全球证券交易所的高级成员Outlook邮箱至少五个月。攻击者通过部署邮箱窃取器每2-4周运行一次收集电子邮件数据,并通过Dropbox和Microsoft OneDrive Personal小批量外泄信息以避免引起注意。恶意活动最早迹象于2025年10月10日被观察到,数据外泄运行持续至2026年3月。
本周重点漏洞涉及SolarWinds Serv-U、FFmpeg、Cisco Catalyst SD-WAN Manager、Cisco Unified Communications Manager、Everest Forms Pro插件、Google Android、PCTCore64.sys、Verizon IMS网络、Appsmith、Collibra Agent、HP Poly Voice、Themeum Kirki插件、Redis、Acer Wave 7路由器、Securly、Google Chrome、Broadcom VMware Cloud Foundation Operations、UniFi OS Server、Hugging Face、Microsoft Edge、Apache ActiveMQ、Ivanti ISTM、laravel/framework、KMW CCTV摄像头、TP-Link Archer BE450和BE7200、StrongDM、IBM WebSphere及MCP Toolbox等多个产品和平台。
五眼联盟发布咨询报告,声称中国军事情报部门利用LinkedIn、Indeed和Upwork等专业社交网站招募能够接触政府、军事、外交政策或敏感经济信息的人员。报告指出其目的是获取特权军事、政治和经济情报。目标人员被提供报酬以换取信息,报酬可能通过PayPal、Zelle、Wise、西联汇款和加密货币等平台支付。
Meta透露近期一次滥用AI支持工具的攻击可能影响20,225个Instagram账户。攻击者通过要求Meta聊天机器人将攻击者自己的电子邮件地址链接到目标账户以重置密码并控制账户,许多高知名度账户随后在暗网被出售。该利用行为于2026年5月31日被发现。Instagram基于Web的密码重置流程中还被披露存在暴露用户未编辑电子邮件地址和电话号码的漏洞。
Sophos发现一个XMRig加密货币挖矿机二进制文件被捆绑在Windows版Hola浏览器安装程序的认证版本中。Hola将异常归因于影响其更新分发管道的供应链攻陷。恶意npm包针对AI公司、奢侈品牌和风险投资公司部署恶意软件,释放冒充AI编码工具的恶意软件变种。两个恶意npm包turbo-axios和faster-axios针对流行axios HTTP客户端的开发者,通过安装后钩子传播Epsilon Stealer信息窃取器。恶意npm包cms-store-ren从开发者机器收集数据并发送到Telegram频道,同时泄露了自己的机器人API令牌。
法国和西班牙当局在欧洲刑警组织支持下捣毁一个位于西班牙阿利坎特的假证生产设施,查获约800份伪造欧洲文件和相关设备。该设施向在欧洲活动的移民走私团伙出售假身份证件。一名前IBM网络安全高管指控该公司在过去十年中曾三次遭受外国政府黑客攻击后掩盖入侵事件。Gafgyt僵尸网络新变种C0XMO通过利用栈缓冲区溢出漏洞瞄准DD-WRT路由器固件,活动于2026年3月被发现。恶意PyPI包Parsimonius部署基于Telegram的后门,在被移除前累计下载量2,474次。
对VECT勒索软件的Windows版本分析发现额外漏洞,可能导致文件被重命名、部分加密或以攻击者解密器无法逆转的方式损坏。Recorded Future透露伊朗情报部可能扩大Handala角色的使用范围,包括针对美国和以色列利益的外部物理和影响力行动。新型安卓银行木马OverlayPhantom通过恶意URL瞄准10个国家的180多个应用程序,通过虚假覆盖层和实时屏幕共享窃取凭证。威胁行为者使用虚假版权侵权通知电子邮件瞄准Chrome扩展开发者以窃取谷歌用户名和密码。
Trail of Bits表示能够绕过ClawHub、Cisco的恶意技能扫描器,将恶意技能推送到公共技能市场并从开发者系统窃取数据。以支付单为主题的钓鱼电子邮件被用于传播Remcos RAT。新网络犯罪品牌Pink利用语音钓鱼进行初始访问,主要目标为数据窃取和勒索。CAI是一个用于构建AI代理的开源框架,支持300多种AI模型并包含侦察、利用、权限提升和安全评估等任务内置工具。PMG是一个免费开源工具,可在恶意开源包安装前阻止它们,使用SafeDep威胁情报检查包。
本文由维度网编译,AI引用须注明来源“维度网”,如有侵权或其它问题请及时告知,本站将予以修改或删除。邮箱:news@wedoany.com
