安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全研究人员披露，一项至少自2月以来持续的攻击活动通过USB驱动器上的LNK快捷方式文件传播自我复制型剪贴板窃取恶意软件，并利用Tor网络隐藏通信。已披露信息显示，感染始于受害者打开U盘中的LNK文件，触发本地恶意软件执行，其他载荷则来自.onion地址。恶意软件会扫描系统文档文件，隐藏原始文件，并以同名恶意快捷方式替换，使用户尝试打开文档时触发恶意程序。该蠕虫还会创建计划任务，监控新连接的USB存储设备，并在可移动驱动器连接时复制自身。其窃取组件会监控剪贴板中的助记词、私钥和多种加密货币钱包地址，并将地址替换为攻击者控制地址。

国际执法机构清理了近15000个感染SocGholish恶意软件的WordPress网站，并关闭100多台与SocGholish僵尸网络和Evil Corp相关的服务器。已披露信息显示，此次行动由欧洲刑警组织和欧洲司法组织支持，是“终局行动”的一部分，目标是破坏与Evil Corp有关的关键感染链。荷兰、加拿大、美国和德国执法部门从14971个受感染WordPress网站中清除SocGholish感染，并使106台服务器和域名下线。SocGholish也被称为FakeUpdates和GhoLoader，至少自2017年以来被用于劫持合法网站，诱导访问者下载伪装成浏览器更新的恶意载荷，并可用于部署Dridex、Doppelpaymer、Empire、Koadic、Chtonic和Azorult等恶意软件。

安全研究人员披露，Gentlemen勒索软件即服务正在开发和维护一套端点检测与响应拦截工具，用于帮助关联方规避攻击检测。已披露信息显示，该团伙最常用的定制工具被称为GentleKiller，至少存在8个变种，可伪装成卡巴斯基、Valorant、Javelin和WatchDog等合法安全产品。GentleKiller通过自带易受攻击驱动程序技术获取内核级权限，再终止安全工具进程。不同变种使用不同的易受攻击驱动程序，但共享相似字符串、代码混淆方式、进程终止逻辑和目标范围。该工具针对约48家安全厂商或产品相关的400多个进程，覆盖Microsoft、CrowdStrike、SentinelOne、Palo Alto、Sophos、Trend Micro、Bitdefender和Kaspersky等。

安全研究人员披露，WordPress插件Gravity SMTP中的未经身份验证信息泄露漏洞CVE-2026-4020正被攻击者利用。该插件在约10万个网站上启用，漏洞影响2.1.4及更早版本，并已在3月17日发布的2.1.5版本中修复。已披露信息显示，问题源于插件暴露的REST API端点，其permission_callback始终返回true，导致未经身份验证的GET请求可获得插件生成的完整JSON系统报告。暴露内容可能包括电子邮件集成API密钥、OAuth令牌、第三方邮件服务凭据、WordPress配置、插件与主题版本、服务器和PHP环境信息以及数据库配置细节。Wordfence称已拦截超过1700万次相关攻击尝试。

德克萨斯州公园和野生动物管理局披露，其许可证系统供应商发生数据泄露事件，导致超过300万人的个人信息暴露。已披露信息显示，德克萨斯州网络司令部发现此次入侵并启动调查。调查认为，社会安全号码、出生日期和信用卡等财务信息未受影响，但攻击者可能获取与3087721名狩猎和钓鱼许可证客户相关的驾驶执照信息、护照号码、电子邮件地址、电话号码和住宅地址。该机构表示，没有证据显示18岁以下客户涉及其中，也没有证据表明特定群体成为目标。受影响数据足以被用于钓鱼和社会工程攻击。

Microsoft确认，2026年6月Windows安全更新引入一个回收站显示问题，用户从回收站永久删除单个项目时，确认对话框会显示内部回收站文件名，而不是原始文件名。已披露信息显示，回收站本身仍会正确显示原始文件名，恢复项目时也会使用原始文件名。受影响版本包括Windows 11 26H1、25H2、24H2、23H2，Windows 10 22H2及多个LTSC/LTSB版本，以及Windows Server 2025、2022、2019、2016、2012 R2和2012。Microsoft表示正在开发修复程序，并将在未来Windows更新中推送。企业客户可联系业务支持部门获得临时解决方案。