安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全研究人员披露，一个此前未被记录的网络攻击组织自至少2025年8月以来，持续针对乌克兰及相关实体开展攻击。该组织主要在俄罗斯时区活动，使用俄语，其活动与俄乌战争背景下针对乌克兰的情报收集有关。受害组织涵盖军事、政府、民间和商业机构。已披露信息显示，该组织使用鱼叉式钓鱼邮件、虚假验证码页面和欺诈性成人俱乐部网站传播恶意软件，并使用自行开发的混淆器、加载器和恶意软件。研究人员还发现，攻击者依赖生成式人工智能和大型语言模型增强攻击能力。报告对该组织与更广泛网络犯罪生态系统存在联系持中等把握，但其与俄罗斯政府之间的确切关系尚不清楚。

安全研究人员发现，一个恶意开发包伪装成面向巴西合作金融系统的C#开发工具包，用于窃取客户端ID和PFX证书。已披露信息显示，相关包的2.0.0至2.0.4版本包含敏感信息窃取功能，当开发者使用客户端ID、PFX文件路径和PFX密码实例化客户端时，该软件包会读取磁盘上的PFX文件，对其内容进行Base64编码，并将客户端ID、PFX密码和编码后的PFX数据发送至硬编码第三方端点。报告还指出，该软件包可通过独立路径捕获支付接口的原始响应，可能暴露交易详情、支付状态、金额、到期日、标识符以及付款人或收款人数据。该软件包估计下载近500次，披露后已被下线。

官方通报称荷兰当局捣毁了一个控制数百万台受感染设备的僵尸网络，相关设备包括计算机、平板电脑、智能手机和物联网设备，并被用于实施恶意活动。已披露信息显示，该僵尸网络至少包含1700万台受感染设备，位于荷兰的200多台服务器充当后端基础设施。警方从一家提供相关基础设施的托管服务商处查获部分服务器，该服务商在僵尸网络被用于犯罪活动后已将其下线。当地媒体称，涉事基础设施与住宅代理服务有关。官方表示，攻击者获得设备访问权限后，可安装恶意软件并远程控制设备，使其成为网络犯罪活动的一部分。

研究人员披露，影响某远程访问门户和网关组件的认证绕过漏洞CVE-2026-0257正在被有限利用。该漏洞CVSS评分为7.8，攻击者可在特定配置条件下绕过安全限制并建立未经授权的VPN连接。已披露信息显示，受影响场景涉及启用身份验证覆盖cookie，并存在特定证书配置的门户或网关。安全研究人员称，最早观察到的成功利用可追溯至2026年5月17日，随后在5月21日出现第二波活动，评估认为两波活动来自同一网络攻击组织。第二波活动中，攻击者在两起案例中通过cookie身份验证分配VPN IP地址，从而访问内部网络；在已建立VPN会话的客户环境中，未发现后续活动。

一个身份背景不明的网络攻击组织正恶意利用大型语言模型代理，通过近期披露的漏洞攻击公开访问的网络环境后，获得初始访问权限并执行入侵后操作。CVE-2026-39987为Marimo预认证远程代码执行漏洞，影响0.20.4及更早版本，允许未经身份验证的攻击者执行任意系统命令，问题已在0.23.0版本中修复。已披露信息显示，攻击者从被入侵主机中提取两个云凭证，并使用相关访问密钥调用云端密钥管理服务获取SSH私钥。随后，攻击者使用该私钥访问下游SSH堡垒服务器，并在短时间内发起多个SSH会话，窃取内部数据库的模式和内容。报告称，整个端到端攻击链持续了一个多小时。

美国Charter电信服务商在4月初遭入侵后，有490万个账户的个人信息被窃取。该公司确认事件真实，并表示攻击者未窃取敏感个人信息或客户专有网络信息。网络攻击组织ShinyHunters声称，其通过语音网络钓鱼攻击导致一名员工的云身份账户被盗用，并利用该访问权限从销售工具实例中窃取记录。相关公司否认客户专有网络信息被盗，称只有用于管理当前、过去和潜在企业客户的销售工具受到影响。后续泄露数据分析显示，受影响账户包含姓名、电子邮件地址、职位、电话号码和实际地址，其中约8.5万条来自内部员工名录的记录还包含职位名称。攻击者声称的数据规模与公司说法存在差异。