安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员发现恶意Python软件包pyronut冒充热门的Telegram API框架pyrogram，针对Telegram bot开发者进行攻击。这是一种“恶意分支”行为，即对合法项目进行木马化复制，并极有可能通过社会工程学或社区推广进行传播。pyronut仅发布过三个版本且全部携带恶意代码。这些版本于2026年3月18日当天发布、被识别并被隔离。考虑到攻击窗口仅持续了几个小时，且攻击者必须主动触发载荷，其实际造成危害的可能性相对较低。

研究人员发现多起恶意攻击活动，其载荷涉及一种新型多阶段加载器SILENTCONNECT。攻击活动始于用户被诱导至一个伪装成“电子邀请函”的Cloudflare验证码页面，点击链接后，一个VBScript文件将被下载到本地。执行该脚本后，它会获取C#源代码，随后利用PowerShell在内存中对其进行编译并执行。这些攻击活动最终投递的载荷是ScreenConnect，这是一款常被攻击者用于控制受害者机器的远程监控与管理（RMM）工具。

Ubiquiti已修复其UniFi Network Application中的两个安全漏洞，其中包括一个可能允许攻击者接管用户账户的高危漏洞。CVE-2026-22557允许未经授权的攻击者利用路径遍历漏洞访问目标设备上的文件。这种攻击复杂度低，且无需用户交互，最终可能导致用户账户被劫持。第二个漏洞是一个经过身份验证的NoSQL注入漏洞，拥有网络访问权限的恶意行为者在通过身份验证后，可以利用此漏洞提升其权限等级。

Oracle发布了一项带外安全更新，以修复CVE-2026-21992（CVSS v3.1评分9.8）安全漏洞。该漏洞存在于Identity Manager和Web Services Manager中，可导致未经身份验证的远程代码执行。Oracle表示该漏洞的利用复杂度低，可通过HTTP进行远程利用，且无需身份验证或用户交互，这增加了暴露在公网上的服务器被攻击的风险。目前，Oracle尚未披露该漏洞是否已被利用。Oracle强烈建议客户尽快应用更新或缓解措施。

福斯特市报告称，周四凌晨发生了一起网络安全事件，目前正广泛影响全市服务。尽管该市未提供详细信息，但表示除紧急响应外，所有公共服务均已暂时关停。该市市长办公室正在推进宣布进入紧急状态，此举将允许该市从外部机构获取财政援助以应对此次攻击。此次事件可能导致公共信息被访问，但目前尚不确定具体情况。福斯特市的工作人员正与外部网络安全专家合作，努力恢复城市系统的完整性，并确保不会再有进一步的安全问题影响对社区的服务。

执法部门已成功取缔了由Aisuru、KimWolf、JackSkid和Mossad僵尸网络控制的指令与控制基础设施，这些网络此前被用于感染物联网设备。此次联合执法行动还针对了这4个僵尸网络所使用的虚拟服务器、互联网域名及其他基础设施。近几个月来，这些网络对全球受害者发起了数十万次大规模分布式拒绝服务攻击。美国司法部指出，这些僵尸网络共计感染并控制了超过300万台物联网设备，包括摄像头、数字视频录像机和WiFi路由器，其中大量设备位于美国境内。