安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员发现银狐组织在2026年通过约1600封带有税务主题的网络钓鱼邮件，面向印度和俄罗斯目标投递ABCDoor恶意软件。相关攻击利用与税务事务有关的诱饵内容提高收件人打开和执行恶意载荷的概率。成功感染后，ABCDoor可用于窃取受害设备中的数据，并为攻击者提供远程控制能力，从而扩大后续操作空间。现有信息显示，此次活动的核心特点包括明确的地域定向、以社会工程为主的投递方式，以及兼具信息窃取和远程操控功能的木马载荷。

安全研究人员披露，一个被称为FEMITBOT的大规模欺诈平台正在滥用Telegram Mini App功能实施多类网络诈骗，并投递安卓恶意软件。该平台通过Telegram机器人和内嵌迷你应用，在应用内浏览器中展示仿冒页面，伪装成Apple、Disney、NVIDIA等知名品牌相关服务，包括虚假加密货币平台、金融服务、AI工具和流媒体网站。受害者会看到伪造的余额、收益和倒计时提示，在尝试提现时被诱导先充值或完成拉人任务。研究人员称，这些活动共用同一后端基础设施，可快速切换域名、品牌、语言和主题，并借助Meta、TikTok跟踪脚本优化转化效果。部分迷你应用还诱导用户下载伪装成正规软件的Android APK，存在传播恶意软件风险。

Progress Software提醒客户尽快升级MOVEit Automation，以修复一个编号为CVE-2026-4670的严重认证绕过漏洞。该漏洞影响2025.1.5、2025.0.9和2024.1.8之前版本，攻击者可在无需权限、低复杂度且无需用户交互的情况下远程利用。官方表示，只有使用完整安装程序升级到修复版本才能缓解问题，升级过程中系统将短暂停机。同日，Progress还发布更新，修复同一产品中因输入验证不当导致的高危提权漏洞CVE-2026-5174。公开信息显示，互联网上暴露了超过1400个MOVEit Automation实例，其中部分与美国州和地方政府机构相关。目前尚无证据表明上述漏洞已在野外被利用，但鉴于MOVEit及其他MFT产品过去曾多次成为勒索软件团伙攻击目标，相关用户应尽快完成补丁部署。

美国网络安全和基础设施安全局（CISA）已将Linux提权漏洞CVE-2026-31431加入已知被利用漏洞（KEV）目录。公开信息显示，该漏洞自2017年以来已被实际利用，攻击者可借助简单的概念验证代码获取root权限。由于Linux广泛运行于服务器、容器和云环境中，此类本地提权问题一旦与其他入侵手段结合，可能显著扩大攻击影响，提升横向移动、持久化控制和关键业务中断风险。该漏洞被纳入KEV，说明其现实威胁程度较高，相关机构和企业应关注受影响系统的排查与修补，降低被利用风险。

一项针对加密货币诈骗的全球联合执法行动已逮捕276名嫌疑人，捣毁9个诈骗中心，并查获约7.01亿美元资产。报道指出，此次行动针对面向大量受害者实施欺诈的犯罪网络，显示相关团伙具备跨区域、体系化运作特征。与此同时，美国联邦调查局通过预警措施帮助潜在受害者避免进一步损失，累计挽回约5.62亿美元。整体来看，此次行动在人员抓捕、诈骗基础设施打击和资产查扣等方面取得进展，也反映出执法部门正加强对加密诈骗产业链的联合遏制。

美国教育科技公司Instructure确认遭遇网络安全事件，已证实有数据被窃取。该公司表示，目前发现受影响信息主要包括相关机构用户的姓名、电子邮件地址、学生编号以及用户间消息内容，暂未发现密码、出生日期、政府身份证明信息或金融数据涉及其中。作为应对措施，Instructure已部署补丁、加强监控并轮换应用密钥，同时要求客户重新授权其API访问。勒索组织ShinyHunters声称对此次攻击负责，并在泄密网站上发布信息，称事件影响大量学校及学生、教师和员工数据，还提到Salesforce实例可能被入侵。不过，这些攻击者披露的具体规模与受影响范围，媒体目前尚无法独立核实。