安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

伊朗关联APT组织Nimbus Manticore（UNC1549）发动多轮定向攻击，目标从以色列、阿联酋扩展至美国航空、软件等重点行业企业，关联伊朗伊斯兰革命卫队。2月，攻击者伪造OnlyOffice求职Offer，发送含恶意ZIP附件的钓鱼邮件，利用AppDomain劫持技术植入MiniJunk恶意软件；3月切换为虚假Zoom会议邀请，附带Zoominstall64.zip恶意安装包，在安装正版Zoom的同时，通过InitInstall.dll植入MiniFast后门，劫持系统Zoom更新任务实现持久驻留。4月进一步升级为SEO投毒，搭建仿Oracle SQL Developer恶意网站，抢占搜索引擎排名诱导开发者下载。MiniFast具备AI开发特征，代码规范、模块化强，可完全控制设备并伪装Chrome流量隐蔽传输，攻击链路成熟、隐蔽性极强。

一场高度定制化鱼叉式钓鱼攻击瞄准巴基斯坦旁遮普省公共安全局（PSCA）及PPIC3基础设施，攻击者创新性滥用VS Code远程隧道技术突破边界防护。攻击者前期深度情报收集，伪造内部技术顾问身份，发送含恶意附件的钓鱼邮件，邮件关联真实项目信息，迷惑性极强。Word文档执行后释放恶意程序，利用VS Code设备码认证机制，窃取授权码并通过Discord Webhook回传，攻击者用自有开发者账号绑定受害者设备，将其纳入合法远程隧道，流量伪装成开发者通信规避检测。PDF附件则通过虚假更新弹窗诱导下载ClickOnce恶意包，形成双重感染链路，可完全接管目标工作站。

美国CISA将3个高危供应链漏洞列入已知被利用漏洞（KEV）目录，均为高风险软件投毒事件，CVSS评分均超9.0。其一为Daemon Tools Lite漏洞（CVE-2026-8398），2026年4至5月官方安装包遭篡改，植入带合法签名的恶意代码；其二是TanStack组件漏洞（CVE-2026-45321），攻击者滥用GitHub Actions投毒，篡改42个npm包发布84个恶意版本；其三为Nx Console扩展漏洞（CVE-2026-48027），18.95.0版本含恶意代码，上架36分钟后被下架。CISA要求联邦机构6月10日前完成修复，敦促企业全面排查软件供应链安全。

荷兰足球俱乐部阿贾克斯曝出严重数据泄露事件，系统漏洞导致30万注册球迷信息、4.2万季票数据及538名赛场禁赛人员信息遭非法访问。漏洞源于应用程序硬编码统一密钥，攻击者可篡改数据包冒用他人身份，直接转移季票所有权，甚至删除禁赛限制；官网API接口泄露管理员权限，可批量查看、修改球迷隐私，包括禁赛原因、个人职业等敏感信息，易引发勒索、身份盗用风险。事件曝光后，阿贾克斯已修复漏洞、向监管部门报案，通知所有用户加强账号安全，暴露体育行业数据防护短板。

新型GPU挖矿恶意软件大规模扩散，攻击者结合SEO投毒与AI生成技术，伪装成CrystalDiskInfo、HWMonitor等热门系统工具。攻击者注册150+恶意域名，抢占搜索及AI聊天工具推荐结果，诱导用户下载含恶意ZIP包的安装程序，通过DLL侧载植入ScreenConnect远控工具。恶意软件利用进程空洞技术注入微软签名.NET程序，设置6种自启动机制，自动添加杀毒软件排除项，具备反虚拟机、反调试能力，持续监控GPU使用率，闲置时启动加密货币挖矿，活动时自动终止，隐蔽性极强，溯源发现关联多个恶意基础设施。

美国监狱电话服务商Pay Tel发生严重数据泄露，微软Azure云服务器无密码公开，暴露超30万用户驾照扫描件、政府证件照及通信、财务数据。该服务为全美监狱提供通话平板设备，用户注册需上传证件照片，泄露数据含精确拍摄地点，可定位家庭住址。2025年6月该公司曾遭勒索软件攻击，此次为二次安全事故，漏洞暴露数月后被安全厂商发现，期间数据可被任意下载，极易引发身份盗用、精准诈骗。截至5月28日，公司仍未公开致歉或通知受害者，数据安全管理严重失职。