安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

Oasis Security最新研究显示，疑似马来西亚政府支持的黑客团队，长期利用隐藏的命令与控制（C2）系统开展间谍行动，并滥用Cloudflare的存储和内容分发服务托管恶意载荷、钓鱼材料，借助可信云平台规避安全检测。该行动基础设施设计隐蔽，通过灵活响应连接、限制公共扫描可见性等方式长期活跃，服务器定期轮换维护，聚焦情报收集，与区域网络间谍活动模式存在重叠。黑客还倾向使用临时基础设施降低成本，研究人员建议企业加强行为监测，而非仅依赖域名信誉检查，以防范此类隐蔽攻击。

SentinelOne发现新型Reaper恶意软件（SHub变种），可绕过macOS Tahoe 26.4安全更新，伪装成系统更新及微信、Miro等常用软件，通过拼写错误的伪造微软域名（mlcrosoft.co.com）诱骗用户。攻击者通过虚假下载页触发恶意脚本，诱骗用户打开Script Editor并运行命令，索要设备登录密码，进而窃取浏览器、密码管理器、加密货币钱包数据，还会窃取指定大小的文件并分块上传，同时模仿谷歌软件更新路径安装永久后门，每60秒与黑客服务器通信，研究人员提醒Mac用户避免从非官方渠道下载软件。

研究员Chaotic Eclipse披露Windows零日漏洞MiniPlasma，该漏洞实为2020年上报并宣称已修复的CVE-2020-17103，因未被正确修复或补丁回滚，目前仍可在所有已打2026年5月更新的Windows 11上生效，可通过Windows云文件迷你筛选驱动漏洞提升至SYSTEM权限。研究员发布了武器化PoC，另一位研究员Will Dormann已验证漏洞有效性，仅Insider预览版可能在修复。该研究员近期还披露多个Windows漏洞，引发对微软补丁可靠性及漏洞披露方式的争议。

VulnCheck研究员披露，上周公开的NGINX高危漏洞CVE-2026-42945（绰号NGINX Rift）已被攻击者利用。该内存损坏漏洞影响NGINX开源及商业多个版本和相关产品，攻击者发送特制HTTP请求即可实现未授权拒绝服务（DoS），禁用地址空间布局随机化（ASLR）后还可远程执行代码。5月16日已出现利用尝试，全球约570万暴露NGINX服务器可能受影响，负责开发的F5公司已发布修复版本，同时提供临时缓解措施，主流Linux系统也在推送补丁。

Reqrea公司的Tabiq酒店入住系统因亚马逊S3云存储桶配置错误，导致超100万份旅客护照、驾照及自拍验证照片公开暴露在网上，任何人知晓“tabiq”桶名即可无需认证访问。该漏洞由安全研究员Anurag Sen发现并上报，经TechCrunch及日本JPCERT通知后，系统已被修复、存储桶被锁定。Reqrea表示尚不清楚存储桶为何被公开，正调查暴露范围及是否存在未授权访问，后续将通知受影响用户。

Interpol牵头13个中东、北非国家开展“Ramz行动”，这是该地区首次大规模网络犯罪打击行动。行动历时4个月，累计逮捕201人、查获53台服务器、识别382名嫌疑人，打击范围涵盖钓鱼服务、恶意软件及金融诈骗。期间还发现约旦有受害者被迫参与诈骗，多国同步开展服务器查封、设备扣押等行动，并有多家安全机构提供支持，目前相关调查仍在推进中。参与这项行动的机构收集了近8000条数据，这些数据在参与国之间共享，以支持正在进行的调查。