安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员披露一起持续10个月的全球Android恶意软件诈骗活动，约250个恶意应用伪装成Facebook Messenger、Instagram Threads、TikTok、Minecraft、Grand Theft Auto (GTA)等热门软件，诱导用户安装。该恶意软件精准针对泰国、克罗地亚、罗马尼亚、马来西亚四国主流移动运营商，安装后自动禁用Wi-Fi，强制走蜂窝数据流量，拦截短信OTP验证码，自动触发付费订阅流程。其包含三个变种，分别负责自动提交订阅、延迟发送短信规避检测、实时回传设备信息，依托C2服务器控制，暴露移动应用生态、运营商验证体系存在多重安全短板。

安全研究人员曝光朝鲜Kimsuky黑客组织发起针对性攻击，部署名为HelloDoor的Rust语言编写后门，滥用VS Code远程隧道功能绕过安全边界。该组织长期瞄准韩国政府、国防、能源及科研等高价值目标，HelloDoor后门采用Rust开发具备免杀特性，通过VS Code隧道建立隐蔽加密通信通道，规避传统防火墙与入侵检测系统。攻击流程为初始入侵后植入HelloDoor，利用VS Code隧道远程控制目标设备，窃取敏感文件、凭证及业务数据，还可植入后续恶意载荷。该攻击手法隐蔽性极强，常规安全工具难以识别，暴露开发工具滥用带来的供应链安全风险，相关机构需加强终端工具管控与异常隧道流量监测。

美国网络安全和基础设施安全局（CISA）将Microsoft Defender两个高危漏洞列入已知被利用漏洞（KEV）目录，确认漏洞正遭野外持续攻击。其中CVE‑2026‑41091漏洞（CVSS评分7.8）为本地提权漏洞，攻击者获取基础权限后，可借此突破防护获取SYSTEM级完全控制权限；CVE‑2026‑45498漏洞（CVSS评分4.0）为拒绝服务漏洞，可干扰甚至禁用Defender防护引擎，为恶意软件运行创造条件。漏洞影响所有依赖Defender的Windows终端，企业、学校及共享服务器环境风险更高，微软已发布修复版本4.18.26040.7，用户需通过Windows Update更新平台与安全情报。

安全团队披露Linux内核RDS（Reliable Datagram S）子系统本地提权漏洞PinTheft，已公开可用的漏洞利用代码，暂无CVE编号。漏洞源于zerocopy双释放缺陷，攻击者可通过io_uring篡改页面缓存，获取root权限。该漏洞仅默认影响Arch Linux，Ubuntu、Fedora、Debian等主流发行版默认不加载RDS模块，风险较低。研究人员已确认漏洞可稳定利用，官方已推送内核补丁，Arch Linux用户需立即更新内核，或临时卸载并禁用RDS模块防护。

暗网大型卡商平台B1ack''''s Stash公开泄露460万条支付卡记录，此举为惩罚违规转卖数据的卖家。泄露数据包含卡号、CVV2码、有效期、持卡人姓名、账单地址、邮箱、电话、IP等完整信息，经筛选后约430万条有效，70%来自美国，其余集中在加拿大、英国、法国、马来西亚。该平台自2023年运营，多次以免费泄露数据引流，此次泄露或引发大规模盗刷、身份盗用、精准钓鱼诈骗，用户需警惕异常账单与陌生诈骗信息。

加拿大警方逮捕23岁男子Jacob Butler，其为大型DDoS僵尸网络Kimwolf核心管理员，绰号Dort。Kimwolf自2025年起活跃，控制超200万台Android TV设备，作为DDoS租赁服务发起2.5万次攻击，造成数百万美元损失，还曾攻击美国国防部网络。今年3月，相关僵尸网络基础设施被查封，但Kimwolf仍持续运作，Butler因操作IP重叠被溯源锁定，面临引渡美国，最高可判10年监禁，事件暴露物联网设备安全管理存在严重漏洞。