安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员发现，在2026年第一季度，针对全球金融机构的PXA Stealer攻击活动大幅激增。此类攻击活动主要利用包含恶意URL的网络钓鱼邮件，诱导用户下载恶意的ZIP附件。攻击者使用的诱饵包括个人简历、Adobe Photoshop安装程序、税务报表及法律文件等多种类型。PXA Stealer具有窃取浏览器数据、密码、加密货币钱包信息等功能，并通过Telegram频道回传数据。

Red Hat在近期版本的xz压缩工具及库中发现了恶意代码，并对此发布了紧急安全警告。该供应链攻击被标识为CVE-2024-3094。这是一种极度复杂的供应链入侵手段，可能允许攻击者绕过身份验证，从而获得对受影响Linux系统的未经授权远程访问权限。安全研究人员发现，恶意代码被静默植入到了xz工具的5.6.0和5.6.1版本中。Red Hat已确认，Red Hat Enterprise Linux（RHEL）的所有版本均不受到影响。在Red Hat生态系统中，受感染的软件包仅限于Fedora Rawhide和Fedora Linux 40 beta版本。

美国网络安全和基础设施安全局（CISA）警告称，攻击者正在积极利用一个编号为CVE-2026-33017的安全漏洞，该漏洞影响用于AI Agents的Langflow框架。该安全漏洞的CVSS评分为9.3，可被用于执行远程代码，允许攻击者在未经身份验证的情况下构建公共工作流。研究人员称，攻击者在漏洞公告发布仅20小时后便开始实施攻击。

Windows错误报告（WER）服务中存在一个本地权限升级漏洞，使攻击者能够获得完整的系统访问权限。该漏洞被标识为CVE-2026-20817，其结构性风险极高，以至于微软选择完全移除相关功能，而非采用传统的代码补丁。安全漏洞存在于Windows错误报告服务的主执行库文件WerSvc.dll中。研究员表示，该服务在处理特定客户端请求时存在权限不足和处理不当的问题。为解决该漏洞，开发者并未添加权限检查或输入净化例程，而是引入了一个严格的__private_IsEnabled()，永久禁用了该功能。此外，GitHub等平台上已出现多个针对CVE-2026-20817的虚假且可能带有恶意代码的PoC仓库。

研究人员分析了亲乌克兰黑客组织Bearlyfy的攻击活动。自2025年1月出现以来，该组织已针对俄罗斯公司发起了70多次攻击。其要求的初始赎金金额高达数十万美元。从2026年3月起，Bearlyfy开始使用自主开发的勒索软件，其Windows版本的加密程序被命名为GenieLocker。Bearlyfy是一个具有双重目标的组织，旨在对俄罗斯业务造成最大程度的损害：其攻击目标既包括获取经济利益的勒索，也包括纯粹的破坏活动。

本月，位于美国缅因州的心理健康机构AMHC遭遇勒索软件攻击。据称，该攻击由俄罗斯的Qilin勒索组织发起。该机构在一份声明中承认了此次攻击，称其近期经历了网络中断，并已与网络事件专家合作展开调查。目前尚不清楚攻击发生的具体时间，也不确定该勒索组织是否窃取了数据。AMHC拒绝透露更多细节。