安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全研究人员披露，152个Google Chrome扩展程序组成的网络伪装成新标签页动态壁纸插件，传播潜在有害程序并涉及广告跟踪和虚假流量。已披露信息显示，该集群覆盖38个独立Chrome网上应用商店发布者账户和三个后端品牌，累计安装量约105000次。相关扩展在商店页面中声明不收集或使用用户数据，但隐私政策承认会记录IP地址、ISP、点击次数和引荐来源，并与广告合作方共享。部分扩展在安装和卸载时会打开带有跟踪参数或Google重定向包装器的URL，将扩展产生的访问伪装成自然搜索或真实搜索结果点击。

Palo Alto Networks披露，攻击者正在积极利用PAN-OS漏洞CVE-2026-0257，获取对GlobalProtect门户的未经授权访问权限。已披露信息显示，该漏洞CVSS评分为7.8，属于影响PAN-OS软件门户和网关组件的身份验证绕过漏洞，攻击者可利用该问题绕过安全控制并建立VPN连接。相关活动最早可追溯至2026年5月17日，目前幕后攻击者身份尚不清楚。官方表示，截至披露时未发现后续访问行为或横向移动，只有少量被探测设备实际建立了VPN会话并触发网关连接事件。该漏洞此前已被加入已知利用漏洞目录。

Splunk发布安全更新，修复Splunk Enterprise中的严重漏洞CVE-2026-20253。已披露信息显示，该漏洞CVSS评分为9.8，影响Splunk Enterprise 10.0.0至10.0.6版本和10.2.0至10.2.3版本，10.4版本不受影响，Splunk Cloud也不受影响。问题源于PostgreSQL sidecar服务端点缺乏身份验证控制，未经身份验证的网络可达用户可调用文件操作，创建或截断任意文件。后续技术分析显示，该漏洞可通过备份和恢复端点连接攻击者控制数据库，并在本地PostgreSQL实例中执行恶意SQL，最终通过受控文件写入覆盖Splunk常执行的Python脚本实现预认证远程代码执行。

制药公司Novo Nordisk披露一起数据泄露事件，影响部分临床试验患者信息。已披露信息显示，攻击者获得该公司内部IT系统访问权限，并未经授权将某些非公开数据复制到外部，其中包括参与部分临床试验患者相关数据。受影响数据包括随机字母数字患者ID、试验参与信息、性别、出生年份、生物标志物、健康或免疫原性数据，以及吸烟、饮酒、BMI等生活方式因素。公司表示相关数据未通过姓名或其他直接标识符与患者直接关联，因此认为第三方无法凭此次泄露数据识别临床试验参与者。事件还影响部分医疗保健专业人员，其姓名、注册号码、联系方式和办公地点被泄露。

ServiceNow发出安全警告称，攻击者利用存在漏洞的API端点，通过未经身份验证访问问题从客户实例中查询数据。已披露信息显示，公司在检测到与该问题相关的异常活动后，通过支持公告和直接支持案例通知受影响客户。公告称，2026年6月5日，ServiceNow对托管客户实例应用安全更新，将相关API端点访问权限限制为仅限已认证用户。ServiceNow证实，攻击者利用该问题成功查询了客户实例表，但未披露攻击期间访问的数据类型。该问题主要影响运行澳大利亚平台版本的客户，或对旧版本进行过某些配置更改的客户。

安全研究人员披露，The Gentlemen勒索软件行动声称已掌控478名受害者。已披露信息显示，该组织早期作为多个勒索软件即服务项目的附属机构运作，曾利用LockBit、Qilin和Medusa等资源实施双重勒索攻击。该组织被追踪为Phantom Mantis，其首领被描述为一名讲俄语的网络犯罪分子，使用多个网络化名。2025年7月，Phantom Mantis转型为The Gentlemen，成为独立合作伙伴计划，不再依赖其他勒索软件即服务组织。报告还指出，该组织高度依赖人工智能协助开发和维护勒索软件及工具，并辅助后渗透流程。