安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

白俄罗斯关联APT组织Ghostwriter（UAC-0057/UNC1151）重启攻击，以乌克兰官方在线学习平台Prometheus为诱饵，瞄准乌克兰政府机构。攻击始于2026年春季，通过已攻陷账号发送钓鱼邮件，内含PDF附件，链接指向含JS文件的ZIP压缩包。JS文件运行时显示诱饵文档，同时在注册表植入加密的OYSTERBLUES载荷，由OYSTERSHUCK组件解码执行，最终植入Cobalt Strike框架，实现持久控制。攻击基础设施多隐藏于Cloudflare，域名常用.icu后缀，建议普通用户限制wscript.exe运行权限以防御。

伊朗关联APT组织Screening Serpens（Smoke Sandstorm/UNC1549）发起大规模社工攻击，伪造航空航天、国防企业招聘网站，针对中东及全球政府、军工、卫星通信行业。攻击者通过LinkedIn或邮件联系求职者，发送含恶意简历、申请表的附件，部分带合法数字签名。植入恶意软件后，利用远控工具横向移动，窃取凭证、部署后门并销毁痕迹，疑似受伊朗伊斯兰革命卫队支持。

安全厂商披露Megalodon供应链攻击，6小时内攻陷5561个GitHub仓库，推送5718条恶意代码更新。攻击者用8位随机假名注册账号，伪装为build-bot、ci-bot等自动化服务，植入两类恶意工作流：SysDiag自动窃取云凭证；Optimize-Build潜伏后门，可通过GitHub API激活。受害项目含Tiledesk，其开发者发布7个感染版本至npm，窃取AWS、谷歌云、Azure密钥及30类密码。

美国CISA将Drupal核心高危漏洞（CVE-2026-9082，CVSS 9.8）列入KEV目录。该漏洞为SQL注入缺陷，存在于数据库查询净化API，未认证攻击者可构造请求注入任意SQL，接管PostgreSQL数据库站点，造成数据泄露、提权甚至远程代码执行。漏洞修复后48小时内，Imperva监测到15000次攻击，波及65国6000个站点，游戏、金融行业受害最集中，CISA要求联邦机构5月27日前完成修复。

黑产论坛出现售价约7.6万美元（0.313 BTC）的OnlyFans用户数据库，号称含3.4亿条记录。卖家承认数据非直接入侵所得，而是整合Twitter、Instagram、Spotify等旧泄露数据与公开资料匹配生成，含用户名、邮箱、手机号、粉丝数、支付卡后四位等信息。样本显示数据存在占位符、格式混乱等问题，但可关联真实身份，引发钓鱼、勒索、跟踪等风险。

美国医疗IT企业Datavant Group（原Ciox Health）就2024年5月数据泄露案达成90万美元和解。事件源于员工点击钓鱼邮件致账号被盗，32万余人的姓名、社保号、健康信息等敏感数据泄露。和解金用于律师费、行政成本及受害者补偿，受害者可申请最高5000美元损失报销或一次性现金补偿，另享一年身份盗用监控服务，索赔截止8月18日，该案为医疗数据泄露典型追责案例。