安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

美国联邦调查局（FBI）向网络防御人员发布警告，称与伊朗情报与安全部（MOIS）有关联的伊朗黑客正利用Telegram开展恶意软件攻击。FBI将这些攻击关联至Handala（又名Handala Hack Team、Hatef、Hamsa）、Homeland Justice组织。在这些攻击中，攻击组织通过社会工程学手段，诱导目标设备感染Windows恶意软件，从而能够从受害计算机中窃取屏幕截图或文件。

在2025年11月至2026年2月期间，利比亚多家机构遭遇了一系列攻击，受害者包括一家炼油厂、一家电信机构和一家国家级政府部门。在这些攻击中攻击者投放了AsyncRAT后门，这是一款公开可用的后门工具，此前曾多次被APT组织所使用。这些攻击活动的初始感染媒介很可能是鱼叉式钓鱼邮件，研究人员在受感染的设备中发现了利用利比亚时政热点的诱饵文档。

研究人员在TeamPCP的武器库中发现了一个新的载荷。不同于以往仅窃取凭据或安装后门的脚本，这个载荷具备抹除整个Kubernetes（K8s）集群的能力。该脚本使用了与此前在CanisterWorm行动中发现的完全相同的ICP容器（Canister）地址。其C2地址、后门代码以及投放路径均保持一致。虽然通过DaemonSets进行Kubernetes原生横向移动符合TeamPCP的一贯手法，但其中加入了一个此前从未见过的新特性：针对伊朗系统的定向破坏性载荷。

Cloud Software Group针对NetScaler ADC（原Citrix ADC）和NetScaler Gateway（原Citrix Gateway）发布了紧急安全补丁，以修复两个安全漏洞。这些漏洞可能允许未经身份验证的远程攻击者入侵受影响的系统。CVE-2026-3055是SAML IDP越界读取漏洞，CVSSv4.0评分为9.3。该漏洞源于输入验证不足，导致内存过度读取。第二个漏洞CVE-2026-4368的CVSSv4.0评分为7.7，可能导致用户会话混淆。

马自达汽车株式会社（Mazda）称，在去年12月检测到的一起安全事件中，其员工及业务合作伙伴的信息已遭到泄露。据公司称，攻击者利用了一个与泰国采购零件仓库管理相关的系统漏洞。该系统不包含任何客户数据，且此次泄露的范围较小，共涉及692条记录。调查显示，潜在泄露的信息包括以下数据类型：用户ID、姓名全称、电子邮件地址、公司名称、业务合作伙伴ID。马自达表示目前尚未监测到这些信息被滥用的情况。

知名动画流媒体平台Crunchyroll正在调查一起数据泄露事件，此前有攻击者声称窃取了约680万人的个人信息。Crunchyroll称调查仍在进行中，目前认为泄露的信息主要局限于第三方供应商的客户服务工单数据。目前尚未发现有证据表明系统仍被持续访问。在此声明发表之前，有攻击者声称他们在美东时间3月12日晚上9点入侵了Crunchyroll。攻击者是通过获取Crunchyroll一名客服专员的Okta SSO（单点登录）账号访问权限进入系统的。攻击者声称，他们使用恶意软件感染了该员工的电脑，从而窃取了其登录凭据。