安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全研究人员曝光朝鲜国家支持的Velvet Chollima组织发起的长期网络间谍活动。该组织制作伪装成加密货币交易软件Tralert FX的Windows MSI安装包，用AgilusTech LLC名下有效EV代码签名证书签名规避检测。恶意软件为多阶段加载器，植入系统侦察、键盘记录、浏览器数据窃取模块，不设传统C2服务器，将私有GitLab仓库作为数据存储位置，每30分钟自动提交窃取数据。研究人员发现恶意载荷硬编码后端密钥与GitLab个人访问令牌，暴露完整攻击基础设施，自2025年6月活跃，已入侵超90台设备，优先窃取加密货币交易数据。

安全厂商披露SonicWall Gen6系列SSL VPN存在高危漏洞（CVE-2024-12802），此前固件修复未完全生效，攻击者可绕过多因素认证（MFA）。漏洞源于设备集成AD时，UPN与SAM登录格式独立校验MFA，攻击者利用该缺陷通过UPN路径绕过验证。ReliaQuest研究人员2-3月观测到野外攻击，攻击者暴力破解账号后30分钟内入侵域文件服务器，植入Cobalt Strike等工具。Gen6设备已终止支持，完整修复需6项手动配置步骤，仅更新固件无效，企业需尽快完成全量修复或迁移设备。

安全厂商披露开源向量数据库ChromaDB存在未修复高危远程代码执行漏洞（CVE-2026-45829），未认证攻击者可接管服务器。漏洞因服务器信任客户端模型标识、认证前执行代码，攻击者提交恶意HuggingFace模型即可触发，执行任意命令、窃取API密钥等敏感数据。漏洞影响1.0.0后所有版本，73%公网暴露实例受影响。厂商多次反馈未获响应，临时防护需限制网络访问，暂无官方补丁，企业需尽快加固边界防护。

美国CISA将7个高危漏洞列入已知被利用漏洞（KEV）目录，含5个旧漏洞与2个Microsoft Defender新漏洞。旧漏洞包括Windows缓冲区溢出（CVE-2008-4250）、DirectX空字节覆盖（CVE-2009-1537）、Adobe Acrobat堆溢出（CVE-2009-3459）、IE释放后重用漏洞（CVE-2010-0249/0806）；新漏洞为Defender提权（CVE-2026-41091）与拒绝服务漏洞（CVE-2026-45498）。联邦机构需6月3日前修复，私有企业需同步加固，防范野外持续攻击。

2026年5月，微软针对YellowKey BitLocker绕过漏洞发布安全缓解措施。该漏洞可绕过Windows设备BitLocker磁盘加密防护，攻击者通过特定工具获取加密密钥，访问受保护数据。漏洞影响多版本Windows系统，此前被恶意软件利用窃取敏感信息。微软暂未发布正式补丁，通过系统更新推送配置限制、防护规则等缓解方案，阻断漏洞利用路径。用户需及时安装安全更新，开启系统自动防护，避免敏感数据泄露。

乌克兰网络警方联合美方执法部门，破获跨境信息窃取犯罪团伙，锁定18岁敖德萨籍核心嫌疑人。该团伙2024-2025年针对美国加州电商平台，部署信息窃取恶意软件，窃取浏览器数据、登录凭证等，导致2.8万用户账号泄露。犯罪分子利用5800个被盗账号实施未授权消费，涉案金额达72.1万美元，零售商直接损失约25万美元。数据经Telegram机器人交易，警方查获服务器日志、加密货币账户等证据，调查仍在推进。