安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究团队披露了一起针对Open VSX扩展市场的供应链攻击事件。威胁行为体GlassWorm通过新注册的GitHub账户发布了73个克隆扩展程序，这些程序初期伪装成合法工具（如土耳其语语言包），以建立用户信任并积累下载量。截至报告发布时，已有至少6个休眠扩展被激活，通过正常更新渠道传播恶意软件。攻击者采用多种技术逃避检测，此前该组织还曾利用Solana区块链交易备忘录作为"死信箱"传输第二阶段载荷。专家已将相关扩展标记并建立专门追踪页面，提醒开发者警惕名称、图标高度仿冒的克隆扩展。

研究披露一项自2020年6月起持续运作的大规模Click2SMS诈骗活动。攻击者利用仿冒知名电信品牌的拼写错误域名，通过流量分发系统将用户引导至虚假验证码页面。受害者点击"验证"选项时，JavaScript脚本强制打开手机短信应用，向17个国家的35个高价国际号码发送预设短信，单次诈骗可导致用户损失30美元以上，且费用通常延迟数周才出现在账单中。该诈骗采用"后退按钮劫持"技术篡改浏览器历史记录，阻止用户退出页面，确保受害者完成全部四步"验证"流程，累计发送约60条短信至50个不同目的地。

研究人员披露Windows RPC架构中存在一种新型本地权限提升技术"PhantomRPC"，影响所有Windows版本。攻击者利用具有SeImpersonatePrivilege权限的进程（如IIS网络服务），伪造RPC服务器冒充合法服务（如终端服务、DHCP、时间服务），拦截高权限进程发起的RPC调用，通过RpcImpersonateClient模拟客户端身份，将权限提升至SYSTEM或管理员级别。该漏洞已于2025年9月报告微软，但被评定为"中危"且未分配CVE，暂无修复计划。防御方可通过ETW监控RPC异常连接，并确保关键RPC服务正常运行以缩小攻击面。

安全团队披露微软Entra ID中"Agent ID管理员"角色存在权限边界突破漏洞。该角色本应仅管理AI代理相关身份，但研究者发现其可将自己添加为任意服务主体（包括非代理类）的所有者，进而添加凭据完成身份接管，实现权限提升。漏洞根源在于代理身份底层基于服务主体构建，角色权限未严格限定在代理相关对象上。微软已于2026年4月9日完成修复，非代理服务主体的所有权分配现已被阻止。安全团队建议监控服务主体所有权变更及凭据创建行为，将特权服务主体纳入核心资产保护范围。

莱特币网络一个关键零日漏洞被利用发起拒绝服务攻击，导致主要矿池暂时中断运行。攻击者构造畸形MWEB（MimbleWimble扩展块）隐私交易，使未更新节点将其视为合法交易处理，导致代币被非法兑换至第三方去中心化交易所。莱特币开发团队启动了13个区块的链重组（reorg），回滚至无效交易之前的状态，撤销了所有非法MWEB交易。合法交易不受影响。漏洞已修补，网络恢复正常运行，但未分配CVE编号。

德国联邦议院议长尤利娅·克勒克纳成为基于Signal应用的网络钓鱼攻击目标。攻击者通过伪造基督教民主联盟官员群聊实施社工，诱骗用户泄露PIN码等敏感信息。总理弗里德里希·默茨虽在群聊名单内但未受影响，至少一名基民盟议员确认中招。此次攻击无需破解Signal端到端加密，而是利用人性信任绕过技术防护。今年3月，包括德国联邦情报局前副局长在内的多位高级官员已遭同类攻击，其被盗账户被用于向联系人发送恶意链接，调查指向与俄罗斯相关的混合攻击行动。