安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

乌克兰计算机应急响应小组（CERT-UA）表示，俄罗斯黑客APT28正在利用CVE-2026-21509漏洞开展攻击，该漏洞存在于多个版本的Microsoft Office中，并于1月26日被Microsoft通过紧急更新修复，同时被标记为被积极利用的零日漏洞。CERT-UA在微软发布警报三天后发现了利用该漏洞的恶意DOC文件样本，以欧盟驻乌克兰常驻代表委员会磋商为主题。在其他案例中，相关邮件冒充乌克兰水文气象中心，发送至60多个政府相关地址。CERT-UA指出，相关攻击样本的元数据显示其创建时间为紧急更新发布后的第二天。

研究人员对ClawHub平台上的2857个技能进行安全审计，发现其中341个技能为恶意技能，并涉及多个攻击活动。研究人员披露，其中335个技能通过虚假的前置条件安装了名为Atomic Stealer（AMOS）的macOS窃密木马程序。ClawHub是OpenClaw项目的第三方技能市场，相关攻击活动使用户可能面临供应链风险。

研究人员披露OpenClaw中存在一个高严重性漏洞，可允许攻击者通过精心构造的恶意链接实现远程代码执行。该漏洞被标记为CVE-2026-25253（CVSS评分为8.8），已在2026年1月30日发布的2026.1.29版本中修复。漏洞被描述为Token外泄问题，控制UI会信任查询字符串中的gatewayUrl而无需进行验证，并在加载时自动连接，将存储的Token发送到攻击者控制的服务器。

Microsoft宣布采取方案分三个阶段逐步淘汰NT LAN管理器（NTLM），作为向基于Kerberos的Windows身份验证环境转变的一部分。微软表示，NTLM因存在安全弱点，可能助长中继攻击并导致未经授权的网络访问。该协议已于2024年6月正式弃用，不再继续更新。Microsoft指出，随着安全威胁现状演变，NTLM因使用弱密码学机制容易受到重放和中间人攻击。

安全研究人员发布报告称，全球范围内虚假高收益投资计划（HYIPs）数量上升。这类骗局以虚假社交账号宣传“投资/盈利/交易”主题，通过付费社交媒体广告（包括Meta/Facebook广告）、Telegram和WhatsApp等渠道，承诺在短时间内获得高额回报，并以存入资金、短期返利的方式吸引受害者。报告指出，这些计划通常以类似庞氏骗局的方式运作，早期参与者获得回报以制造盈利假象，随后出现提款延迟或资金被扣留的情况，最终平台关闭运营者携款消失。

Mozilla宣布在Firefox桌面浏览器设置中新增一个控制选项，允许用户完全关闭生成式人工智能功能。Firefox负责人表示，该选项可用于统一封锁Firefox当前及未来的生成式AI功能，同时仍允许用户审查和管理单个AI功能。Mozilla表示，如果用户不想使用火狐浏览器的AI功能，可以打开‘阻止AI增强功能’开关，打开后，用户将不会看到任何关于使用现有或即将推出AI功能的弹出窗口或提醒。