安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全厂商披露新型Android远控木马BTMOB大规模扩散，该恶意软件由SpySolr演变而来，主打高隐蔽性与全权限控制能力，按月700美元售卖MaaS服务，面向全球开展攻击。BTMOB通过钓鱼网站诱导用户下载仿谷歌商店恶意APK，滥用无障碍服务获取高权限，可窃取短信、通话记录、账号密码，支持屏幕录制、远程控制，适配多国语言伪装成税务、物流等官方应用。攻击者开放定制化生成工具，可快速制作不同版本恶意软件，变种迭代快、检测率低，已在拉美、东南亚形成规模化攻击，大量用户设备被植入后遭持续监控与数据窃取，移动终端安全防护面临严峻挑战。

安全研究人员曝光TamperedChef新型供应链攻击，攻击者批量制作仿PDF编辑器、日历、压缩工具等常用办公软件，植入恶意代码后通过正规推广渠道分发，已渗透超半数企业办公网络。恶意软件具备极强伪装性，界面功能与正版一致，含完整用户协议与技术支持页面，初始潜伏数周规避沙箱检测，触发后下载信息窃取模块、远控木马。攻击者长期运营广告投放网络，劫持搜索结果推送恶意软件，早期依赖高价EV证书规避检测，现改用AI生成海量页面变种，无需证书即可绕过防护，企业终端需严格管控非官方软件安装，防范隐蔽投毒风险。

安全团队披露针对开发者的SEO投毒攻击，黑客搭建仿Gemini、Claude官方下载站，利用域名拼写错误与搜索排名劫持，诱导开发者下载恶意安装包。用户执行伪装PowerShell脚本后，后台自动安装正版AI工具，同时植入无文件内存窃取器，禁用AMSI与ETW防护，窃取浏览器凭证、聊天软件会话、云配置与加密货币钱包。攻击者注册30余个同类恶意域名，盗用中国企业EV证书规避安全提示，已窃取大量GitHub、云平台高权限凭证，企业开发环境需严格校验工具来源，防范搜索引擎诱导式投毒攻击。

开源Git托管平台Gogs曝高危远程代码执行漏洞（CVSS 9.4），已报告两个多月仍未修复，默认配置下任意注册用户可利用漏洞接管服务器。攻击者创建含恶意分支名的合并请求，利用git rebase --exec参数注入命令，无需管理员权限即可执行任意代码、窃取仓库数据、横向渗透内网。漏洞影响Windows、Linux、macOS全平台，全网暴露实例超1100个，Rapid7已发布攻击模块，建议管理员关闭注册、限制仓库创建，及时加固防护避免未授权访问。

全球最大邮轮运营商嘉年华集团（Carnival）确认数据泄露事件，约599.5万名用户信息遭非法窃取。攻击者通过社工手段诱骗员工泄露权限，于4月入侵内部系统，窃取姓名、生日、邮箱、会员等级等敏感数据，随后被勒索组织ShinyHunters认领。嘉年华向受害者提供24个月信用监控服务，此次泄露暴露邮轮行业用户数据价值高、防护薄弱的问题，受害者面临身份盗用、精准诈骗风险，企业需强化员工安全培训、完善权限管控，防范社工类入侵攻击。

谷歌36岁安全工程师Michele Spagnuolo因涉嫌内幕交易被捕，被控滥用公司内部2025年度搜索趋势机密数据，在预测市场非法获利超120万美元。该工程师自2014年任职，利用内部工具获取未公开热门搜索人物数据，在Polymarket平台投注，刻意隐藏交易痕迹，通过加密货币钱包转账规避追踪。谷歌已将其停职并配合调查，此案暴露科技企业内部数据管控漏洞，凸显内部威胁风险，企业需强化机密数据访问审计、完善权限隔离，防范内部人员滥用信息牟利。