安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

logo 安天ATID威胁情报综合分析平台 | 威胁情报查询、关联分析、线索研判、威胁追踪溯源
安天威胁情报综合分析平台
搜索示例:190.13.160.19 f1799d11b34685aa209171b0a4b89d06 tonholding.com zosianuszka@wp.pl https://zzznan.com/wp-includes/swift/00385/1789ps1r-000935/
今日安全简报(20260522 06:00:00)
1.
简报图片
1、 The Gentlemen勒索组织发生内部泄露曝光真实攻击规模
TheGentlemen
知名勒索软件组织The Gentlemen遭遇严重内部系统泄露事件,安全研究人员借此全面掌握该组织的完整运作模式与真实攻击数据。该组织自2025年起依托勒索即服务(RaaS)模式快速扩张,以90%的高额分润比例吸引大量黑产附属攻击者入驻,主要针对政企机构开展加密勒索与数据窃取攻击。此次泄露暴露了组织后端管理系统、受害者追踪数据库、附属团伙沟通记录及全套攻击工具,聊天记录显示攻击者频繁利用Cisco、Fortinet设备漏洞与NTLM relay技术入侵企业内网,还搭载SystemBC恶意软件实现持久控驻与流量隧道穿透。此前该组织暗网泄露页面仅公示三百余名受害者,而内部数据核实其实际受害企业超1570家,覆盖多国多行业。即便遭遇数据泄露,该组织仍持续扩张业务,近期正式入驻BreachForums论坛成为官方合作方,进一步拓展黑产渠道。
https://hackread.com/the-gentlemen-ransomware-gang-breach-op-exposed/
2.
简报图片
2、 纽约公立医疗系统遭第三方入侵泄露180万患者敏感数据
美国纽约市大型公立医疗体系NYC Health + Hospitals披露一起大规模数据泄露事件,因合作第三方供应商存在安全漏洞,导致近180万名患者的隐私数据遭到泄露。该医疗系统覆盖纽约五大区七十余家诊疗机构,服务海量基层病患,此次泄露数据范围极广,包含医保参保信息、诊疗记录、账单凭证、社保编号、银行卡信息,以及指纹、掌纹等不可重置的生物识别数据,长期隐私与财产风险极高。安全专家表示,生物识别数据无法像密码一样修改,一旦泄露将终身存在被冒用、精准诈骗的隐患。据悉,这是该机构2026年第二起第三方关联泄露事件,今年3月其合作康养机构曾发生漏洞泄露五千余名患者信息,两起事件相互独立,暴露公立医疗体系第三方供应链普遍存在的安全短板,目前相关事件已上报美国卫生监管部门。
https://www.govinfosecurity.com/public-nyc-health-system-notifying-18m-hack-a-31726
3.
简报图片
3、 GitHub遭遇供应链攻击泄露3800个内部代码库数据
VSCode
微软旗下代码托管平台GitHub确认遭遇针对性供应链攻击,威胁组织TeamPCP利用员工终端安装的恶意VS Code扩展突破内部防护,非法窃取平台内部核心源码资源,共计3800个内部仓库数据遭外泄。TeamPCP是专注供应链攻击的知名黑产团伙,此前曾多次入侵开源安全项目与开发工具平台。此次攻击中,攻击者依托恶意开发工具实现无感知渗透,全程规避常规安全检测,窃取的核心源码涵盖平台多项核心业务模块。攻击得逞后,该团伙在黑产论坛挂牌售卖数据,底价5万美元,并威胁若无买家将全网公开泄露。事件发生后,GitHub迅速隔离受感染终端、下架恶意扩展、按风险优先级轮换全部核心密钥,全面排查日志溯源攻击链路,并公开表示暂无用户私有仓库与客户数据泄露痕迹,持续推进后续安全加固工作。
https://www.varonis.com/blog/github-breach
4.
简报图片
4、 OpenClaw AI框架曝高危漏洞可劫持AI代理
安全厂商披露开源智能代理框架OpenClaw存在一组高危漏洞,被命名为Claw Chain,包含四组可联动利用的安全缺陷,最高漏洞评分达9.6分,影响4月23日前发布的全部版本。该框架因功能强大、开源免费,上线短期内成为GitHub热门项目,全网暴露公网实例最高达24.5万台。四类漏洞分别对应CVE-2026-44112、CVE-2026-44115、CVE-2026-44118、CVE-2026-44113,涵盖沙箱执行时序缺陷、命令校验绕过、权限越权、路径读取绕过问题。攻击者可通过漏洞组合利用,绕过平台安全校验、篡改系统配置、植入持久后门、窃取服务器密钥与本地敏感文件,全程依托AI代理合法权限操作,传统安全设备难以识别拦截。这类攻击可实现权限提升、持久控驻、凭证窃取等完整攻击链路,全网约65000至180000台公开暴露实例存在风险,不仅威胁个人用户隐私,还可通过个人终端渗透关联企业办公环境,引发跨场景安全风险,目前官方已推送完整安全补丁。
https://www.govinfosecurity.com/patched-openclaw-flaw-let-hackers-hijack-ai-agents-a-31720
5.
简报图片
5、 美国CISA监管机构不慎公开大量明文密钥与系统凭证
美国网络安全和基础设施安全局(CISA)曝出严重内部安全事故,其合作承包商员工不慎将大量明文密码、云访问密钥、系统令牌等核心敏感凭证,上传至公开GitHub仓库,导致美国国土安全部(Department of Homeland Security)及CISA内部系统访问权限暴露。这些凭证可直接对接政府云资源与内部业务系统,风险等级极高。该漏洞由GitGuardian安全研究员主动发现并上报,多次联系涉事承包商未获回应后公开披露。作为美国联邦网络安全主管机构,CISA长期对外输出安全规范,明令禁止明文存储密钥、密码等敏感数据,此次事件形成鲜明安全漏洞。官方调查后表示暂无证据显示数据被恶意利用,但承认内部管控存在严重疏漏,叠加机构长期空缺局长、人员大幅缩减的现状,内部安全运维体系存在明显短板,目前已紧急回收泄露凭证并开展全面内部排查。
https://techcrunch.com/2026/05/19/us-cyber-agency-cisa-exposed-reams-of-passwords-and-cloud-keys-to-the-open-web/
6.
简报图片
6、 微软成功捣毁Fox Tempest恶意代码签名黑产团伙
FoxTempest
微软数字犯罪部门(Microsoft Digital Crimes Unit)联合执法力量,成功瓦解长期活跃的Fox Tempest黑产团伙,捣毁其全套恶意代码签名非法服务体系。该团伙自2025年9月起持续运作,伪造正规企业身份滥用微软Artifact Signing系统,批量制作售卖虚假合法代码签名证书。各类勒索组织、信息窃取团伙可依托该证书为恶意软件赋能,规避系统安全校验、绕过终端防护,实现木马、勒索病毒、钓鱼程序的免杀传播。该团伙累计制作超1000份恶意证书,服务于Rhysida、Vanilla Tempest等十余类黑产攻击。微软通过司法授权,查封团伙域名、关停千余账号、下线恶意服务器,彻底切断其服务链路,大幅提升同类恶意软件的传播成本。
https://cyberscoop.com/microsoft-digital-crimes-unit-disrupts-fox-tempest/