安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全研究人员披露，俄罗斯黑客组织Gamaredon持续利用WinRAR路径遍历漏洞CVE-2025-8088传播多种恶意软件，用于窃取和传播数据。已披露信息显示，该感染链于2026年1月被发现，攻击首先启动名为GammaPhish的HTML应用程序有效载荷，随后获取名为GammaLoad的中间VBScript下载器。相关载荷可识别主机系统、更新注册表中的网络配置，并从命令与控制服务器获取和执行任意VBScript载荷。报告还披露了GammaWorm蠕虫和GammaSteel模块化信息窃取程序，前者通过计划任务建立持久性，后者会捕获特定扩展名文件，并将其泄露至云存储桶或攻击者控制的服务器。

安全研究人员披露，近2000个WordPress网站感染了恶意软件，该恶意软件利用Steam社区个人资料评论隐藏命令与控制数据。已披露信息显示，攻击者使用不可见Unicode字符对有效载荷进行编码，并构建指向恶意脚本的URL。该活动自2025年7月首次被发现以来，已在约1980个WordPress网站上出现。目前尚不清楚黑客组织如何入侵这些网站，研究人员评估初始感染途径可能包括管理员登录信息被窃、FTP或SFTP凭据泄露、存在漏洞的主题或插件，以及供应链遭到破坏。攻击最后阶段会植入后门，并通过包含特定身份验证cookie的POST请求接收代码。

安全研究人员披露，黑客组织正在使用人工智能构建的勒索软件攻击工具包，该工具包可自动发现Active Directory，并帮助规避端点检测与响应解决方案。已披露信息显示，多个AI代理在工具和有效载荷开发的不同阶段提供协助，包括初始编码、分析、版本控制、安全研究帖子检查和绕过技术整理。部分恶意软件曾在虚拟环境中针对多种EDR工具进行测试。研究人员指出，虽然研发过程使用了AI技术，但整体工作流仍由人驱动。受感染主机上的多个脚本使用俄语编写，并由AI工具生成。报告未发现AI被嵌入已部署恶意软件或在受害者环境中独立运行的证据。

Oracle WebLogic Server中的严重漏洞CVE-2024-21182已被CISA加入已知被利用漏洞目录。该漏洞两年前已修复，但目前被积极用于攻击。已披露信息显示，Oracle WebLogic Server是企业级Java应用服务器，受影响版本包括12.2.1.4.0和14.1.1.0.0。攻击者无需任何权限，即可通过T3、IIOP网络访问远程利用该漏洞，对目标系统发起低复杂度攻击。成功利用可能导致未经授权访问关键数据，或完全访问可通过Oracle WebLogic Server访问的数据。互联网测绘数据显示，当前仍有超过1500台相关服务器暴露在网络上并可能受到影响。

安全研究人员披露，黑客组织正在利用WordPress Kirki插件中的严重权限提升漏洞CVE-2026-8206接管用户账户，包括管理员账户。已披露信息显示，该插件是一款可视化建站工具和主题定制器，已在超过50万个网站上使用。该问题出现在6.0.0版本中，影响6.0.6及更早版本。漏洞源于用于密码重置的自定义REST API端点，插件在密码重置请求期间接受任意电子邮件地址。攻击者可为网站上任意注册用户生成有效密码重置链接，并将其发送到攻击者控制的邮箱。研究人员称，过去24小时内已阻止222次相关攻击尝试。

安全研究人员披露，一项新的恶意供应链活动通过看似合法的远程Web UI工具，针对使用OpenAI Codex的开发者。已披露信息显示，名为codexui-android的工具在代码托管平台和npm上作为OpenAI Codex远程Web用户界面推广，每周下载量超过29000次。该活动并非传统的域名抢注或临时软件包欺骗，而是将恶意代码嵌入一个正在积极开发的功能性npm软件包中。相关代码会提取本地Codex认证文件内容，并发送到伪装成合法监控服务的远程服务器。被捕获数据包括访问令牌、刷新令牌、身份令牌和账户ID。