每周高级威胁情报解读(2026.06.12~06.18)
APT37 利用微软主题钓鱼与Dead-drop C2攻击韩国用户Ghostwriter 针对 Gmail 帐户的网络钓鱼活动ShinyHunters 利用 Oracle PeopleSoft 漏洞攻击教育行业APT-C-48(CNC)组织近期新一波钓鱼攻击活动分析
奇安信威胁情报中心
一场88分钟的猎杀:Mastra作用域接管事件深度剖析
2026年6月17日,我们盯上了一场针对AI开发框架Mastra的供应链攻击。攻击者劫持了前贡献者“ehindero”的npm账户,在88分钟内对@mastra命名空间下的144个软件包进行了重新发布。
一键即破防:M365 Copilot "SearchLeak" 漏洞链全解析(CVE-2026-42824)
2026 年 6 月 15 日,Varonis Threat Labs(Varonis 威胁实验室)公开披露了针对 Microsoft 365 Copilot Enterprise 的三级漏洞利用链,将其命名为SearchLeak,对应漏洞编号为 CVE-2026-42824,微软官方将其评定为最高严重级别(Critical)。
AI网关LiteLLM遭漏洞链攻击,默认账户致全面接管风险
2026年6月15日,Obsidian Security公开披露了一组针对开源AI网关LiteLLM的漏洞链。攻击起点很不起眼:LiteLLM默认的低权限账户,终点是服务器上的任意代码执行,并为完整攻击链打出CVSS 9.9。
每周高级威胁情报解读(2026.06.05~06.11)
蔓灵花近期钓鱼网站攻击活动分析;Kimsuky伪装成“验证疑似个人信息泄露的请求”进行鱼叉式网络钓鱼攻击;VS Code Marketplace 中潜伏的与DPRK有关的后门;攻击者仍在利用 WinRAR 漏洞 CVE-2025-8088 攻击乌克兰组织
致命组合拳:Ivanti Sentry 两个10分漏洞允许未认证拿下企业移动网关
6月9日,Ivanti披露了两个影响其内联网关产品Sentry的严重漏洞:CVE-2026-10520(预认证 OS 命令注入,CVSS 10.0)和 CVE-2026-10523(身份验证绕过,CVSS 9.9)。两枚漏洞均可远程未授权触发,组合使用后能将公网暴露的Sentry设备变成攻击者直通内网的跳板
Hades 活动:针对PyPI的大规模供应链攻击分析
2026 年 6 月 7 日至 8 日,一场代号为 "Hades 活动" 的大规模软件供应链攻击席卷 PyPI。攻击者发布了 60 个恶意 wheel 文件,涉及 37 个 Python 包,利用 Python 的 .pth 启动钩子和原生扩展机制,在开发者机器和 CI/CD 环境中植入JavaScript凭证窃取器
Qilin勒索软件利用Check Point VPN 0day漏洞(CVE-2026-50751)武器化攻击:跨厂商VPN已成突破口
2026年6月4日,Check Point Research 在发现异常活动迹象后启动调查,确认 CVE-2026-50751 已在野遭到积极利用。该漏洞为远程访问 VPN 和移动访问(Mobile Access)组件中已弃用 IKEv1 密钥交换协议下的身份验证绕过缺陷,CVSS 评分 9.3(Critical)。
前威胁情报VP举报:IBM与AT&T被控VPN日志缺失令入侵成静默攻击
2026年6月初,一桩涉及IBM与AT&T的民事诉讼在美国法院解封,这起诉讼的举报人不是外部安全研究员,而是曾直接负责IBM威胁情报体系建设的内部高管。他的指控直指一个行业痛点:当安全基础设施本身存在盲区时,再专业的威胁情报团队也会变成"睁眼瞎"
赛博暗影:从暴露的CobaltStrike基础设施还原Qilin勒索团伙攻击链
近期,奇安信威胁情报中心在日常样本跟踪分析过程中,发现一套高疑似勒索组织Qilin(Agenda)暴露在外的Cobalt Strike TeamServer工作目录。通过研判,可以确认该批文件并非单纯的黑客工具样本,而是能够直接反映Qilin(Agenda)勒索组织真实攻击活动的运营资料。
操作安全失误暴露与Qilin相关组织的手法:通过VPN设备发起攻击
Ctrl-Alt-Intel 披露了一起由勒索软件即服务(RaaS)组织 Qilin 关联附属成员引发的重大操作安全(OpSec)失误事件。该附属节点在 2025 年 12 月至 2026 年 3 月期间,连续暴露了 5 个包含完整攻击工具链、配置文件、系统日志及受害者二进制程序的 Web 目录。
4天内两波入侵:PAN-OS GlobalProtect认证绕过漏洞(CVE-2026-0257)利用攻击剖析
CVE-2026-0257 是 PAN-OS GlobalProtect 组件中一处高危身份验证绕过漏洞,源于"认证覆盖"Cookie 功能缺少签名完整性校验。截至 2026 年 5 月底,Rapid7 MDR 团队已确认两波真实世界攻击。
Red Hat官方npm账户沦陷: 72秒劫持31个官方npm包!
2026年6月1日,Red Hat 官方 npm 账户 @redhat-cloud-services 被攻陷。攻击者在 72秒 的时间窗口内自动化发布了 32 个携带后门的恶意包版本。
Netlogon"幽灵"再临:CVE-2026-41089 零点击RCE漏洞的全球威胁解剖
CVE-2026-41089 是一个藏在 Windows Netlogon 协议栈里的零点击远程代码执行漏洞,攻击者只要能连上域控制器的 Netlogon 端口(默认 135/445 及动态高端口),不需要账号、不需要点链接、不需要任何交互,就能直接拿到 SYSTEM 权限。
每周高级威胁情报解读(2026.05.22~05.28)
YoroTrooper针对独联体及周边区域的攻击活动分析;Nimbus Manticore在伊朗冲突期间的三波网络攻击行动分析;Kazuar 从后门演变为具有韧性的间谍生态系统;分析Void Dokkaebi的Cython编译的InvisibleFerret恶意软件;追踪Screening Serpen”2026年间谍活动
AI开发工具链遭SEO精准围猎:针对Claude/Gemini开发者的供应链投毒
EclecticIQ披露了一个针对软件开发者的精准SEO投毒攻击活动:攻击者通过搜索引擎优化技术,将仿冒的Gemini CLI和Claude Code安装页面推送至搜索结果前列,诱导开发者执行恶意PowerShell命令,从而在目标主机上部署内存驻留型窃密木马。
紧急:Akira勒索组织利用9.1分高危漏洞! SonicWall Gen6 LDAP MFA完整利用链还原
SonicWall Gen6系列SSL-VPN设备存在关键身份验证绕过漏洞CVE-2024-12802(CVSS 9.1),该漏洞自2026年2月起被Akira勒索软件即服务组织积极利用。
Mythos 宇宙漫游指南:当 AI 开始帮你修漏洞,你才发现代码有多烂
一份来自 Anthropic PR 机器的"我们造了个怪物,但我们在努力管好它"综合解读报告
AI 定向注入攻击:加密货币窃取供应链攻击新邪招
Socket研究团队发现一场代号为 "TrapDoor" 的大规模跨生态系统供应链攻击活动。该攻击同时针对 npm、PyPI 和 Crates.io 软件包仓库,发布超过 34 个恶意包 及 384+ 个关联版本,专门针对加密货币、DeFi、Solana 生态和 AI 开发社区的开发者群体进行精确打击。
每周高级威胁情报解读(2026.05.15~05.21)
VELVET CHOLLIMA 利用交易应用程序作为诱饵进行信息窃取活动;FrostyNeighbor:新鲜的恶作剧和数字恶作剧;Kazuar:国家级僵尸网络的剖析;Lazarus组织追踪系列——解析OtterCookie
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)