Teams钓鱼部署A0Backdoor,Signal劫持活动,Salesforce Aura遭攻击
1. Microsoft Teams钓鱼部署A0Backdoor恶意软件
🚨 严重 — 针对金融与医疗行业的活跃攻击
威胁行为者利用Microsoft Teams消息对金融和医疗行业员工发起攻击。通过Teams建立联系后,攻击者说服受害者通过Quick Assist(Windows合法远程支持工具)授予远程访问权限。一旦连接成功,他们便部署此前未被记录的后门程序A0Backdoor。
该攻击链以其社会工程学的精密程度而著称——攻击者冒充IT支持人员,围绕所谓的安全问题制造紧迫感。A0Backdoor提供持久访问、凭证窃取和横向移动能力。
应对措施:通过组策略限制Quick Assist的使用。对员工进行关于未经请求的Teams支持请求的安全教育。监控异常的远程访问工具活动。
2. 谷歌:云攻击从凭证窃取转向漏洞利用
谷歌最新的威胁情报报告揭示了云攻击策略的重大转变。黑客越来越多地利用第三方软件中新披露的漏洞,而非依赖弱密码或被盗凭证来实现初始云访问。
最令人警醒的发现是:从漏洞披露到被积极利用的时间窗口已从数周缩短至仅数天,有时甚至只有数小时。这给安全团队施加了巨大的即时修补压力。
| 指标 | 以往 | 当前 |
|---|---|---|
| 平均利用时间 | 2–4周 | 1–3天 |
| 首要初始访问向量 | 被盗凭证 | 漏洞利用 |
| 第三方软件涉及程度 | 中等 | 主要目标 |
3. 俄罗斯GRU黑客劫持Signal和WhatsApp账户
🚨 国家级威胁 — 荷兰政府警告
荷兰政府已发布正式警告,披露一项与GRU(俄罗斯军事情报机构)有关的持续性俄罗斯国家支持钓鱼活动。该活动针对政府官员、军事人员和记者,试图劫持其Signal和WhatsApp账户。
攻击者使用精密的社会工程手段诱骗目标将其消息应用账户关联到攻击者控制的设备上。一旦账户被攻破,攻击者即可完全访问加密对话、联系人和共享媒体。
应对措施:检查Signal和WhatsApp设置中的已关联设备。在Signal上启用注册锁定功能。向重要人员通报此特定威胁。
4. 爱立信美国数据泄露
爱立信美国子公司披露了一起因第三方服务提供商被攻破而导致的数据泄露事件。员工和客户数据被窃取,包括个人身份信息。
此事件凸显了供应链攻击的持续风险——即使您自身的安全措施十分完善,供应商和服务提供商仍可能成为薄弱环节。
5. ShinyHunters利用Salesforce Aura漏洞
⚠️ 活跃利用中 — Salesforce Experience Cloud
臭名昭著的ShinyHunters勒索团伙正在积极利用Salesforce Experience Cloud(Aura框架)中的新漏洞,从配置不当的实例中窃取数据。拥有暴露的Salesforce Experience Cloud站点的组织面临直接风险。
ShinyHunters以大规模数据泄露闻名,通常通过威胁泄露被盗数据来勒索受害者。Salesforce Aura漏洞允许在实例配置不当时未经授权访问敏感记录。
应对措施:立即审计Salesforce Experience Cloud配置。检查访客用户权限。排查异常的数据访问模式。
6. 恶意npm包冒充OpenClaw
一个名为@openclaw-ai/openclawai的恶意npm包被发现伪装成合法安装程序。该包部署了远程访问木马(RAT)并从macOS系统窃取敏感数据,包括:
- 系统凭证和钥匙串数据
- 浏览器Cookie和已保存的密码
- 加密货币钱包文件
- SSH密钥和配置
- iMessage历史记录
该包在被发现前已累计178次下载。这是一次利用包管理器信任机制的典型供应链攻击。
7. 朝鲜UNC4899入侵加密货币公司
谷歌Mandiant将一起加密货币公司入侵事件归因于UNC4899(又称TraderTraitor),这是一个朝鲜威胁组织。攻击者通过木马化的AirDrop文件入侵目标,然后利用寄生云服务技术转向云基础设施——滥用合法云服务以融入正常活动。
这代表了朝鲜网络行动的演进,展示了其在云原生攻击技术方面日益增长的成熟度。
8. Chrome扩展在所有权转让后变为恶意软件
两个Chrome扩展在所有权转让给新开发者后被发现变为恶意软件。新所有者推送的更新启用了代码注入和数据窃取功能,影响了启用自动更新的用户。
应对措施:审计组织内的浏览器扩展。实施扩展白名单制度。监控意外的扩展更新。
9. Cisco Catalyst SD-WAN CVE-2026-20127遭大规模攻击
🚨 严重CVE — 活跃的大规模利用
Cisco Catalyst SD-WAN中的严重漏洞(CVE-2026-20127)目前正遭到来自大量IP地址的大规模攻击。运行受影响Cisco SD-WAN基础设施的组织应立即修补或采取缓解措施。
应对措施:立即应用思科安全公告补丁。如无法修补,请实施推荐的变通方案并监控入侵指标。
10. ClickFix攻击演变为利用Windows Terminal
ClickFix社会工程技术已经演变。攻击者现在使用伪造的CAPTCHA页面,指示受害者将恶意命令粘贴到Windows Terminal而非传统的运行对话框中。这种规避技术绕过了多个监控运行对话框的安全控制。
转向Windows Terminal意义重大,因为它提供了更强大的执行环境,且可能不被传统终端检测工具所监控。
11. 更多头条
| 新闻 | 影响 |
|---|---|
| FBI调查监控系统入侵事件 | FBI正在调查一个包含敏感监控信息的系统上的可疑网络活动 |
| CISA将iOS漏洞加入KEV | Coruna漏洞利用套件针对iOS 13–17.2.1的23个漏洞;国家级别 |
| 美国网络战略更新 | 新战略针对对手、关键基础设施保护以及AI/后量子密码学 |
KENSAI如何保护您
✅ 实时CVE监控 — CVE-2026-20127及所有关键漏洞在披露数小时内即被追踪
✅ 供应链分析 — 检测恶意包(如伪造的OpenClaw npm安装程序)
✅ 云配置审计 — 在ShinyHunters之前发现Salesforce配置错误
✅ 持续攻击面管理 — 跨所有向量监控您的暴露面
建议措施
- 立即:修补Cisco SD-WAN CVE-2026-20127。通过组策略限制Quick Assist。
- 今日:审计Salesforce Experience Cloud配置。检查Signal/WhatsApp中的已关联设备。
- 本周:审计组织内的浏览器扩展。检查npm依赖中的恶意包。
- 持续:实施持续漏洞管理。向员工介绍Teams钓鱼和ClickFix技术。
保持安全。保持警惕。
🗡️ KENSAI安全团队