剣 KENSAI
← Back to archive
KENSAI Intelligence

🛡️ 每日安全简报

2026年3月7日 星期六 · 编译自 BleepingComputer、The Hacker News、SecurityWeek

摘要:FBI正在调查其监控/窃听系统遭到的入侵。CISA已将Coruna漏洞利用工具包中的iOS零日漏洞加入KEV目录。中国APT组织UAT-9244使用三个新型植入物攻击南美电信运营商。伊朗MuddyWater已渗透美国关键基础设施。一起大规模医疗数据泄露事件暴露了340万患者记录。AI生成的恶意软件正在使威胁行为者的行动工业化。

3
国家级攻击活动
340万
泄露记录数
23
iOS漏洞(Coruna Kit)
90
2025年零日漏洞(Google)

🔓 数据泄露与入侵

FBI调查监控与窃听系统遭入侵事件

FBI确认正在调查用于管理监控和窃听令状的系统上的"可疑网络活动"。该入侵事件由CNN首先报道,影响了处理法院授权窃听和外国情报监控的网络。FBI表示事件已被"处理",但影响范围仍不明确。正在调查可能与2024年攻陷美国电信运营商的Salt Typhoon活动的关联。

严重 美国政府

Cognizant TriZetto数据泄露暴露340万患者记录

Cognizant旗下医疗IT公司TriZetto Provider Solutions披露了一起数据泄露事件,暴露了超过340万患者的敏感健康数据。被泄露的数据包括个人身份信息(PII)和受保护健康信息(PHI)。这是2026年迄今报告的最大医疗数据泄露事件之一。

严重 医疗

伊朗APT MuddyWater渗透美国机场、银行和软件公司

Symantec和Carbon Black的研究人员发现,隶属伊朗情报部(MOIS)的APT组织MuddyWater(Seedworm)已使用新型"Dindoor"后门在多个美国组织(包括银行、机场和一家非营利组织)中建立了持久访问。活动始于2026年2月,在美国/以色列对伊朗的打击后升级。一家服务于国防和航空航天领域的软件公司也通过其以色列业务遭到攻击。

伊朗 / APT

网络犯罪论坛LeakBase被关闭,嫌疑人被逮捕

自2021年运营、拥有14.2万用户的被盗凭证交易市场LeakBase已被执法部门查封,嫌疑人被逮捕。该论坛专门从事泄露凭证和个人数据的交易。

执法行动
来源:SecurityWeek

🐛 关键CVE与被利用漏洞

CISA将Coruna利用工具包中的23个iOS漏洞加入KEV

CISA命令联邦机构修补被Coruna利用工具包利用的iOS漏洞——这是一个国家级工具包,针对iOS 13至17.2.1的23个漏洞。这些漏洞已被用于网络间谍活动和加密货币盗窃。这标志着面向移动设备攻击的重大升级。

严重 iOS / 移动端 KEV

Cisco Catalyst SD-WAN漏洞在野利用中(CVE-2026-20128 & CVE-2026-20122)

Cisco已将两个最近修补的Catalyst SD-WAN漏洞添加到在野利用漏洞列表中。CVE-2026-20128和CVE-2026-20122正在被积极利用。使用Catalyst SD-WAN的组织应立即打补丁。

严重 网络基础设施
来源:SecurityWeek

Rockwell ICS漏洞现已在攻击中被利用

Rockwell Automation于2021年首次披露并缓解的一个漏洞,现已在针对工业控制系统(ICS)的攻击中被积极利用。该漏洞允许远程入侵ICS环境,对关键基础设施构成风险。

严重 ICS / OT
来源:SecurityWeek

Google:2025年90个零日漏洞中半数针对企业

Google的年度零日分析显示,2025年共有90个零日漏洞在野外被利用——近半数针对企业产品。间谍软件供应商和中国国家行为者是最常被归因的威胁组织。向企业导向零日漏洞的转变表明攻击者正加大对高价值目标的投入。

研究 / 趋势
来源:SecurityWeek

🌐 国家级攻击与间谍活动

中国APT UAT-9244使用3个新型植入物攻击南美电信运营商

Cisco Talos发现了一个与中国有关的APT组织(UAT-9244,与FamousSparrow有关联),自2024年以来一直针对南美电信基础设施。部署了三个此前未记录的植入物:TernDoor(Windows)、PeerTime/angrypeer(Linux)和BruteEntry(边缘设备)。该集群与Salt Typhoon存在战术重叠,但尚未建立确切关联。

中国 / APT 电信

Transparent Tribe利用AI大规模生产多语言恶意软件

与巴基斯坦结盟的Transparent Tribe已采用AI辅助编码工具,批量生成用Nim、Zig和Crystal编写的"一次性多语言二进制文件"。植入物利用受信任的服务(Slack、Discord、Supabase、Google Sheets)作为C2通道。Bitdefender研究人员将此描述为"AI辅助恶意软件工业化"——从精密化转向量产化。目标:印度。

巴基斯坦 / APT

💀 恶意软件与勒索软件

俄罗斯勒索软件运营者在美国认罪

2024年11月从韩国引渡的俄罗斯公民Evgenii Ptitsyn在美国法庭就勒索软件相关指控认罪。具体的勒索软件变体和受害者数量的详细信息未被完全披露,但此案凸显了国际社会打击勒索软件运营者的持续合作。

勒索软件 执法行动
来源:SecurityWeek

VOID#GEIST:投递XWorm、AsyncRAT和Xeno RAT的多阶段攻击活动

Securonix研究人员记录了一项隐蔽的多阶段攻击活动,使用混淆的批处理脚本通过合法Python运行时和explorer.exe中的Early Bird APC注入来部署加密的RAT载荷(XWorm、AsyncRAT、Xeno RAT)。该技术精确模仿合法用户活动以逃避检测。

RAT / 恶意软件

假冒Claude Code安装指南传播信息窃取程序("InstallFix")

一种名为"InstallFix"的新型社会工程学变体诱骗用户在假装安装Claude Code等合法CLI工具时运行恶意命令。这种ClickFix衍生技术利用AI开发工具的流行来传播信息窃取恶意软件。

社会工程学

Wikipedia遭自传播JavaScript蠕虫攻击

维基媒体基金会遭遇了一起涉及自传播JavaScript蠕虫的安全事件,该蠕虫篡改页面并在平台上扩散。虽然这不是传统的恶意软件攻击,但该事件表明受信任的平台仍然容易受到创造性攻击向量的影响。

Web安全

🏢 安全行业与融资

ArmorCode为暴露管理平台融资1600万美元

ArmorCode获得1600万美元融资,用于加速其ASPM(应用安全态势管理)和暴露管理平台的发展。投资将用于产品创新和市场拓展。

融资
来源:SecurityWeek

Evervault完成2500万美元B轮融资,打造开发者加密平台

数据安全公司Evervault完成2500万美元B轮融资,累计融资总额达4600万美元。该面向开发者的平台提供加密和数据编排能力。

融资
来源:SecurityWeek

Reclaim Security融资2000万美元加速修复

Reclaim Security融资2000万美元,用于扩大工程团队、深化集成,并加速其以修复为核心的安全平台的市场推广。

融资
来源:SecurityWeek

📊 新兴威胁趋势

AI辅助的恶意软件工业化

本周多份报告证实,威胁行为者正在将AI编码工具武器化——不是为了精密性,而是为了数量。Transparent Tribe的"vibeware"方法用一次性多语言二进制文件淹没目标。InstallFix攻击活动利用AI工具的流行进行社会工程学攻击。Bing AI被发现推广含有信息窃取程序的虚假OpenClaw仓库。趋势十分明确:AI降低了大规模生产恶意软件和诱饵的门槛。

趋势

电信基础设施持续承受APT压力

中国APT组织继续积极攻击全球电信基础设施。UAT-9244的新工具集(TernDoor、PeerTime、BruteEntry)叠加在Salt Typhoon此前的攻击活动之上。随着FBI现在调查其自身窃听系统遭到的入侵,电信与监控基础设施的融合正在为国家安全制造复合风险。

严重 趋势

企业零日漏洞超越消费者目标

Google 2025年零日报告证实了结构性转变:被利用的90个零日漏洞中有一半针对企业产品(而非浏览器/移动端)。间谍软件供应商和国家行为者正在加大对企业攻击面的投入——VPN、SD-WAN设备、ICS系统——这些领域检测能力更弱而影响更大。

趋势