🛡️ KENSAI 安全情报
每日威胁简报 — 2026年3月9日(星期一)· CET 04:00 自动生成
⚡ TL;DR — 重要新闻
- FBI正在调查持有敏感监控数据的系统遭到入侵
- Cognizant TriZetto泄露暴露340万患者的健康数据
- Cisco SD-WAN CVE-2026-20127目前在野外被广泛利用
- Anthropic发现22个Firefox漏洞——Claude Opus 4.6在两周内完成
- 伊朗MuddyWater利用新型Dindoor后门渗透美国银行和机场
- AI编写的恶意软件成为主流——Transparent Tribe大规模生产"vibeware"
🔓 数据泄露与入侵
FBI正在调查敏感监控系统遭入侵事件
严重 US GovFBI正在调查一个包含敏感监控信息系统上的"可疑"网络活动。根据提交给国会的通知,该局正在努力确定范围和影响。据报道,被入侵的系统持有FISA相关数据。
Cognizant TriZetto泄露暴露340万患者记录
高 医疗医疗IT公司TriZetto Provider Solutions(Cognizant子公司)遭受数据泄露,暴露了超过340万人的敏感健康信息。该公司开发的软件被美国医疗保险公司和医疗服务提供商广泛使用。
伊朗APT MuddyWater渗透美国银行、机场和软件公司
严重 国家行为者 IranBroadcom的Symantec发现与伊朗有关的MuddyWater(Seedworm)已渗透进美国银行、机场、一家非营利组织以及一家国防/航空航天软件公司的以色列分部的网络。该活动使用名为"Dindoor"的新型后门,始于2026年2月初,在美以对伊朗的打击之后活动加剧。
🐛 严重CVE与漏洞利用
CVE-2026-20127 — Cisco Catalyst SD-WAN(广泛利用中)
严重 网络WatchTowr报告发现大量唯一IP正在尝试利用此Cisco Catalyst SD-WAN漏洞。运行受影响SD-WAN基础设施的组织应立即修补。
CISA将Hikvision和Rockwell CVSS 9.8漏洞添加到KEV目录
CVSS 9.8 ICS/OTCISA将两个严重漏洞添加到其已知被利用漏洞目录:CVE-2017-7921(Hikvision不当身份验证)和允许远程ICS入侵的Rockwell Automation漏洞。两者均有积极利用的证据。
CISA命令联邦机构修补iOS漏洞 — Coruna漏洞利用套件
高 移动 SpywareCISA命令美国联邦机构修补三个iOS漏洞,这些漏洞被国家级"Coruna"漏洞利用套件针对,该套件针对iOS 13至17.2.1的23个漏洞。被用于网络间谍和加密货币盗窃活动。
Anthropic利用AI发现22个Firefox漏洞
14个高严重性 浏览器Anthropic的Claude Opus 4.6在短短两周内发现了Firefox的22个漏洞(14个高危、7个中危、1个低危)——几乎占2025年Firefox修补的所有高严重性漏洞的五分之一。一个use-after-free仅在20分钟内被检测到。已在Firefox 148中修复。Anthropic还展示了有限的漏洞利用生成能力($4K API积分,数百次尝试中2次成功)。
💀 勒索软件与恶意软件
Termite勒索软件与ClickFix + CastleRAT攻击相关联
高 RansomwareVelvet Tempest威胁组织正在使用ClickFix社会工程技术和合法的Windows实用程序来部署Termite勒索软件,传递DonutLoader和CastleRAT后门。ClickFix技术继续在多个威胁行为者中演进。
ClickFix活动激增 — 现使用Windows Terminal
高 社会工程Microsoft披露了一种新的ClickFix变体,使用Windows Terminal(而非"运行"对话框)部署Lumma Stealer。另外,一种新的"InstallFix"变体使用伪造的Claude Code安装指南推送信息窃取器。ClickFix现已成为多个威胁组织的主要社会工程攻击载体。
VOID#GEIST:投递XWorm、AsyncRAT、Xeno RAT的多阶段活动
Malware RATSecuronix发现了一种多阶段恶意软件活动,使用混淆的批处理脚本投递加密的RAT有效载荷。利用合法的Python运行时和Early Bird APC注入到explorer.exe。展示了模拟合法用户活动的基于脚本的投递趋势。
100多个GitHub仓库分发BoryptGrab窃取器
高 Supply Chain发现超过100个GitHub仓库分发针对浏览器数据、加密货币钱包、系统信息和用户文件的BoryptGrab窃取器。这是滥用可信开发者平台进行恶意软件分发趋势的一部分。
🕵️ 国家行为者与APT活动
Transparent Tribe — AI生成"Vibeware"大规模生产
Pakistan AI-Malware India与巴基斯坦有关的Transparent Tribe正在使用AI编程工具大规模生产以小众语言(Nim、Zig、Crystal)编写的恶意软件植入程序,托管在Slack、Discord、Supabase和Google Sheets上。Bitdefender称之为"AI辅助恶意软件工业化"——用一次性多语言二进制文件淹没目标。这是AI赋能攻击性操作的里程碑时刻。
中国关联UAT-9244针对南美电信运营商
China Telecom APTCisco Talos追踪UAT-9244(与FamousSparrow有关/可能与Salt Typhoon重叠),自2024年以来针对南美关键电信基础设施。在Windows、Linux和边缘设备上使用三种植入程序:TernDoor、PeerTime和BruteEntry。
黑客滥用.arpa DNS和IPv6绕过钓鱼防御
逃避 Phishing威胁行为者在钓鱼活动中利用特殊用途的.arpa域名和IPv6反向DNS来绕过域名声誉检查和邮件安全网关。一种绕过传统URL过滤的新型逃避技术。
🔧 安全工具与发布
OpenAI Codex Security — AI漏洞扫描器
工具发布 AI SecurityOpenAI发布了Codex Security研究预览版——一种AI驱动的代理,可发现、验证漏洞并提出修复建议。在测试阶段扫描了120万次提交,发现10,561个高严重性问题。适用于ChatGPT Pro/Enterprise/Business/Edu。首月免费。竞争备注:KENSAI自动扫描功能的直接竞争对手。
ArmorCode为暴露管理平台融资$16M
融资 AppSecArmorCode融资$16M以加速其暴露管理平台的开发。该公司专注于应用安全态势管理(ASPM)和漏洞管理整合。
Evervault完成$25M B轮融资,用于开发者加密平台
融资 数据安全数据安全公司Evervault完成$25M B轮融资(总计$46M),用于其面向开发者的加密和编排平台。市场对隐私设计解决方案的需求持续增长。
📊 新兴趋势与分析
Microsoft:黑客在网络攻击的每个阶段都使用AI
趋势 AI威胁Microsoft警告称,威胁行为者越来越多地在所有阶段使用AI——侦察、社会工程、恶意软件开发、横向移动和数据窃取。AI降低了技术门槛并加速了攻击时间线。结合Transparent Tribe的vibeware和Anthropic的Firefox发现,2026年3月标志着AI在攻防两端的明确转折点。
Google:2025年90个零日漏洞中有一半针对企业
趋势 Zero-DayGoogle的年度零日分析显示,2025年被利用的90个零日漏洞中,近一半针对企业产品。间谍软件供应商和中国关联组织在归因分析中占主导地位。向企业目标的转变凸显了主动漏洞管理的必要性。
ClickFix社会工程 — 2026年的主导攻击载体
趋势 社会工程ClickFix及其变体(InstallFix、CastleRAT投递)目前被至少3个不同的威胁组织使用(Velvet Tempest、通用Lumma活动、伪造CLI工具安装程序)。该技术通过伪装成安装或修复程序来欺骗用户运行恶意命令。它已成为2026年首选的社会工程技术。
美国网络战略更新与五角大楼领导层变动
政策 US Gov特朗普的新网络战略强调更强的威慑力、联邦网络现代化、关键基础设施保护以及AI+后量子加密的投资。James "Aaron" Bishop被任命为新任五角大楼CISO,接替服务40年的David McKeown。
🎯 KENSAI相关性
竞争情报
OpenAI Codex Security作为AI驱动漏洞扫描领域的直接竞争对手推出。KENSAI的关键差异化因素:Codex专注于代码/提交扫描,而KENSAI提供全栈渗透测试(DAST+基础设施)。将KENSAI定位为"完整的安全评估",对比Codex的"仅代码"方法。
内容机会
• "AI vs. AI"博客文章 — AI如何发现漏洞(Anthropic/Firefox)以及AI如何创建恶意软件(Transparent Tribe)。KENSAI作为这场军备竞赛的防御方。
• ClickFix意识指南 — 目前有多个变体活跃;撰写检测/预防指南。
• CVE覆盖 — CVE-2026-20127(Cisco SD-WAN)正在被积极利用;如果不存在,请添加到KENSAI的CVE数据库。
来源: BleepingComputer · The Hacker News · SecurityWeek · CISA
下期报告: 2026年3月10日 · CET 04:00