剣 KENSAI
← Back to archive

🛡️ KENSAI 安全情报

每日威胁简报 — 2026年3月9日(星期一)· CET 04:00 自动生成

5
威胁行为者
3
严重CVE
2
工具发布
4
数据泄露

⚡ TL;DR — 重要新闻

  • FBI正在调查持有敏感监控数据的系统遭到入侵
  • Cognizant TriZetto泄露暴露340万患者的健康数据
  • Cisco SD-WAN CVE-2026-20127目前在野外被广泛利用
  • Anthropic发现22个Firefox漏洞——Claude Opus 4.6在两周内完成
  • 伊朗MuddyWater利用新型Dindoor后门渗透美国银行和机场
  • AI编写的恶意软件成为主流——Transparent Tribe大规模生产"vibeware"

🔓 数据泄露与入侵

FBI正在调查敏感监控系统遭入侵事件

严重 US Gov

FBI正在调查一个包含敏感监控信息系统上的"可疑"网络活动。根据提交给国会的通知,该局正在努力确定范围和影响。据报道,被入侵的系统持有FISA相关数据。

来源: SecurityWeek

Cognizant TriZetto泄露暴露340万患者记录

医疗

医疗IT公司TriZetto Provider Solutions(Cognizant子公司)遭受数据泄露,暴露了超过340万人的敏感健康信息。该公司开发的软件被美国医疗保险公司和医疗服务提供商广泛使用。

伦敦交通局数据泄露影响1000万人

英国 交通

伦敦交通局(TfL)确认了一起影响约1000万人的数据泄露事件。这是该英国交通运营商此前网络事件的后续情况。

来源: SecurityWeek

伊朗APT MuddyWater渗透美国银行、机场和软件公司

严重 国家行为者 Iran

Broadcom的Symantec发现与伊朗有关的MuddyWater(Seedworm)已渗透进美国银行、机场、一家非营利组织以及一家国防/航空航天软件公司的以色列分部的网络。该活动使用名为"Dindoor"的新型后门,始于2026年2月初,在美以对伊朗的打击之后活动加剧。

🐛 严重CVE与漏洞利用

CVE-2026-20127 — Cisco Catalyst SD-WAN(广泛利用中)

严重 网络

WatchTowr报告发现大量唯一IP正在尝试利用此Cisco Catalyst SD-WAN漏洞。运行受影响SD-WAN基础设施的组织应立即修补。

来源: SecurityWeek

CISA将Hikvision和Rockwell CVSS 9.8漏洞添加到KEV目录

CVSS 9.8 ICS/OT

CISA将两个严重漏洞添加到其已知被利用漏洞目录:CVE-2017-7921(Hikvision不当身份验证)和允许远程ICS入侵的Rockwell Automation漏洞。两者均有积极利用的证据。

CISA命令联邦机构修补iOS漏洞 — Coruna漏洞利用套件

移动 Spyware

CISA命令美国联邦机构修补三个iOS漏洞,这些漏洞被国家级"Coruna"漏洞利用套件针对,该套件针对iOS 13至17.2.1的23个漏洞。被用于网络间谍和加密货币盗窃活动。

Anthropic利用AI发现22个Firefox漏洞

14个高严重性 浏览器

Anthropic的Claude Opus 4.6在短短两周内发现了Firefox的22个漏洞(14个高危、7个中危、1个低危)——几乎占2025年Firefox修补的所有高严重性漏洞的五分之一。一个use-after-free仅在20分钟内被检测到。已在Firefox 148中修复。Anthropic还展示了有限的漏洞利用生成能力($4K API积分,数百次尝试中2次成功)。

💀 勒索软件与恶意软件

Termite勒索软件与ClickFix + CastleRAT攻击相关联

Ransomware

Velvet Tempest威胁组织正在使用ClickFix社会工程技术和合法的Windows实用程序来部署Termite勒索软件,传递DonutLoader和CastleRAT后门。ClickFix技术继续在多个威胁行为者中演进。

ClickFix活动激增 — 现使用Windows Terminal

社会工程

Microsoft披露了一种新的ClickFix变体,使用Windows Terminal(而非"运行"对话框)部署Lumma Stealer。另外,一种新的"InstallFix"变体使用伪造的Claude Code安装指南推送信息窃取器。ClickFix现已成为多个威胁组织的主要社会工程攻击载体。

VOID#GEIST:投递XWorm、AsyncRAT、Xeno RAT的多阶段活动

Malware RAT

Securonix发现了一种多阶段恶意软件活动,使用混淆的批处理脚本投递加密的RAT有效载荷。利用合法的Python运行时和Early Bird APC注入到explorer.exe。展示了模拟合法用户活动的基于脚本的投递趋势。

100多个GitHub仓库分发BoryptGrab窃取器

Supply Chain

发现超过100个GitHub仓库分发针对浏览器数据、加密货币钱包、系统信息和用户文件的BoryptGrab窃取器。这是滥用可信开发者平台进行恶意软件分发趋势的一部分。

来源: SecurityWeek

🕵️ 国家行为者与APT活动

Transparent Tribe — AI生成"Vibeware"大规模生产

Pakistan AI-Malware India

与巴基斯坦有关的Transparent Tribe正在使用AI编程工具大规模生产以小众语言(Nim、Zig、Crystal)编写的恶意软件植入程序,托管在Slack、Discord、Supabase和Google Sheets上。Bitdefender称之为"AI辅助恶意软件工业化"——用一次性多语言二进制文件淹没目标。这是AI赋能攻击性操作的里程碑时刻。

中国关联UAT-9244针对南美电信运营商

China Telecom APT

Cisco Talos追踪UAT-9244(与FamousSparrow有关/可能与Salt Typhoon重叠),自2024年以来针对南美关键电信基础设施。在Windows、Linux和边缘设备上使用三种植入程序:TernDoor、PeerTime和BruteEntry。

黑客滥用.arpa DNS和IPv6绕过钓鱼防御

逃避 Phishing

威胁行为者在钓鱼活动中利用特殊用途的.arpa域名和IPv6反向DNS来绕过域名声誉检查和邮件安全网关。一种绕过传统URL过滤的新型逃避技术。

🔧 安全工具与发布

OpenAI Codex Security — AI漏洞扫描器

工具发布 AI Security

OpenAI发布了Codex Security研究预览版——一种AI驱动的代理,可发现、验证漏洞并提出修复建议。在测试阶段扫描了120万次提交,发现10,561个高严重性问题。适用于ChatGPT Pro/Enterprise/Business/Edu。首月免费。竞争备注:KENSAI自动扫描功能的直接竞争对手。

ArmorCode为暴露管理平台融资$16M

融资 AppSec

ArmorCode融资$16M以加速其暴露管理平台的开发。该公司专注于应用安全态势管理(ASPM)和漏洞管理整合。

来源: SecurityWeek

Evervault完成$25M B轮融资,用于开发者加密平台

融资 数据安全

数据安全公司Evervault完成$25M B轮融资(总计$46M),用于其面向开发者的加密和编排平台。市场对隐私设计解决方案的需求持续增长。

来源: SecurityWeek

📊 新兴趋势与分析

Microsoft:黑客在网络攻击的每个阶段都使用AI

趋势 AI威胁

Microsoft警告称,威胁行为者越来越多地在所有阶段使用AI——侦察、社会工程、恶意软件开发、横向移动和数据窃取。AI降低了技术门槛并加速了攻击时间线。结合Transparent Tribe的vibeware和Anthropic的Firefox发现,2026年3月标志着AI在攻防两端的明确转折点。

Google:2025年90个零日漏洞中有一半针对企业

趋势 Zero-Day

Google的年度零日分析显示,2025年被利用的90个零日漏洞中,近一半针对企业产品。间谍软件供应商和中国关联组织在归因分析中占主导地位。向企业目标的转变凸显了主动漏洞管理的必要性。

来源: SecurityWeek

ClickFix社会工程 — 2026年的主导攻击载体

趋势 社会工程

ClickFix及其变体(InstallFix、CastleRAT投递)目前被至少3个不同的威胁组织使用(Velvet Tempest、通用Lumma活动、伪造CLI工具安装程序)。该技术通过伪装成安装或修复程序来欺骗用户运行恶意命令。它已成为2026年首选的社会工程技术。

美国网络战略更新与五角大楼领导层变动

政策 US Gov

特朗普的新网络战略强调更强的威慑力、联邦网络现代化、关键基础设施保护以及AI+后量子加密的投资。James "Aaron" Bishop被任命为新任五角大楼CISO,接替服务40年的David McKeown。

来源: SecurityWeek

🎯 KENSAI相关性

竞争情报

OpenAI Codex Security作为AI驱动漏洞扫描领域的直接竞争对手推出。KENSAI的关键差异化因素:Codex专注于代码/提交扫描,而KENSAI提供全栈渗透测试(DAST+基础设施)。将KENSAI定位为"完整的安全评估",对比Codex的"仅代码"方法。

内容机会

"AI vs. AI"博客文章 — AI如何发现漏洞(Anthropic/Firefox)以及AI如何创建恶意软件(Transparent Tribe)。KENSAI作为这场军备竞赛的防御方。
ClickFix意识指南 — 目前有多个变体活跃;撰写检测/预防指南。
CVE覆盖 — CVE-2026-20127(Cisco SD-WAN)正在被积极利用;如果不存在,请添加到KENSAI的CVE数据库。

KENSAI Security Intelligence 编制 · kensai.app
来源: BleepingComputer · The Hacker News · SecurityWeek · CISA
下期报告: 2026年3月10日 · CET 04:00