🛡️ 每日安全情报简报
⚡ 摘要 — 今日要点
- 微软补丁星期二:修复79-83个漏洞,包括2个零日漏洞 — 立即打补丁
- FortiGate攻击活动:威胁行为者利用FortiGate NGFW窃取医疗和政府机构的AD/LDAP凭据
- KadNap僵尸网络:超过14,000台华硕路由器被入侵,使用自定义Kademlia DHT组建隐蔽代理网络
- APT28(Fancy Bear):新型BEARDSHELL和COVENANT植入物用于长期监控乌克兰军事人员
- Ivanti EPM被积极利用:CISA将其与SolarWinds和Workspace One漏洞一同纳入KEV目录
- Salesforce Experience Cloud:针对配置不当的访客用户权限的大规模扫描活动
- 爱立信数据泄露:因第三方供应商被入侵导致数千人受影响
🔴 严重漏洞与补丁星期二
微软2026年3月补丁星期二 — 2个零日漏洞,79个缺陷
微软发布了79个漏洞的修复程序,包括2个已公开的零日漏洞。此更新还修复了阻止部分设备关机的问题。Windows 10扩展安全更新KB5078885和Windows 11 KB5079473/KB5078883累积更新现已可用。
零日漏洞 立即打补丁 Windows 10/11Adobe修复8款产品中的80个漏洞
Adobe为Commerce、Illustrator、Acrobat Reader、Premiere Pro及其他4款产品发布了80个漏洞的补丁。包含多个严重级别的代码执行缺陷。
高危 Acrobat CommerceSAP修复FS-QUO和NetWeaver严重漏洞
FS-QUO中的代码注入漏洞和NetWeaver中的不安全反序列化缺陷可能允许在企业SAP系统上执行任意代码。补丁优先级:严重。
严重 RCE 企业级HPE AOS-CX严重缺陷 — 管理员密码重置
惠普企业修复了Aruba Networking AOS-CX操作系统中的多个漏洞,包括允许重置管理员密码的认证绕过缺陷及代码执行问题。
严重 认证绕过 网络基础设施CISA将Ivanti EPM、SolarWinds和Workspace One标记为被积极利用
三个漏洞被添加到CISA已知被利用漏洞目录:Ivanti Endpoint Manager高危认证绕过、SolarWinds缺陷和CVE-2021-22054(VMware/Omnissa Workspace One UEM中的SSRF,CVSS 7.5)。所有漏洞均已确认在野被利用。
被积极利用 KEV Ivanti"LeakyLooker" — Google Looker Studio中的9个跨租户漏洞
Tenable披露了Google Looker Studio中的9个跨租户漏洞,攻击者可能利用这些漏洞在受害者的数据库上执行任意SQL查询,并在Google Cloud环境中窃取敏感数据。目前无野外利用证据。
高危 云 跨租户🟠 活跃威胁与攻击活动
FortiGate NGFW攻击活动 — 从医疗和政府机构窃取凭据
威胁行为者利用FortiGate下一代防火墙作为入侵网络的切入点。该活动提取包含AD/LDAP服务账户凭据和网络拓扑的配置文件。目标包括医疗、政府和托管服务提供商。
严重 医疗 政府 凭据窃取俄罗斯APT28对乌克兰军队部署BEARDSHELL + COVENANT
与GRU关联的APT28被观察到自2024年4月以来使用新型植入物BEARDSHELL和COVENANT对乌克兰军事人员进行长期监控。还部署了SLIMAGENT(键盘记录器、截屏捕获、剪贴板窃取)。该活动表明俄罗斯网络间谍行动持续升级。
国家级 间谍活动 俄罗斯KadNap僵尸网络 — 超过14,000台华硕路由器被入侵
新型恶意软件KadNap针对华硕路由器和边缘设备,构建了一个超过14,000个节点的僵尸网络用于代理恶意流量。使用自定义Kademlia DHT协议隐藏C2基础设施。超过60%的受害者位于美国,在台湾、香港、英国、澳大利亚、巴西、法国、意大利和西班牙也有全球传播。自2025年8月起活跃。
高危 僵尸网络 IoT 14K设备Salesforce Experience Cloud大规模扫描活动
威胁行为者使用修改版AuraInspector工具大规模扫描Salesforce Experience Cloud站点。利用过于宽松的访客用户配置访问敏感数据。据称数百家客户受到影响。
高危 SaaS 配置错误朝鲜攻击者通过木马化AirDrop文件入侵加密货币公司
UNC4899(Jade Sleet / TraderTraitor)通过社会工程+木马化AirDrop文件传输入侵了一家加密货币组织。使用Living-off-the-Cloud(LOTC)技术转向云端,滥用DevOps工作流程收集凭据、突破容器并篡改Cloud SQL数据库进行加密货币窃取。
APT 加密货币 供应链🟡 新型恶意软件与规避技术
"BlackSanta" EDR杀手瞄准人力资源部门
一名说俄语的威胁行为者已针对人力资源部门超过一年,使用投递BlackSanta(一种新型EDR杀手)的恶意软件。该活动使用针对HR工作流程定制的社会工程。
高危 EDR绕过 HR目标"BeatBanker" Android恶意软件伪装为Starlink应用
新型Android恶意软件BeatBanker在虚假Google Play Store网站上伪装为Starlink应用。安装后可完全劫持设备。
中等 Android 银行木马"Zombie ZIP" — 绕过安全扫描器的新技术
一种名为"Zombie ZIP"的新规避技术将恶意载荷隐藏在特制的压缩文件中,旨在绕过杀毒软件和EDR检测。利用安全工具解析ZIP存档时的不一致性。
规避 新技术基于几何的沙箱规避 — "新图灵测试"
Picus Red Report 2026揭示,80%的主要攻击者技术现在专注于规避和持久化。恶意软件越来越多地使用基于几何的光标移动测试和CPU计时检查来检测沙箱环境,并在执行载荷前证明"人性"。
研究 沙箱规避恶意npm包"GhostClaw"瞄准macOS开发者
一个恶意npm包(@openclaw-ai/openclawai)部署RAT,窃取凭据、浏览器数据、加密货币钱包、SSH密钥、Apple Keychain和iMessage历史记录。包含持久C2、SOCKS5代理和实时浏览器会话克隆。自3月3日以来178次下载。
🔵 数据泄露
爱立信数据泄露 — 数千人受影响
电信巨头爱立信确认了一起影响数千人的数据泄露事件。该公司将事件归咎于第三方供应商被入侵。泄露数据的范围尚未完全披露。
电信 第三方风险🟢 安全工具发布与行业融资
Kevin Mandia的Armadin以1.9亿美元融资启动
前Mandiant CEO Kevin Mandia推出Armadin,一个能自主发现和利用弱点的AI驱动红队平台。获得1.9亿美元融资支持。自动化进攻性安全领域的重要新竞争者。
初创公司 1.9亿美元 Red TeamingKai — 1.25亿美元用于桥接IT和OT安全的AI平台
由Claroty联合创始人创立的Kai以1.25亿美元融资走出隐身模式,投资方为Evolution Equity Partners和N47。聚焦:AI驱动的IT与OT(运营技术)安全融合。
初创公司 1.25亿美元 IT/OTJazz — 6100万美元用于AI驱动的数据丢失防护
Jazz以6100万美元融资走出隐身模式,专注AI驱动的DLP(数据丢失防护)。承诺提供超越传统DLP工具的意图、上下文和风险可见性。
初创公司 6100万美元 DLPEscape融资1800万美元自动化渗透测试
Escape获得1800万美元融资,深化自动化渗透测试的AI代理能力,扩展工程和市场推广团队。
初创公司 1800万美元 渗透测试OpenAI推出Codex Security漏洞扫描器
OpenAI推出Codex Security(原名Aardvark),一款AI驱动的漏洞扫描器,上个月在测试软件中发现了数百个严重漏洞。
AI安全 漏洞扫描器Microsoft Entra Passkeys — 防钓鱼Windows登录
微软推出Windows版Entra密钥支持,通过Windows Hello实现防钓鱼的无密码认证。消除基于密码攻击的重要一步。
身份 通行密钥 防钓鱼📊 新兴威胁模式
本周期观察到的关键趋势
对过去24小时的分析揭示了几个交汇模式:
1. 大规模边缘设备利用 — KadNap(14K路由器)、FortiGate活动和Ivanti EPM利用均针对网络边缘基础设施。攻击者越来越倾向于入侵本应保护网络的设备。
2. EDR/沙箱规避军备竞赛 — BlackSanta EDR杀手、Zombie ZIP存档规避和基于几何的沙箱检测表明攻击者在绕过端点安全方面投入了大量资源。
3. 持续的供应链投毒 — 恶意npm包(GhostClaw)、木马化AirDrop文件(UNC4899)和修改的开源工具(AuraInspector)证明了持久的供应链攻击向量。
4. 大规模供应商补丁周期 — 微软(79)、Adobe(80)、SAP(严重)、HPE(严重)= 单日162+漏洞。补丁管理仍是安全团队的第一大运营负担。
5. AI安全投资激增 — 4家初创公司(Armadin、Kai、Jazz、Escape)获得3.76亿美元新融资,加上OpenAI进入漏洞扫描领域。AI安全市场正在快速加速。