🛡️ KENSAI 安全情报
数据泄露
Telus Digital确认遭入侵 — 黑客声称窃取1PB数据
加拿大BPO巨头Telus Digital在威胁行为者声称窃取了近1PB数据后,确认了一起持续数月的安全漏洞。此次泄露的规模异常巨大——堪称有史以来最大的数据窃取事件之一。
BPO数据外泄加拿大Bell Ambulance数据泄露 — 23.8万人受影响
黑客从Bell Ambulance窃取了包括姓名、社会安全号码和驾照号码在内的个人信息,影响23.8万人。医疗行业持续成为主要攻击目标。
医疗PIISSN泄露Loblaw(加拿大最大零售商)通知客户数据泄露
加拿大零售巨头Loblaw在数据泄露后强制所有客户退出登录。作为预防措施,该公司的数字服务暂时中断。
零售客户数据加拿大严重漏洞与补丁
Veeam Backup & Replication — 4个严重RCE漏洞
Veeam修补了其Backup & Replication解决方案中的4个严重远程代码执行漏洞。鉴于Veeam在企业环境中的广泛使用,这些漏洞是勒索软件运营者的高优先级目标。请立即修补。
RCE备份基础设施立即修补Microsoft补丁星期二 — 修复77个漏洞
Microsoft发布了77个漏洞的修复程序,包括CVE-2026-21262(SQL Server权限提升至sysadmin,CVSS 8.8)、CVE-2026-26113和CVE-2026-26110(通过预览窗格的Office RCE——无需点击)。两个漏洞在补丁发布前已被公开披露。
Patch TuesdaySQL ServerOffice RCE.NETn8n Workflow Automation — 服务器接管漏洞
n8n中的严重漏洞使未经身份验证的攻击者能够执行任意代码、窃取凭据并接管服务器。任何运行n8n的组织应立即修补——这是一个未经身份验证的RCE。
n8n未认证RCEWorkflow AutomationCisco IOS XR — 高危补丁
Cisco修补了IOS XR中可能导致DoS、命令执行或完全接管设备的高危漏洞。网络基础设施运营商应优先处理。
Cisco网络基础设施DoSSplunk与Zoom — 严重漏洞已修补
Splunk和Zoom中的严重漏洞可被利用执行任意shell命令或提升权限。两者在企业环境中广泛部署。
SplunkZoomShell执行Apple向旧版iOS回移Coruna Exploit Kit补丁
Apple发布iOS 15.8.7和16.7.15,修补了用于网络间谍活动和加密货币盗窃的Coruna exploit kit中的CVE-2023-43010(WebKit内存损坏)。针对无法运行最新iOS的旧款iPhone/iPad。
AppleWebKitExploit Kit间谍活动WordPress "Ally"插件 — SQL注入影响20万+网站
Ally WordPress插件中的漏洞使超过20万个网站面临SQL注入攻击风险,攻击者可提取敏感数据库信息。
WordPressSQLi20万网站勒索软件与破坏性攻击
医疗科技巨头Stryker遭伊朗关联擦除器攻击瘫痪
伊朗支持的黑客活动组织Handala(与MOIS/Void Manticore有关联)声称已擦除Stryker全球运营中20万+系统的数据。爱尔兰5,000多名员工被遣送回家。79个国家的办公室受到影响。安装了Outlook的员工个人设备也被擦除。登录页面被替换为Handala标志。公司电话线报告"建筑紧急情况"。
这是近年来对西方企业最具影响力的擦除器攻击之一——一家价值250亿美元的公司在全球范围内基本离线。
国家级伊朗/MOIS擦除器Handala医疗科技England Hockey遭AiLock勒索软件攻击
曲棍球国家管理机构England Hockey正在调查潜在的数据泄露事件,此前AiLock勒索软件团伙将其列入泄露网站。体育组织日益成为攻击目标。
AiLock体育英国AI生成的"Slopoly"恶意软件用于Interlock勒索攻击
一种名为Slopoly的AI生成新型恶意软件被用于Interlock勒索软件攻击,使威胁行为者能够维持一周以上的持久性并在部署勒索软件前窃取数据。这标志着AI在恶意软件开发中的使用日益增长。
AI生成恶意软件Interlock持久化新兴威胁与研究
VENON银行木马 — 基于Rust的恶意软件瞄准33家巴西银行
一种名为VENON的基于Rust的新型银行木马使用覆盖攻击、活动窗口监控和LNK劫持瞄准33家巴西银行。从Delphi到Rust的转变表明恶意软件作者正在采用更现代、更难分析的语言。
银行木马Rust巴西覆盖攻击六个新Android恶意软件家族瞄准Pix支付和加密钱包
Zimperium发现6个新Android恶意软件家族:PixRevolution、TaxiSpy RAT、BeatBanker、Mirax、Oblivion RAT和SURXRAT。PixRevolution实时劫持巴西的Pix即时支付。部分恶意软件使用AI/人工操作员实时观看受害者屏幕。
Android移动银行PixRATAI代理浏览器易受钓鱼攻击 — Perplexity的Comet在4分钟内被欺骗
Guardio研究人员证明,AI驱动的代理浏览器(如Perplexity的Comet)可以通过利用AI推理和叙述行为的倾向被钓鱼诈骗欺骗。攻击者操纵推理过程以降低安全防护。
AI Security代理AI浏览器钓鱼Polyfill供应链攻击(2024年)现与朝鲜有关联
影响10万+网站的2024年Polyfill.io供应链攻击最初归因于中国,但来自信息窃取程序感染的新证据揭示了朝鲜的参与。突显了供应链攻击中持续存在的归因挑战。
供应链朝鲜归因执法与行业动态
美国捣毁SocksEscort代理网络
美国和欧洲执法机构捣毁了SocksEscort网络犯罪代理网络,该网络使用通过AVRecon Linux恶意软件入侵的边缘设备。这是对犯罪基础设施的重大打击。
捣毁代理网络IoTMeta禁用亚洲15万+诈骗中心账户
Meta推出新的保护工具并禁用了亚洲15万多个驱动诈骗中心的账户,继续打击有组织的欺诈行动。
Meta诈骗中心亚洲Wiz加入Google Cloud — 320亿美元收购完成
Google完成了对云安全公司Wiz的320亿美元收购。Wiz将在Google Cloud内保留其品牌。这是网络安全历史上最大的收购。
并购Google CloudWiz320亿美元Google 2025年支付1,710万美元漏洞赏金
Google的漏洞奖励计划在2025年向747名研究人员支付了1,710万美元,展示了对众包安全的持续投资。
Bug BountyGoogle VRP参议院确认Joshua Rudd为NSA和网络司令部负责人
美国参议院确认Joshua Rudd在"双帽"安排下同时领导NSA和US Cyber Command。
政府NSAUSCYBERCOM🎯 KENSAI分析 — 对我们客户的重要启示
- Veeam RCE + 勒索软件融合:备份基础设施现已成为主要攻击目标。使用Veeam的组织必须立即修补——勒索软件运营者积极利用备份系统以阻止恢复。KENSAI的基础设施扫描可检测暴露的Veeam实例。
- AI生成的恶意软件已投入实战:Interlock攻击中使用的"Slopoly"恶意软件由AI生成,足以支撑一周的入侵。这降低了复杂攻击的门槛——这正是AI驱动的防御(KENSAI)必须与AI驱动的攻击相匹配的原因。
- 国家级擦除器走向商业化:Handala/MOIS对Stryker的攻击表明,国家支持的组织正在对西方企业部署毁灭性擦除器。一次行动中擦除了20万+设备。NIS2对事件响应和弹性的合规要求不是可选项。
- WordPress插件风险(20万网站):Ally插件的SQLi影响20万+网站。KENSAI的DAST功能可在攻击者之前自动检测这些注入点。
- 供应链归因在转变:Polyfill攻击从中国重新归因于朝鲜。组织需要持续的依赖项监控——KENSAI的SBOM分析可捕获受损包。
- Patch Tuesday优先事项:Microsoft Office预览窗格RCE(CVE-2026-26113/26110)无需点击。SQL Server提权至sysadmin(CVE-2026-21262)可通过网络利用。对于运行Microsoft基础设施的DACH企业而言,两者均为高优先级。