剣 KENSAI
← Back to archive
2026 — 03 — 15  •  星期日

KENSAI 安全研究

每日威胁情报简报 — 过去24小时
4
严重CVE
3
数据泄露
3
执法行动
4
威胁活动
2
新安全工具

🔴 严重漏洞

Chrome 146修补两个已被利用的Zero-Day(CVE-2026-3909 & CVE-2026-3910)

Google发布了两个正在被积极利用的高危Zero-Day漏洞的紧急补丁。CVE-2026-3909(CVSS 8.8)是Skia 2D图形库中的越界写入漏洞;CVE-2026-3910针对V8 JavaScript引擎。两者均可通过精心构造的HTML页面实现远程代码执行。请立即更新Chrome。

CVSS 8.8 Zero-Day Chrome

HPE AOS-CX严重漏洞允许重置管理员密码

HPE Aruba AOS-CX网络交换机中的严重漏洞允许未经身份验证的远程攻击者绕过身份验证控制并重置管理员密码。运行HPE AOS-CX的组织应紧急修补——利用无需用户交互。

严重 未认证RCE HPE / Aruba

Linux AppArmor中9个"CrackArmor"漏洞——Root提权与容器逃逸

Qualys TRU披露了Linux内核AppArmor模块中的9个混淆代理漏洞。非特权用户可以提权至root并突破容器隔离。这些漏洞破坏了Linux的核心安全保障。所有主要发行版预计将在本周发布内核补丁。

严重 Root提权 Linux Kernel

WordPress"Ally"插件SQLi漏洞影响超过20万网站

流行的Ally WordPress插件(超过20万次安装)中的SQL注入漏洞允许攻击者注入查询并提取敏感数据库内容。披露时尚无补丁可用。网站管理员应在修复发布前停用该插件。

SQLi 20万网站 WordPress

💀 数据泄露与攻击

Starbucks员工数据因钓鱼攻击泄露

Starbucks确认了一起影响员工数据的数据泄露事件,起因是针对内部员工门户的钓鱼攻击。数百名员工受到影响,个人信息被暴露。凭证窃取是主要攻击向量。

数据泄露 钓鱼

伊朗关联攻击扰乱Stryker制造业务

伊朗威胁行为者攻击了医疗设备制造商Stryker,扰乱了制造和运输业务。攻击者使用现有的端点管理工具(离地攻击)而非传统恶意软件来擦除设备。对医疗行业的供应链造成了重大影响。

破坏性 伊朗APT 医疗

波兰核研究中心遭网络攻击

波兰国家核研究中心(NCBJ)报告其IT基础设施遭到网络攻击。攻击在造成影响前被检测并阻止,但对核研究机构的攻击标志着欧洲地缘政治网络行动的升级。

国家行为者 关键基础设施

🕷️ 威胁活动与恶意软件

中国APT CL-STA-1087针对东南亚军方

Palo Alto Unit 42发现了一个自2020年以来针对东南亚军事组织的中国关联APT活动。该组织使用定制恶意软件(AppleChris、MemFun)收集有关军事能力和西方军事合作的特定文件。展现了"战略性操作耐心"——高度针对性的情报收集,而非大规模窃取。

APT / 中国 间谍活动 军事

Storm-2561:通过SEO投毒传播木马化企业VPN客户端

Microsoft披露了Storm-2561的活动,通过SEO投毒分发Ivanti、Cisco和Fortinet的虚假VPN客户端。搜索合法企业VPN软件的用户被重定向到攻击者控制的网站,这些网站提供经过数字签名的木马程序以窃取VPN凭证。所有企业VPN管理员应发布关于下载来源的安全公告。

凭证窃取 供应链 VPN

GlassWorm升级:72个恶意Open VSX扩展

GlassWorm供应链攻击的重大升级,现在滥用Open VSX注册表中的extensionPack和extensionDependencies来创建跨72个扩展的传递感染链。使用Open VSX的VS Code替代品的开发者应立即审计已安装的扩展。

供应链 开发者工具 VSCode

AppsFlyer SDK被劫持用于加密货币窃取供应链攻击

AppsFlyer Web SDK被临时注入了旨在窃取加密货币的恶意JavaScript代码。此供应链攻击影响了集成该流行营销分析SDK的网站。恶意代码已被移除,但缓存了该SDK的网站可能仍在提供恶意版本。

供应链 加密货币窃取 JavaScript

⚖️ 执法行动

国际刑警组织Synergia III行动:45,000个IP被接管,94人被捕

国际刑警组织迄今最大规模的网络犯罪打击行动涉及72个国家,接管了45,000个恶意IP并查获212台服务器。94人被逮捕,另有110人正在调查中。目标包括钓鱼、恶意软件分发和勒索软件基础设施。仅孟加拉国就有40人被捕、134台设备被查获。

执法行动 72个国家

SocksEscort代理僵尸网络被摧毁——163个国家369,000台设备

经法院授权的国际行动摧毁了SocksEscort,这是一个自2020年以来使用AVrecon恶意软件感染了369,000台家用路由器的犯罪代理僵尸网络。该服务出售对被入侵家用路由器的访问权用于欺诈操作,约8,000个活跃节点中有2,500台位于美国。

捣毁 僵尸网络

FBI调查通过Steam游戏传播的恶意软件

FBI正在寻找安装了上传到Steam的八款含恶意软件游戏的受害者。调查针对一个利用游戏平台作为恶意软件分发载体的活动。最近几周安装了未知游戏的玩家应扫描其系统。

FBI调查 游戏 / Steam

🛡️ 安全工具与行业

Bold Security走出隐身模式——4000万美元融资

Bold Security以4000万美元融资启动,利用AI将端点转化为理解用户行为并提供实时保护的主动安全代理。代表了行业向自主、AI驱动的端点安全持续转型。

初创公司 AI安全

Onyx Security启动——4000万美元用于AI代理监管

Onyx Security以4000万美元融资启动,构建用于监管自主AI代理的控制平面。直接关联新兴AI治理市场——帮助组织在维护安全控制的同时安全地采用AI代理。

初创公司 AI治理

Google 2025年支付1700万美元漏洞赏金

Google 2025年漏洞赏金计划共支付1700万美元——Chrome漏洞370万美元,云安全缺陷350万美元。标志着市场中漏洞研究的价值(和数量)不断增长。

漏洞赏金 支付1700万美元

📌 重要提及

Meta终止Instagram端到端加密聊天(2026年5月)

Meta将在2026年5月8日后停止Instagram直接消息的端到端加密。这是影响数百万用户的重大隐私倒退。应在截止日期前下载媒体和消息。

隐私 Meta / Instagram

伊朗关联黑客扩大对美国的攻击范围

亲伊朗黑客正在将攻击目标从中东扩展到美国国防承包商、发电站和水处理厂。战时条件下的升级提高了美国关键基础设施运营商的风险水平。

伊朗APT 关键基础设施

Microsoft发布Windows 11 RRAS RCE带外热补丁

Microsoft发布了带外更新,修复了Windows 11 Enterprise的Routing and Remote Access Service(RRAS)中的安全漏洞。仅影响启用了热补丁的Enterprise部署。

补丁 Windows 11

Apple修补旧版iOS以应对Coruna漏洞利用

Apple发布了iOS 16.7.15和15.8.7,修补旧设备上的Coruna漏洞利用。据报道,一家美国国防承包商是Coruna漏洞利用链的幕后推手。仍在使用的旧iPhone和iPad应立即更新。

漏洞利用链 Apple iOS

🎯 KENSAI相关性与行动建议

  • 供应链攻击占主导:GlassWorm(VSX)、AppsFlyer SDK和Steam恶意软件——KENSAI的SBOM扫描和依赖分析能力是直接相关的内容角度
  • CrackArmor Linux漏洞:容器逃逸漏洞影响云托管应用——面向DevOps团队的KENSAI基础设施扫描内容的有力角度
  • 两家新AI安全初创公司(合计8000万美元):Bold Security和Onyx Security验证了AI安全市场。KENSAI应在内容策略中针对性定位
  • 伊朗APT升级:美国关键基础设施成为目标 + DACH市场内容的NIS2合规角度(能源、水务、国防承包商)
  • WordPress SQLi(20万网站):KENSAI免费扫描推广的良好候选——"您的WordPress网站是否存在漏洞?"
  • VPN凭证窃取(Storm-2561):企业安全卫生内容机会——凭证监控、下载验证