剣 KENSAI
← Back to archive

每日威胁简报

2026-03-17 · 星期二 · 04:00 CET
自动化24小时安全态势分析
4
数据泄露
3
严重漏洞
2
APT 活动
3
新工具

⚡ 摘要 — 今日要点

  • Stryker 擦除攻击:伊朗关联的 Handala 组织利用 Intune 远程擦除约8万台设备——无需恶意软件,仅凭一个被盗的全局管理员账户
  • GlassWorm 供应链升级:被盗的 GitHub 令牌被用于将恶意代码强制推送到数百个 Python 仓库(Django、ML、PyPI 包)
  • Chrome 零日漏洞已修补:CVE-2026-3909(Skia)和 CVE-2026-3910(V8)已在野外被积极利用——请立即更新
  • Oracle EBS 泄露事件:仅剩4家大型企业(Broadcom、Bechtel、Estée Lauder、Abbott)尚未就影响发表声明
  • DRILLAPP 后门:俄罗斯关联攻击者通过 Edge 浏览器调试功能攻击乌克兰——可访问麦克风和摄像头
  • Betterleaks 发布:由 Gitleaks 原作者打造的新一代开源密钥扫描工具——更快、更智能,MIT 许可证

🔓 数据泄露与安全事件

Stryker:伊朗关联擦除攻击影响约80,000台设备

📅 3月16日 🏢 Stryker(医疗科技) 🌍 全球

Handala 黑客组织(与伊朗有关联)入侵了 Stryker 的一个管理员账户,在 Microsoft Entra ID 中创建了新的全局管理员,并利用 Intune 的远程擦除命令在3月11日 UTC 时间 5:00–8:00 之间擦除了约80,000台设备。攻击全程未部署恶意软件——攻击者将合法的 MDM 功能武器化。部分员工因 BYOD 设备加入企业网络而丢失了个人数据。电子订单系统仍处于离线状态;医疗设备已确认安全。Microsoft DART 和 Palo Alto Unit 42 正在进行调查。

KENSAI 观点:此次攻击揭示了一个关键盲区——Intune 等 MDM 平台可被武器化用于破坏,且无需恶意软件。NIS2 第21条要求建立供应链和管理员访问控制。组织应对所有全局管理员账户实施抗钓鱼 MFA,并建立紧急账户监控机制。
严重 擦除攻击 MDM 滥用 伊朗

Oracle EBS 泄露事件:4家企业巨头仍未表态

📅 3月16日 🏢 Broadcom、Bechtel、Estée Lauder、Abbott

Oracle E-Business Suite 泄露事件持续发酵,Broadcom、Bechtel、Estée Lauder 和 Abbott Technologies 是仅有的尚未就潜在影响发表公开声明的大型企业。初始入侵途径和影响范围的细节在调查进行期间仍未公开。

高危 ERP 数据泄露

Starbucks 员工数据因钓鱼攻击泄露

📅 3月16日 🏢 Starbucks

Starbucks 确认一起数据泄露事件影响了数百名员工,起因是钓鱼攻击针对了一个内部员工门户。员工个人信息遭到泄露。该事件凸显了基于凭证的攻击对内部人力资源系统的持续威胁。

高危 钓鱼攻击 员工数据

Loblaw 客户数据泄露

📅 3月16日 🏢 Loblaw Companies 🌍 加拿大

加拿大零售巨头 Loblaw 披露黑客访问了客户个人身份信息,包括姓名、电子邮件地址和电话号码。泄露范围和攻击途径尚未完全披露。

中危 零售 PII

英国公司注册处安全漏洞自2025年10月起持续暴露商业数据

📅 3月16日 🏢 UK Companies House 🌍 英国

该英国政府机构的 WebFiling 服务于周五被紧急下线,原因是发现一个安全漏洞自2025年10月起一直在暴露企业信息——长达近5个月未被察觉。该服务目前已在修复后重新上线。

高危 政府 数据暴露

🛡️ 严重漏洞

Chrome 零日漏洞:CVE-2026-3909 和 CVE-2026-3910(已被积极利用)

📅 3月16日 ⚠️ CVSS:高危 🔴 在野利用

CVE-2026-3909:Skia 2D 图形库越界写入漏洞。CVE-2026-3910:V8 JavaScript/WebAssembly 引擎不当实现导致越界访问。两个漏洞均已被在野积极利用。Google 已发布补丁——请立即更新 Chrome。

KENSAI 观点:浏览器漏洞仍然是排名第一的客户端攻击向量。KENSAI 的 DAST 扫描可通过 HTTP 头分析和版本检测来验证组织是否执行了浏览器更新策略。
严重 零日漏洞 Chrome 在野利用

Wing FTP Server — CISA 标记为已被积极利用

📅 3月16日 ⚠️ KEV 目录已收录 🔴 在野利用

CISA 已将 Wing FTP Server 漏洞加入其已知被利用漏洞(KEV)目录,警告该漏洞正被与其他漏洞组合利用以实现远程代码执行。联邦机构必须按照 BOD 22-01 规定的截止日期完成修补。

严重 RCE CISA KEV

HPE AOS-CX:未授权管理员密码重置

📅 3月16日 ⚠️ CVSS:严重

HPE Aruba AOS-CX 网络交换机存在一个严重漏洞,允许远程未授权攻击者重置管理员密码,完全绕过现有身份认证控制。请立即修补——该漏洞影响核心网络基础设施。

严重 网络基础设施 认证绕过

n8n 工作流自动化平台漏洞被利用

📅 3月16日 🔴 在野利用

流行的 n8n 工作流自动化平台的一个漏洞正在被积极利用。详细信息出现在 SecurityWeek 的每周安全综述中。运行自托管 n8n 实例的组织应立即检查更新并审查访问控制。

高危 自动化 已被利用

🐛 供应链与恶意软件

GlassWorm ForceMemo:被盗 GitHub 令牌 → Python 仓库植入恶意代码

📅 3月17日 ⚠️ 活跃攻击活动 🌍 全球

GlassWorm 攻击活动已急剧升级。攻击者利用此前 VS Code 扩展攻击中窃取的 GitHub 令牌,向数百个 Python 仓库注入混淆恶意代码——涉及 Django 应用、ML 研究代码、Streamlit 仪表板和 PyPI 包。该技术(被称为"ForceMemo")将恶意提交变基到合法提交之上,保留原始作者信息和提交消息以规避检测。任何从受感染仓库运行 pip install 的操作都会触发恶意代码。注入行为可追溯至3月8日。

KENSAI 观点:这是教科书式的供应链攻击——正是 NIS2 第21条第2款(d)项针对的威胁类型。组织应审计其 Python 依赖项,验证提交签名,并扫描入侵指标。KENSAI 的 SBOM 和依赖项分析功能可标记受感染的软件包。
严重 供应链 Python GitHub

ClickFix 攻击活动部署 MacSync macOS 信息窃取程序

📅 3月16日 🍎 macOS

三个独立的 ClickFix 攻击活动通过伪造的 AI 工具安装程序(包括伪造的"OpenAI Atlas"浏览器)传播 MacSync 信息窃取程序。攻击完全依赖用户交互——受害者被诱导复制并执行混淆的终端命令。通过 Google 搜索赞助结果投放,引导至伪造的 Google Sites 页面。Sophos 研究人员记录了自2025年11月以来的完整攻击链。

高危 macOS 信息窃取 社会工程

Storm-2561:伪造 VPN 客户端窃取凭证

📅 3月16日 ⚠️ 活跃攻击活动

威胁行为者 Storm-2561 通过 SEO 投毒分发木马化的 VPN 客户端,部署木马程序并从搜索合法 VPN 软件的用户处窃取登录凭证。

高危 VPN SEO 投毒 凭证窃取

Slopoly 恶意软件现身

📅 3月16日

一个名为"Slopoly"的新恶意软件家族出现在 SecurityWeek 的每周综述中。具体细节仍在披露中,但已与本周其他值得关注的威胁一同被提及。

中危 新发现 恶意软件

🎯 APT 与国家级威胁活动

DRILLAPP:俄罗斯关联后门通过 Edge 调试功能攻击乌克兰

📅 3月16日 🏴 Laundry Bear / UAC-0190 🎯 乌克兰

一个名为 DRILLAPP 的新型 JavaScript 后门利用 Microsoft Edge 的远程调试功能对乌克兰实体进行隐蔽间谍活动。该恶意软件可上传/下载文件、访问麦克风和捕获摄像头图像——全部通过浏览器原生功能实现。通过司法和慈善主题的诱饵及 LNK 文件进行投递。归因于 Laundry Bear(Void Blizzard),一个与俄罗斯有关联的威胁组织。攻击活动自2026年2月起被观测到。

严重 APT 俄罗斯 间谍活动

CL-STA-1087:中国针对东南亚军事目标

📅 3月13日 🏴 CL-STA-1087 🎯 东南亚军事

Palo Alto Unit 42 披露了一个长期潜伏的中国关联间谍行动(自2020年起活跃),使用定制的 AppleChris 和 MemFun 恶意软件针对东南亚军事组织。攻击者表现出"战略性作战耐心",专注于获取高度特定的军事能力文件,而非大规模数据窃取。

高危 APT 中国 军事

伊朗关联黑客将攻击目标扩展至美国基础设施

📅 3月16日 🏴 亲伊朗组织 🎯 美国、中东

亲伊朗黑客正将攻击范围从中东扩展至美国,在持续的地区冲突期间增加了对国防承包商、发电站和水处理设施的威胁。

高危 伊朗 关键基础设施 ICS/OT

波兰核研究中心遭黑客攻击(疑似伊朗)

📅 3月16日 🎯 波兰

波兰核研究中心报告了一起黑客攻击事件。初步证据指向伊朗,但官方承认这可能是一次假旗行动。调查仍在进行中。

高危 核设施 关键基础设施

🔧 安全工具与新版本

Betterleaks:开源密钥扫描工具(Gitleaks 继任者)

📅 3月15日 📦 MIT 许可证 🔗 GitHub

由 Zach Rice(Gitleaks 原作者,现任 Aikido Security 密钥扫描负责人)创建,Betterleaks 是从零开始的全新重写,带来重大改进:基于 CEL 的规则验证、BPE 分词实现98.6%召回率(对比熵值方法的70.4%)、纯 Go 实现、自动处理多重编码密钥、并行化 Git 扫描,以及扩展的提供商规则集。即将推出的功能包括 LLM 辅助分类和自动密钥撤销。

新发布 密钥扫描 开源

Bold Security:4000万美元隐身模式发布 — AI 驱动的设备代理

📅 3月16日 💰 4000万美元融资

Bold Security 以4000万美元融资走出隐身模式。其方案是:将设备转化为主动式 AI 代理,理解用户行为并提供实时保护。作为 AI 安全领域的潜在竞争对手/合作伙伴,值得持续关注。

新发布 AI 安全 初创企业

Android 17:限制无障碍 API 以防范恶意软件

📅 3月16日 📱 Android

Google 正在 Android 17 Beta 2 中测试一项安全功能,在高级保护模式下阻止非无障碍应用使用无障碍服务 API。此举直接针对 Android 银行木马和间谍软件的主要攻击向量。

新发布 Android 移动安全

📊 新兴趋势

本周关键趋势

多个趋势交汇,值得密切关注:

1. MDM 武器化:Stryker 攻击证明合法管理工具(Intune、SCCM、Jamf)如今已成为一级攻击面。无需恶意软件——只需管理员凭证和一个擦除命令。预计将出现模仿者。

2. 供应链级联效应(GlassWorm → ForceMemo):单一供应链入侵(VS Code 扩展)正在级联为对 Python 仓库的二阶攻击。这种链式反应模式——一次攻击窃取的凭证驱动下一次攻击——正在加速。

3. ClickFix 跨平台蔓延:ClickFix 社会工程技术(诱骗用户运行终端命令)已从 Windows 蔓延至 macOS,通过伪造的 AI 工具安装程序传播。AI 热潮正成为新的钓鱼诱饵。

4. 浏览器即 C2:DRILLAPP(Edge 调试)和 Chrome 零日漏洞都表明浏览器仍然是最有价值的攻击面。"正常浏览"与"已被入侵"之间的界线越来越模糊。

5. 伊朗威胁升级:24小时内出现三条伊朗相关新闻——Stryker 擦除攻击、美国基础设施攻击、波兰核设施事件。地缘政治紧张局势正直接转化为网络行动。

KENSAI 观点:本周多个事件直接映射到 NIS2 合规要求:供应链安全(第21条第2款d项)、事件处理(第21条第2款b项)、访问控制(第21条第2款i项)。这正是 KENSAI 为之构建的威胁态势。

📌 其他值得关注

快讯

Microsoft Exchange Online 服务中断——持续影响邮箱/日历访问(3月16日)
Google 2025年支付1700万美元漏洞赏金——其中 Chrome 370万美元,云安全350万美元
影子 AI 治理——Nudge Security 报告企业中未受监控的 AI 工具采用持续增长
安全公司高管遭定向攻击——利用 DKIM 签名邮件、可信重定向和 Cloudflare 保护的钓鱼页面进行复杂钓鱼攻击
国际刑警组织打击网络犯罪——多国联合行动出现在每周综述中
Telus Digital 数据泄露——加拿大电信子公司受影响
Linux AppArmor 漏洞——允许 root 权限提升的缺陷