每日威胁简报
⚡ 摘要 — 今日要点
- Stryker 擦除攻击:伊朗关联的 Handala 组织利用 Intune 远程擦除约8万台设备——无需恶意软件,仅凭一个被盗的全局管理员账户
- GlassWorm 供应链升级:被盗的 GitHub 令牌被用于将恶意代码强制推送到数百个 Python 仓库(Django、ML、PyPI 包)
- Chrome 零日漏洞已修补:CVE-2026-3909(Skia)和 CVE-2026-3910(V8)已在野外被积极利用——请立即更新
- Oracle EBS 泄露事件:仅剩4家大型企业(Broadcom、Bechtel、Estée Lauder、Abbott)尚未就影响发表声明
- DRILLAPP 后门:俄罗斯关联攻击者通过 Edge 浏览器调试功能攻击乌克兰——可访问麦克风和摄像头
- Betterleaks 发布:由 Gitleaks 原作者打造的新一代开源密钥扫描工具——更快、更智能,MIT 许可证
🔓 数据泄露与安全事件
Stryker:伊朗关联擦除攻击影响约80,000台设备
Handala 黑客组织(与伊朗有关联)入侵了 Stryker 的一个管理员账户,在 Microsoft Entra ID 中创建了新的全局管理员,并利用 Intune 的远程擦除命令在3月11日 UTC 时间 5:00–8:00 之间擦除了约80,000台设备。攻击全程未部署恶意软件——攻击者将合法的 MDM 功能武器化。部分员工因 BYOD 设备加入企业网络而丢失了个人数据。电子订单系统仍处于离线状态;医疗设备已确认安全。Microsoft DART 和 Palo Alto Unit 42 正在进行调查。
Oracle EBS 泄露事件:4家企业巨头仍未表态
Oracle E-Business Suite 泄露事件持续发酵,Broadcom、Bechtel、Estée Lauder 和 Abbott Technologies 是仅有的尚未就潜在影响发表公开声明的大型企业。初始入侵途径和影响范围的细节在调查进行期间仍未公开。
高危 ERP 数据泄露Starbucks 员工数据因钓鱼攻击泄露
Starbucks 确认一起数据泄露事件影响了数百名员工,起因是钓鱼攻击针对了一个内部员工门户。员工个人信息遭到泄露。该事件凸显了基于凭证的攻击对内部人力资源系统的持续威胁。
高危 钓鱼攻击 员工数据Loblaw 客户数据泄露
加拿大零售巨头 Loblaw 披露黑客访问了客户个人身份信息,包括姓名、电子邮件地址和电话号码。泄露范围和攻击途径尚未完全披露。
中危 零售 PII英国公司注册处安全漏洞自2025年10月起持续暴露商业数据
该英国政府机构的 WebFiling 服务于周五被紧急下线,原因是发现一个安全漏洞自2025年10月起一直在暴露企业信息——长达近5个月未被察觉。该服务目前已在修复后重新上线。
高危 政府 数据暴露🛡️ 严重漏洞
Chrome 零日漏洞:CVE-2026-3909 和 CVE-2026-3910(已被积极利用)
CVE-2026-3909:Skia 2D 图形库越界写入漏洞。CVE-2026-3910:V8 JavaScript/WebAssembly 引擎不当实现导致越界访问。两个漏洞均已被在野积极利用。Google 已发布补丁——请立即更新 Chrome。
Wing FTP Server — CISA 标记为已被积极利用
CISA 已将 Wing FTP Server 漏洞加入其已知被利用漏洞(KEV)目录,警告该漏洞正被与其他漏洞组合利用以实现远程代码执行。联邦机构必须按照 BOD 22-01 规定的截止日期完成修补。
严重 RCE CISA KEVHPE AOS-CX:未授权管理员密码重置
HPE Aruba AOS-CX 网络交换机存在一个严重漏洞,允许远程未授权攻击者重置管理员密码,完全绕过现有身份认证控制。请立即修补——该漏洞影响核心网络基础设施。
严重 网络基础设施 认证绕过n8n 工作流自动化平台漏洞被利用
流行的 n8n 工作流自动化平台的一个漏洞正在被积极利用。详细信息出现在 SecurityWeek 的每周安全综述中。运行自托管 n8n 实例的组织应立即检查更新并审查访问控制。
高危 自动化 已被利用🐛 供应链与恶意软件
GlassWorm ForceMemo:被盗 GitHub 令牌 → Python 仓库植入恶意代码
GlassWorm 攻击活动已急剧升级。攻击者利用此前 VS Code 扩展攻击中窃取的 GitHub 令牌,向数百个 Python 仓库注入混淆恶意代码——涉及 Django 应用、ML 研究代码、Streamlit 仪表板和 PyPI 包。该技术(被称为"ForceMemo")将恶意提交变基到合法提交之上,保留原始作者信息和提交消息以规避检测。任何从受感染仓库运行 pip install 的操作都会触发恶意代码。注入行为可追溯至3月8日。
ClickFix 攻击活动部署 MacSync macOS 信息窃取程序
三个独立的 ClickFix 攻击活动通过伪造的 AI 工具安装程序(包括伪造的"OpenAI Atlas"浏览器)传播 MacSync 信息窃取程序。攻击完全依赖用户交互——受害者被诱导复制并执行混淆的终端命令。通过 Google 搜索赞助结果投放,引导至伪造的 Google Sites 页面。Sophos 研究人员记录了自2025年11月以来的完整攻击链。
高危 macOS 信息窃取 社会工程Storm-2561:伪造 VPN 客户端窃取凭证
威胁行为者 Storm-2561 通过 SEO 投毒分发木马化的 VPN 客户端,部署木马程序并从搜索合法 VPN 软件的用户处窃取登录凭证。
高危 VPN SEO 投毒 凭证窃取Slopoly 恶意软件现身
一个名为"Slopoly"的新恶意软件家族出现在 SecurityWeek 的每周综述中。具体细节仍在披露中,但已与本周其他值得关注的威胁一同被提及。
中危 新发现 恶意软件🎯 APT 与国家级威胁活动
DRILLAPP:俄罗斯关联后门通过 Edge 调试功能攻击乌克兰
一个名为 DRILLAPP 的新型 JavaScript 后门利用 Microsoft Edge 的远程调试功能对乌克兰实体进行隐蔽间谍活动。该恶意软件可上传/下载文件、访问麦克风和捕获摄像头图像——全部通过浏览器原生功能实现。通过司法和慈善主题的诱饵及 LNK 文件进行投递。归因于 Laundry Bear(Void Blizzard),一个与俄罗斯有关联的威胁组织。攻击活动自2026年2月起被观测到。
严重 APT 俄罗斯 间谍活动CL-STA-1087:中国针对东南亚军事目标
Palo Alto Unit 42 披露了一个长期潜伏的中国关联间谍行动(自2020年起活跃),使用定制的 AppleChris 和 MemFun 恶意软件针对东南亚军事组织。攻击者表现出"战略性作战耐心",专注于获取高度特定的军事能力文件,而非大规模数据窃取。
高危 APT 中国 军事伊朗关联黑客将攻击目标扩展至美国基础设施
亲伊朗黑客正将攻击范围从中东扩展至美国,在持续的地区冲突期间增加了对国防承包商、发电站和水处理设施的威胁。
高危 伊朗 关键基础设施 ICS/OT波兰核研究中心遭黑客攻击(疑似伊朗)
波兰核研究中心报告了一起黑客攻击事件。初步证据指向伊朗,但官方承认这可能是一次假旗行动。调查仍在进行中。
高危 核设施 关键基础设施🔧 安全工具与新版本
Betterleaks:开源密钥扫描工具(Gitleaks 继任者)
由 Zach Rice(Gitleaks 原作者,现任 Aikido Security 密钥扫描负责人)创建,Betterleaks 是从零开始的全新重写,带来重大改进:基于 CEL 的规则验证、BPE 分词实现98.6%召回率(对比熵值方法的70.4%)、纯 Go 实现、自动处理多重编码密钥、并行化 Git 扫描,以及扩展的提供商规则集。即将推出的功能包括 LLM 辅助分类和自动密钥撤销。
新发布 密钥扫描 开源Bold Security:4000万美元隐身模式发布 — AI 驱动的设备代理
Bold Security 以4000万美元融资走出隐身模式。其方案是:将设备转化为主动式 AI 代理,理解用户行为并提供实时保护。作为 AI 安全领域的潜在竞争对手/合作伙伴,值得持续关注。
新发布 AI 安全 初创企业Android 17:限制无障碍 API 以防范恶意软件
Google 正在 Android 17 Beta 2 中测试一项安全功能,在高级保护模式下阻止非无障碍应用使用无障碍服务 API。此举直接针对 Android 银行木马和间谍软件的主要攻击向量。
新发布 Android 移动安全📊 新兴趋势
本周关键趋势
多个趋势交汇,值得密切关注:
1. MDM 武器化:Stryker 攻击证明合法管理工具(Intune、SCCM、Jamf)如今已成为一级攻击面。无需恶意软件——只需管理员凭证和一个擦除命令。预计将出现模仿者。
2. 供应链级联效应(GlassWorm → ForceMemo):单一供应链入侵(VS Code 扩展)正在级联为对 Python 仓库的二阶攻击。这种链式反应模式——一次攻击窃取的凭证驱动下一次攻击——正在加速。
3. ClickFix 跨平台蔓延:ClickFix 社会工程技术(诱骗用户运行终端命令)已从 Windows 蔓延至 macOS,通过伪造的 AI 工具安装程序传播。AI 热潮正成为新的钓鱼诱饵。
4. 浏览器即 C2:DRILLAPP(Edge 调试)和 Chrome 零日漏洞都表明浏览器仍然是最有价值的攻击面。"正常浏览"与"已被入侵"之间的界线越来越模糊。
5. 伊朗威胁升级:24小时内出现三条伊朗相关新闻——Stryker 擦除攻击、美国基础设施攻击、波兰核设施事件。地缘政治紧张局势正直接转化为网络行动。
📌 其他值得关注
快讯
• Microsoft Exchange Online 服务中断——持续影响邮箱/日历访问(3月16日)
• Google 2025年支付1700万美元漏洞赏金——其中 Chrome 370万美元,云安全350万美元
• 影子 AI 治理——Nudge Security 报告企业中未受监控的 AI 工具采用持续增长
• 安全公司高管遭定向攻击——利用 DKIM 签名邮件、可信重定向和 Cloudflare 保护的钓鱼页面进行复杂钓鱼攻击
• 国际刑警组织打击网络犯罪——多国联合行动出现在每周综述中
• Telus Digital 数据泄露——加拿大电信子公司受影响
• Linux AppArmor 漏洞——允许 root 权限提升的缺陷