安全简报
⚡ TL;DR — 今日要点
- DarkSword iOS 漏洞利用工具包 — 一个月内发现的第二个完整链 iOS 工具包,包含3个 ZERO-DAY,俄罗斯间谍组织 UNC6353 针对乌克兰。影响 iOS 18.4–18.7。
- Handala 黑客活动分子通过 Microsoft Intune 擦除了 Stryker 80,000 台设备 — FBI 查封了其泄露站点。CISA 发布了 Intune 加固指南。
- PolyShell RCE 影响所有 Magento/Adobe Commerce v2 — 通过多态文件上传实现未经认证的远程代码执行。尚无生产环境补丁。
- Cisco FMC ZERO-DAY 自一月起被 Interlock 勒索软件利用 — Amazon 发现与俄罗斯有关联。
- Navia 数据泄露影响270万人 — 敏感福利数据遭曝光。
- APT28(俄罗斯)正在利用 Zimbra CSS 消毒缺陷攻击乌克兰政府机构。
- 9个严重 IP KVM 漏洞涉及4家厂商 — 可在 BIOS 层面实现未认证 root 访问。
数据泄露
Navia Benefit Solutions — 270万条记录遭泄露
福利管理公司 Navia 披露了一起影响近270万人的数据泄露事件。攻击者访问了包括福利数据、社会安全号码和财务记录在内的敏感个人信息。该公司正在为受影响人员提供信用监控服务。
Aura Security — 钓鱼攻击导致90万条记录泄露
颇具讽刺意味的是,身份保护公司 Aura 披露了一起影响90万条记录的数据泄露。一名员工遭到定向电话钓鱼(语音钓鱼)攻击,使攻击者获得了包含客户数据的营销工具的访问权限。
Marquis 数据泄露 — 确认67.2万人受影响
Marquis 数据泄露事件从最初估计的160万人下调至确认的67.2万人受影响。数据类型和攻击向量的详细信息仍在调查中。
严重漏洞
DarkSword iOS 漏洞利用工具包 — 6个漏洞,3个 ZERO-DAY
Google Threat Intelligence、iVerify 和 Lookout 联合披露了"DarkSword"——一个针对 iOS 18.4–18.7 的完整链 iOS 漏洞利用工具包。利用包括3个 ZERO-DAY(CVE-2026-20700、CVE-2025-43529、CVE-2025-14174)在内的6个漏洞。被俄罗斯组织 UNC6353、商业监控供应商和国家支持的攻击者用于针对乌克兰、沙特阿拉伯、土耳其和马来西亚。采用"打了就跑"策略,在数秒内完成数据窃取。继 Coruna 之后,这是一个月内发现的第二个 iOS 漏洞利用工具包。
PolyShell — 所有 Magento/Adobe Commerce v2 的未认证 RCE
Sansec 发现了"PolyShell",这是 Magento REST API 文件上传处理中的一个漏洞。攻击者上传多态文件(同时作为图片和脚本有效),实现未认证的远程代码执行或存储型 XSS 账户接管。影响所有生产环境的 Magento Open Source 和 Adobe Commerce v2。补丁仅在 alpha 2.4.9 中提供——尚无生产环境修复。漏洞利用方法已在流传。
Ubiquiti UniFi — 最高严重级别的账户接管
Ubiquiti 修补了 UniFi Network Application 中的两个漏洞,其中包括一个可导致账户接管的最高严重级别漏洞。管理员应立即更新。
ScreenConnect — 严重的机器密钥泄露
ConnectWise 修补了一个严重的 ScreenConnect 漏洞,该漏洞导致机器密钥暴露,可能允许未授权的远程访问。最新版本增加了加密存储和密钥保护管理功能。
SharePoint RCE(CVE-2026-20963)— 活跃利用中
CISA 将 Microsoft SharePoint CVE-2026-20963 添加到已知被利用漏洞目录。该 RCE 漏洞已在一月的 Patch Tuesday 中修补,现已确认在野外被活跃利用。
9个严重 IP KVM 漏洞 — 未认证 root 访问
Eclypsium 在4款 IP KVM 产品(GL-iNet Comet RM-1、Angeet/Yeeso ES3、Sipeed NanoKVM、JetKVM)中发现了9个漏洞。包括缺少固件签名验证、无暴力破解防护、访问控制失效、调试接口暴露。攻击者可在 BIOS/UEFI 层面获取 root 访问权限——绕过所有操作系统级安全措施。
勒索软件与重大攻击
Handala 黑客活动分子通过 Microsoft Intune 擦除 Stryker 80,000台设备
Handala 黑客活动组织对医疗技术巨头 Stryker 发起了毁灭性破坏攻击,通过武器化 Microsoft Intune 端点管理擦除了约80,000台设备。FBI 已查封了 Handala 运营的两个数据泄露网站。随后,CISA 向所有美国组织发布了加固 Microsoft Intune 部署的紧急指南。
Cisco FMC ZERO-DAY 被 Interlock 勒索软件利用
Amazon 发现 Cisco Firewall Management Center(FMC)的漏洞自一月下旬起被 Interlock 勒索软件组织作为 ZERO-DAY 利用。证据指向与俄罗斯的关联。Cisco 近期频繁曝出漏洞,显示防火墙和 SD-WAN 漏洞被活跃利用的令人担忧的趋势。
Bitrefill 将攻击归因于朝鲜 Lazarus/Bluenoroff
加密货币礼品卡平台 Bitrefill 披露,其三月初遭受的网络攻击很可能由朝鲜的 Bluenoroff 组织(Lazarus 子组织)实施。朝鲜针对加密货币和金融科技平台谋取收入的模式仍在持续。
北卡罗来纳州内部人员攻击 — 250万美元赎金
北卡罗来纳州一名技术人员因对华盛顿一家科技公司实施内部攻击并获取250万美元赎金而被判有罪。凸显了持续存在的内部威胁风险。
国家支持与 APT 活动
APT28(俄罗斯/GRU)利用 Zimbra 漏洞攻击乌克兰
与俄罗斯军事情报机构有关的 APT28 正在积极利用 Zimbra Collaboration Suite 的漏洞攻击乌克兰政府实体。该漏洞涉及 HTML 邮件中 CSS 消毒不足的问题,当消息在浏览器中打开时可执行内联脚本。
伊朗网络基础设施建设曝光
分析揭示了伊朗关联的为期六个月的网络基础设施建设,包括设在美国的空壳公司,旨在确保全球黑客行动的弹性并抵御潜在的军事打击。在 Stryker 事件之后,联邦当局对伊朗网络攻击保持高度警惕。
The Gentlemen RaaS — 专注 FortiGate 的行动
Group-IB 详细披露了"The Gentlemen"——一个约20名成员组成的新兴 RaaS 组织,专门利用 FortiGate 防火墙漏洞。这是利用边缘设备漏洞获取初始访问权限这一持续趋势的一部分。
安全工具与行业动态
Oasis Security — 1.2亿美元用于智能体访问管理
Oasis Security 融资1.2亿美元以扩展其智能体访问管理平台。重点投入研发、AI框架产品扩展和市场推广。反映了投资者对 AI 智能体安全控制日益增长的兴趣。
Cloaked 隐私平台 — 3.75亿美元融资
隐私平台 Cloaked 融资3.75亿美元以拓展企业市场。计划引入 AI 智能体,代表用户监控、管理和执行隐私偏好及安全态势。
1stProtect — 2000万美元走出隐身模式
端点安全初创公司 1stProtect 携2000万美元融资走出隐身模式。其平台通过监控行为和验证用户意图来实时阻止攻击——一种全新的端点防护方法。
Raven — 2000万美元用于运行时异常检测
Raven 携2000万美元融资走出隐身模式。其平台在运行时观察应用程序以检测异常行为并防止网络攻击——弥补静态分析与真实利用之间的空白。
Ceros — Claude Code 的 AI 信任层
Beyond Identity 发布了 Ceros,这是一个为 Claude Code 智能体操作提供实时可见性、运行时策略执行和加密审计追踪的"AI 信任层"。解决了 AI 编码智能体在现有安全控制之外以完整开发者权限运行所带来的新兴风险。
新兴威胁趋势
iOS 漏洞利用扩散
一个月内发现了两个完整链 iOS 漏洞利用工具包(Coruna 和 DarkSword),被国家行为者和商业监控供应商共同使用。表明即使是以经济利益为动机的组织也能获取国家级移动漏洞利用的活跃二级市场。"打了就跑"的窃取方式——数秒而非数小时——使取证检测极为困难。
边缘设备利用持续升温
FortiGate(The Gentlemen RaaS)、Cisco FMC(Interlock 勒索软件)、Ubiquiti UniFi、Zimbra、IP KVM 设备——模式已经清晰。攻击者正在系统性地瞄准网络边缘基础设施。新的 IP KVM 研究表明,即使是 BIOS 层面的访问也通过廉价、安全性差的硬件面临风险。组织必须将每个边缘设备视为关键攻击面。
Microsoft Intune 成为攻击向量
Handala 将 Microsoft Intune 武器化并擦除 Stryker 80,000台设备是一记警钟。设计用于保护设备的端点管理工具在被入侵后可以转变为大规模破坏的武器。CISA 发布应对指南表明,这已成为企业必须防御的公认攻击模式。
AI 智能体安全成为独立领域
仅本周就有多家初创公司获得超过5.35亿美元融资,专门构建 AI 智能体安全产品——访问管理、运行时监控、隐私执行。Ceros(面向 Claude Code)、Oasis(智能体访问)和 Cloaked(AI 隐私智能体)均表明,保护 AI 智能体正在成为一个独立的安全学科。与 KENSAI 的产品路线图高度相关。