剣 KENSAI
← Back to archive

每日威胁情报

2026年3月24日 星期二 — 04:00 CET
2个严重CVE 供应链攻击 iOS 0-Day链 国家支持活动 大规模钓鱼
3
数据泄露
4
严重CVE
1
勒索软件
5
国家支持型

⛓️ 供应链攻击 — Trivy扫描器遭入侵

Trivy漏洞扫描器被植入后门 — 通过Docker和GitHub传播

供应链 活跃利用中

黑客组织TeamPCP入侵了Aqua Security开发的广泛使用的开源漏洞扫描器Trivy。包含信息窃取恶意软件的恶意版本(0.69.4–0.69.6)被推送至Docker Hub。攻击范围超出Docker — TeamPCP劫持了Aqua Security的GitHub组织,篡改了数十个仓库。最后已知的安全版本为0.69.3。恶意镜像已被移除,但对开发环境的影响范围依然严重。

KENSAI相关性

这正是KENSAI的SBOM分析和依赖扫描能够检测的供应链入侵类型。如果您的CI/CD在受影响期间拉取了Trivy镜像,需要立即审计。使用KENSAI持续监控的组织将会收到关于意外二进制文件变更的告警。

来源: BleepingComputer, The Hacker News, SecurityWeek — 3月23日

TeamPCP部署针对伊朗的Kubernetes擦除器

黑客行动主义 擦除器

Trivy入侵事件背后的同一TeamPCP组织还在使用破坏性擦除器攻击Kubernetes集群。恶意脚本会检测系统是否配置为伊朗基础设施,如果条件满足则擦除所有机器。这代表着容器化环境中从数据窃取到完全破坏能力的重大升级。

来源: BleepingComputer — 3月23日

🔴 严重漏洞

CVE-2026-21992 — Oracle Identity Manager RCE(紧急补丁)

严重CVE 可能已被利用

Oracle针对CVE-2026-21992发布了紧急带外补丁,这是Oracle Identity Manager中的一个严重漏洞。该缺陷允许未经身份验证的远程代码执行,可能已在实际环境中被利用。运行Oracle Identity Manager的组织应立即应用补丁 — 这是身份管理系统上的预认证RCE,对攻击者而言价值极高。

来源: SecurityWeek — 3月23日

CVE-2025-32975(CVSS 10.0)— Quest KACE SMA遭活跃攻击

CVSS 10.0 活跃利用中

Quest KACE Systems Management Appliance中一个最高严重级别的漏洞正在被活跃利用,尤其针对教育行业。Arctic Wolf观察到从3月9日当周开始,暴露在互联网上的未打补丁SMA系统遭到利用。鉴于CVSS 10.0评分和已确认的利用情况,需要立即打补丁。

来源: The Hacker News, SecurityWeek — 3月23日

DarkSword iOS漏洞利用链 — 纳入CISA KEV

6个CVE链 活跃利用中 国家支持型

CISA将三个DarkSword漏洞(CVE-2025-31277、CVE-2025-43510、CVE-2025-43520)添加到其已知被利用漏洞目录中。DarkSword是一个复杂的iOS漏洞利用工具包,通过链接6个漏洞在iPhone(iOS 18.4–18.7)上实现沙箱逃逸、权限提升和RCE。与土耳其商业监控供应商PARS Defense(UNC6748)和俄罗斯间谍组织UNC6353有关联。部署了三个恶意软件家族:GhostBlade、GhostKnife、GhostSaber。联邦机构须在4月3日前完成修补。

来源: BleepingComputer, CISA — 3月23日

QNAP修补四个Pwn2Own漏洞

Pwn2Own

QNAP修补了在Pwn2Own上被演示的四个漏洞,防止NAS设备上的信息泄露、代码执行和异常行为。鉴于QNAP作为勒索软件目标的历史,及时修补至关重要。

来源: SecurityWeek — 3月23日

💾 数据泄露

Crunchyroll调查泄露事件 — 声称680万用户数据被窃

数据泄露

热门动漫流媒体平台Crunchyroll(Sony旗下)正在调查黑客声称窃取约680万用户个人数据的事件。泄露事件仍在调查中 — 范围和真实性仍在验证。

来源: BleepingComputer — 3月23日

Mazda披露员工和合作伙伴数据泄露

数据泄露

马自达汽车公司确认了一起于2025年12月首次发现的安全事件,导致员工和业务合作伙伴数据泄露。该披露于2026年3月进行,凸显了汽车行业在检测与公开披露之间持续存在的时间差距。

来源: BleepingComputer — 3月23日

Trio-Tech半导体子公司遭勒索软件攻击

勒索软件 数据泄露

芯片服务公司Trio-Tech International披露其新加坡子公司遭到文件加密勒索软件攻击。半导体供应链持续成为攻击目标,制造和芯片服务企业面临越来越大的勒索软件压力。

来源: SecurityWeek — 3月23日

🕵️ 国家支持型与APT活动

FBI/CISA:俄罗斯黑客大规模钓鱼Signal和WhatsApp用户

俄罗斯 / 情报机构 大规模钓鱼

FBI和CISA发布联合警告,称俄罗斯情报部门正在针对高价值个人 — 政府官员、军事人员、政治人物和记者 — 开展大规模Signal和WhatsApp账户钓鱼活动。全球已有数千个账户被入侵。一旦得手,攻击者会查看消息、窃取联系人并利用可信身份进行进一步钓鱼。

来源: The Hacker News, FBI — 3月21–23日

FBI警告伊朗Handala黑客利用Telegram传播恶意软件

伊朗 / MOIS

FBI警告称,与伊朗情报与安全部(MOIS)有关联的黑客 — 被称为Handala — 正在利用Telegram分发恶意软件。美国已确认Handala与伊朗政府的关联,并查封了其网络心理战行动中使用的多个域名。

来源: BleepingComputer, SecurityWeek — 3月23日

朝鲜黑客滥用VS Code传播StoatWaffle恶意软件

朝鲜 / WaterPlum

Contagious Interview威胁行为者(WaterPlum)正在通过恶意VS Code项目分发StoatWaffle恶意软件。该攻击滥用VS Code的tasks.json自动运行功能 — 这是自2025年12月以来采用的相对较新的策略。目标是打开看似合法VS Code项目的开发人员,自动执行恶意软件。

来源: The Hacker News — 3月23日

🎣 钓鱼与社会工程

Tycoon2FA PhaaS平台在警方打击后完全恢复

Phishing-as-a-Service

Europol于3月4日打击的Tycoon2FA钓鱼平台已恢复到打击前的活动水平。攻击量和策略未变,展示了网络犯罪基础设施对执法机构打击行动的韧性。该平台专门用于绕过双因素认证。

来源: BleepingComputer, SecurityWeek — 3月23日

Microsoft:IRS报税季钓鱼攻击影响29,000名用户

钓鱼活动

Microsoft警告称出现利用美国报税季紧迫性的大规模钓鱼活动。超过29,000名用户成为虚假IRS退税通知、工资表和报税提醒的目标。活动部署了Remote Monitoring & Management(RMM)恶意软件并利用PhaaS平台。目标包括个人和能够访问敏感财务数据的税务专业人员。

来源: The Hacker News, Microsoft — 3月23日

📊 新兴趋势与研究

M-Trends 2026:初始访问交接时间缩短至22秒

研究 / Mandiant

基于超过50万小时事件响应经验的Mandiant M-Trends 2026报告显示,初始访问代理入侵到勒索软件运营商接手的时间已从数小时缩短至仅22秒。这极大地缩小了防御方在勒索软件部署前检测和响应入侵的时间窗口。

KENSAI相关性

22秒的交接时间意味着手动SOC分诊不再适用于初始访问检测。像KENSAI这样的自动化持续扫描方法成为唯一现实的防御手段。没有自动响应能力的组织在面对这种攻击速度时基本处于不设防状态。

来源: SecurityWeek / Mandiant — 3月23日

在AWS Bedrock中发现八个攻击向量

AI安全研究

XM Cyber的威胁研究团队在AWS Bedrock AI平台中映射了八个经过验证的攻击向量:日志操纵、知识库入侵、代理劫持、流程注入、护栏降级和提示词投毒。随着AI代理获得对企业数据(Salesforce、Lambda、SharePoint)的访问权限,它们成为具有权限和可达性的高价值攻击面,可触及关键资产。

KENSAI相关性

AI基础设施安全是一个新兴前沿领域。随着企业将AI代理连接到生产系统,攻击面急剧扩大。这与KENSAI在AI安全领域的定位一致 — 扫描和保护支撑AI系统的基础设施。

来源: The Hacker News / XM Cyber — 3月23日

基于浏览器的攻击绕过传统安全控制

研究 / Push Security

Push Security的一份新报告记录了基于浏览器的攻击 — AITM钓鱼、ClickFix、恶意OAuth应用和会话劫持 — 如何驱动当今最大的安全事件并规避传统安全控制。浏览器正日益成为主要攻击面。

来源: BleepingComputer / Push Security — 3月23日

💰 行业与融资

Cape为蜂窝网络安全融资1亿美元

融资

专注隐私的移动虚拟网络运营商(MVNO)Cape融资1亿美元,用于抵御蜂窝网络安全威胁 — 服务于消费者、企业和政府客户。

来源: SecurityWeek — 3月23日

Eclypsium为设备供应链安全融资2500万美元

融资

Eclypsium获得2500万美元融资,用于扩展其设备供应链安全平台和发展渠道合作伙伴关系。鉴于今日新闻中Trivy供应链攻击的主导地位,时机恰当。

来源: SecurityWeek — 3月23日

3人因走私AI硬件至中国被起诉

出口管制

三人因涉嫌违反美国出口管制法规、将在美国组装的大量高性能AI服务器转运至中国而被起诉。反映了围绕AI硬件获取的持续地缘政治紧张局势。

来源: SecurityWeek — 3月23日

📋 合规与监管

英国加强网络安全报告要求

监管

英国正在加强强制性网络事件报告要求。随着NIS2在欧盟全面实施,组织面临日益复杂的报告义务。自动化合规报告 — KENSAI的差异化优势 — 变得不可或缺。

来源: SecurityWeek — 3月23日