每日威胁简报
🔓 数据泄露与信息泄漏
Hightower Holding数据泄露 — 13万人受影响
高影响金融控股公司Hightower披露黑客从其环境中窃取了姓名、社会安全号码和驾驶执照号码。约13万人受到影响。此次泄露凸显了针对持有大规模个人身份信息数据集的金融服务公司的持续攻击趋势。
Ajax Amsterdam FC — 球迷数据暴露,门票劫持
中等荷兰足球俱乐部AFC Ajax披露了一起入侵事件,黑客利用其IT系统中的漏洞,访问了数百名球迷的个人数据。该访问使得门票劫持成为可能。这表明即使是"非科技"组织,在持有消费者数据时也会面临复杂的攻击。
LeakBase管理员在俄罗斯被捕
执法行动俄罗斯警方逮捕了一名塔甘罗格居民,此人被认为是LeakBase的所有者——这是一个自2021年运营的大型网络犯罪论坛,用于交易被盗数据库和黑客工具。技术设备被查获。另外,RedLine信息窃取器的疑似管理员Hambardzum Minasyan从亚美尼亚被引渡到美国面临刑事指控。
🚨 严重CVE与漏洞
CVE-2026-33017 — Langflow AI框架RCE(CVSS 9.3)
严重 9.3CISA将CVE-2026-33017添加到其已知被利用漏洞目录中。该漏洞影响Langflow ≤1.8.1,这是一个流行的开源AI工作流框架(GitHub星标145K)。由于未沙箱化的流程执行,通过单个精心构造的HTTP请求即可实现未认证远程代码执行。漏洞公开仅20小时后即开始被利用——当时不存在公开PoC;攻击者仅从公告中逆向工程出了利用代码。自动扫描→利用→数据收集(.env、.db文件)在24小时内完成。
PolyShell — Magento/Adobe Commerce未认证RCE
严重名为PolyShell的新漏洞影响Magento Open Source和Adobe Commerce,允许通过REST API进行未认证文件上传至RCE。自3月19日起大规模被利用,超过50个IP在扫描。Sansec报告称56.7%的脆弱商店已被攻击。一种新型WebRTC支付窃取器通过此攻击向量部署,使用DTLS加密UDP通道而非HTTP来绕过Content Security Policy。补丁仅在测试版(2.4.9-beta1)中可用。
BIND DNS — 高严重性OOM漏洞
高ISC发布了修补BIND DNS解析器中高严重性漏洞的更新。特制域名可能触发内存不足状况,导致内存泄漏和潜在的拒绝服务。DNS基础设施运营商应立即修补。
Cisco IOS — 多个漏洞已修补
高Cisco发布了IOS软件多个漏洞的补丁,修复了可能导致拒绝服务、安全启动绕过、信息泄露和权限提升的缺陷。运行Cisco IOS的网络基础设施应进行更新。
Apple iOS/macOS 26.4 — 安全补丁
中等Apple发布了iOS/macOS 26.4的安全修复,以及旧版本的向后移植:iOS 18.7.7、iPadOS 18.7.7、macOS Sequoia 15.7.5和macOS Sonoma 14.8.5。请及时更新所有Apple设备。
☠️ 威胁活动与恶意软件
Red Menshen(中国)— 通过BPFDoor深度渗透电信骨干网
APT国家支持与中国有关联的威胁行为者Red Menshen(Earth Bluecrow / DecisiveArchitect)自2021年以来在中东和亚洲的电信网络中植入了内核级植入物和被动后门。Rapid7将其描述为"有史以来遇到的最隐蔽的数字潜伏单元"。BPFDoor植入物通过电信基础设施入侵实现对政府网络的持续长期间谍活动。
Sandworm(俄罗斯)— 通过盗版软件传播后门
APT国家支持俄罗斯APT组织Sandworm正通过盗版软件如"Microsoft.Office.2025x64"分发后门(Tambur、Sumbur、Kalambur、DemiMur)。使用Telegram作为分发渠道,针对寻找软件破解的乌克兰用户。DemiMur强制将伪造的根证书导入操作系统信任存储,实现持续性信任链操纵。
Coruna iOS漏洞利用框架 — Operation Triangulation的演进
ZERO-CLICKCoruna漏洞利用套件被确认为Operation Triangulation中使用的框架的演进版本——2023年通过零点击iMessage漏洞攻击iPhone的那场活动。这代表了复杂移动端漏洞利用能力的持续发展。
Keenadu — Android固件级后门持续扩散
FIRMWARESophos检测到Keenadu,这是一个嵌入在Android的libandroid_runtime.so中的固件后门,注入到Zygote进程(所有Android应用的父进程)中,使攻击者获得设备的完全控制权。在约50个型号中检测到500多台受损设备,主要是来自Allview、BLU、Dcode、DOOGEE等厂商的低价设备。出厂时预装。
TeamPCP — 跨生态系统OSS供应链入侵
供应链威胁组织TeamPCP从入侵GitHub Action标签(最初是Trivy)扩展到攻击NPM、Docker Hub、VS Code Extensions和PyPI。据报道,该组织已与Lapsus$联手,在多个软件包生态系统中发动更广泛的供应链攻击。
TikTok for Business — 带反爬虫技术的钓鱼活动
PHISHING针对TikTok for Business账户的新钓鱼活动使用反机器人技术来阻止安全工具分析恶意页面。社交媒体商业账户仍然是凭据盗取的高价值目标。
英国制裁Xinbi交易平台
制裁英国制裁了Xinbi——一个中文加密货币交易平台,该平台向东南亚诈骗网络出售被盗数据和卫星互联网设备。与"杀猪盘"及其他有组织诈骗活动相关联。
🛡️ 安全工具与行业动态
RSAC 2026大会 — 第二天公告
RSAC 2026RSAC 2026正在举行,各大厂商发布重要公告。关键主题包括AI驱动的安全运营、后量子密码学准备和以身份为中心的防御策略。
Dell和HP — 抗量子设备安全
PQCDell和HP均宣布了面向PC和打印机的新型抗量子安全功能,与Google最近发布的2029年PQC迁移时间表保持一致。Google正在将ML-DSA(基于模格的数字签名算法)集成到Android 17的验证启动流程中。
GitHub — AI驱动漏洞检测
AI SECURITYGitHub宣布在GitHub Code Security中推出AI驱动的安全检测,补充CodeQL以发现传统静态分析遗漏的漏洞。混合检测模型在拉取请求工作流中显示问题和建议修复。公开预览预计在2026年第二季度初推出。
Onit Security — 1100万美元用于暴露面管理
融资Onit Security筹集了1100万美元用于投资其暴露面管理平台并向新领域扩展。随着组织寻求对其攻击面的持续可视化,暴露面管理领域继续吸引投资。
FCC禁止外国制造的消费级路由器
监管FCC以国家安全风险为由禁止了在美国境外制造的新消费级路由器。该禁令与白宫关于所有外国制造路由器构成安全威胁的认定一致。对网络行业供应链产生重大影响。
📊 新兴趋势
1. AI基础设施成为新的攻击面
CVE-2026-33017(Langflow)在20小时内被利用。AI工作流工具暴露在互联网上,通常未打补丁,并持有API密钥和云凭据。随着采用加速,预计会出现更多AI专有CVE。部署AI工具的组织必须将其视为关键基础设施。
2. 通过非HTTP通道绕过CSP
WebRTC支付窃取器代表了范式转变:攻击者使用DTLS加密的UDP数据通道来窃取数据,对专注于HTTP的安全工具完全不可见。仅靠CSP已不再足够。安全监控必须扩展到HTTP之外,覆盖WebRTC、WebSocket和其他浏览器API。
3. 供应链攻击跨越生态系统
TeamPCP从GitHub Actions → NPM → Docker Hub → VS Code → PyPI的扩展表明,攻击者将整个OSS生态系统视为单一攻击面。入侵一个包管理器即可在其他平台获得立足点。SBOM和依赖关系监控现在是必需的,而非可选项。
4. 后量子密码学时间表趋于明确
Google的2029年PQC迁移截止日期 + Dell/HP硬件公告 + Android 17 ML-DSA集成表明,PQC正从理论走向实践。"现在存储,以后解密"攻击使其成为当前而非未来的威胁。NIS2覆盖的组织应开始PQC准备评估。
5. 身份仍然是最薄弱的环节
PwC的研究证实,AI正在放大攻击的速度和规模,同时身份盗取演变为完整的网络犯罪供应链。RedLine管理员引渡和LeakBase关闭显示了凭据盗取已如何产业化。MFA绕过技术继续与AITM钓鱼套件同步发展。
6. 大规模固件级入侵
Keenadu预装在50个型号的500多台设备上出厂,表明固件供应链攻击是真实且普遍的。廉价设备仍然是大规模监控的载体。采用BYOD政策的组织面临来自受损消费硬件的更高风险。