剣 KENSAI
← Back to archive

🛡️ 安全研究简报

2026年3月29日 星期日 — 04:00 CET · 来源:BleepingComputer、The Hacker News、SecurityWeek

摘要: 伊朗关联黑客入侵了FBI局长的个人邮箱,并对Stryker发动了擦除攻击。Citrix NetScaler(CVSS 9.3)和F5 BIG-IP的严重CVE正在被积极利用。TeamPCP发起的大规模供应链攻击通过WAV文件中的隐写术侵害了Telnyx PyPI包。中国的Red Menshen被发现深入潜伏在电信骨干基础设施中。欧盟委员会正在调查AWS账户被入侵事件。多个iOS漏洞利用工具包正在流通——Apple已开始向旧设备发送锁屏警告。

🔓 数据泄露与安全事件

FBI局长卡什·帕特尔个人邮箱被伊朗关联组织入侵

严重国家级威胁

亲伊朗的Handala Hack Team成功入侵了FBI局长卡什·帕特尔的个人邮箱账户。该组织在线泄露了照片和文件。此外,他们还声称对国防/医疗科技巨头Stryker发动了擦除攻击。

欧盟委员会调查AWS云账户入侵事件

严重云安全

欧盟委员会正在调查一起安全事件——威胁行为体获取了其Amazon云环境的访问权限。入侵范围仍在评估中。

Hightower Holding数据泄露影响13万人

高危个人信息

Hightower Holding披露黑客窃取了姓名、社会安全号码和驾驶证号码,影响13万人。

来源:SecurityWeek

荷兰警方披露遭钓鱼攻击导致的安全事件

钓鱼攻击

荷兰国家警察(Politie)报告了一起因钓鱼攻击成功导致的安全事件。影响被描述为有限,未涉及公民数据。

Ajax足球俱乐部遭黑客攻击,球迷数据泄露并可劫持门票

数据泄露

Ajax Amsterdam的系统遭到入侵,球迷数据泄露,门票可被劫持。

🚨 严重漏洞

CVE-2026-3055 — Citrix NetScaler 内存越界读取 (CVSS 9.3)

严重活跃侦察

Citrix NetScaler ADC和Gateway中的严重内存越界读取漏洞正在被积极侦察。不充分的输入验证使攻击者能够从内存中泄露敏感信息。补丁已发布——请立即应用。

CVE-2025-53521 — F5 BIG-IP APM RCE 被加入CISA KEV (CVSS 9.3)

严重活跃利用

CISA将此F5 BIG-IP Access Policy Manager RCE漏洞加入已知被利用漏洞(KEV)目录。已确认在野外被活跃利用。请立即修补。

CVE-2026-4681 — PTC Windchill严重漏洞(德国警方出动)

严重ICS/OT

CISA标记了PTC Windchill的严重漏洞,严重程度之高以至于德国警方亲自上门警告相关组织。工业/制造环境面临风险。

来源:SecurityWeek

LangChain和LangGraph漏洞导致文件、密钥、数据库泄露

高危AI/ML

广泛使用的AI框架LangChainLangGraph(每周下载量超5200万次)中发现三个漏洞,通过独立的攻击路径暴露文件系统数据、环境密钥和对话历史。

TP-Link高危路由器漏洞已修复

高危网络

TP-Link修复了路由器中允许认证绕过、任意命令执行和配置文件解密的缺陷。

来源:SecurityWeek

BIND DNS解析器高危漏洞

高危DNS

特制域名可触发BIND解析器的内存耗尽和内存泄漏。更新已发布。

来源:SecurityWeek

Cisco IOS多个漏洞

高危网络

Cisco IOS中的多个高危和中危漏洞可能导致拒绝服务、安全启动绕过、信息泄露和权限提升。

来源:SecurityWeek

🎯 威胁行为体与攻击活动

中国关联的Red Menshen潜伏在电信骨干网中

APT中国严重

Rapid7发现中国国家支持的组织Red Menshen(Earth Bluecrow / DecisiveArchitect)使用BPFDoor内核植入体、被动后门和跨平台命令框架,在电信网络内维持长期隐蔽访问——被描述为电信领域发现的"最隐蔽的数字潜伏细胞"。目标:中东和亚洲电信运营商。

俄罗斯TA446通过鱼叉式钓鱼部署DarkSword iOS漏洞利用工具包

APT俄罗斯

俄罗斯国家支持的组织TA446(Callisto)正通过定向邮件活动利用DarkSword漏洞利用工具包攻击iOS设备。另外,Coruna iOS漏洞利用工具包似乎是2023年Operation Triangulation内核漏洞利用的更新版本。

AitM钓鱼攻击活动瞄准TikTok商业账户

钓鱼攻击社交媒体

使用Cloudflare Turnstile规避技术的中间人(AitM)钓鱼页面被用于劫持TikTok商业账户。被入侵的账户随后被用于恶意广告投放和恶意软件分发。

Infinity Stealer — 通过ClickFix传播的新型macOS信息窃取恶意软件

恶意软件MACOS

一款针对macOS的新型信息窃取恶意软件使用Cloudflare主题的虚假CAPTCHA页面、Bash脚本、Nuitka编译的加载器和基于Python的载荷。通过ClickFix社会工程诱饵进行分发。

GitHub上的虚假VS Code安全警告传播恶意软件

供应链开发者

大规模攻击活动在GitHub Discussions版块发布虚假的VS Code安全警告,诱骗开发者下载恶意软件。另外,Open VSX的漏洞允许恶意VS Code扩展绕过发布前扫描。

RedLine恶意软件管理员被引渡至美国

执法行动

亚美尼亚人汉巴尔楚姆·米纳斯扬(被指为RedLine信息窃取恶意软件管理员)已被引渡至美国面临指控。

来源:SecurityWeek

📦 供应链攻击

TeamPCP入侵Telnyx PyPI包——窃取程序隐藏在WAV文件中

供应链严重

威胁行为体TeamPCP(此前曾入侵Trivy、KICS和litellm)将恶意Telnyx版本4.87.1和4.87.2推送至PyPI。攻击使用三阶段链式手法:通过音频隐写术(将凭据隐藏在WAV文件中)进行投递、内存中执行、然后数据窃取。目标覆盖Windows、Linux和macOS。请立即降级至4.87.0。PyPI项目已被隔离。

🔧 安全工具与公告

OpenAI推出针对滥用和安全风险的漏洞赏金计划

AI安全

OpenAI扩大了其漏洞赏金计划,涵盖导致实质性危害的设计或实现问题,特别针对AI系统中的滥用和安全风险。

来源:SecurityWeek

Apple向旧版iOS设备发送锁屏警告

防御移动端

Apple正在向使用旧版iOS/iPadOS的iPhone和iPad推送锁屏通知,警告用户存在活跃的基于Web的漏洞利用,敦促立即更新。

Windows 11 KB5079391 — Smart App Control功能改进

防御WINDOWS

Microsoft发布了Windows 11 24H2/25H2预览更新,包含29项更改,其中包括Smart App Control安全功能的改进。

RSAC 2026大会公告(第3-4天)

行业动态

RSAC 2026大会第三天和第四天的厂商公告持续发布,涉及多个安全产品发布和平台更新。

来源:SecurityWeek

本周关键趋势

1. iOS遭受围攻: 多个iOS漏洞利用工具包同时活跃——DarkSword(俄罗斯/TA446)、Coruna(Operation Triangulation后续版本),加上活跃的基于Web的漏洞利用促使Apple发出前所未有的锁屏警告。iOS已不再是"安全"的移动平台。

2. 供应链隐写术: TeamPCP在PyPI包中使用WAV音频隐写术隐藏凭据窃取程序,标志着供应链攻击复杂度的演进。预计将出现更多基于媒体文件的载荷隐藏技术。

3. 开发者工具成为攻击面: VS Code、Open VSX、GitHub Discussions、PyPI——开发者生态系统正在被系统性地攻击。虚假安全警告和绕过扫描管线表明攻击者深谙开发者的信任模型。

4. 国家级电信持久化渗透: Red Menshen在电信骨干基础设施中植入的BPFDoor被描述为"数字潜伏细胞",凸显了中国在通信基础设施中间谍活动的深度。

5. 网络设备CVE激增: Citrix NetScaler、F5 BIG-IP、TP-Link路由器和Cisco IOS的严重CVE在同一周期爆发。网络边界设备仍然是排名第一的初始访问向量。