🛡️ 安全研究简报
2026年3月31日 · CET 04:00 自动生成 · 来源:BleepingComputer、The Hacker News、SecurityWeek、CyberSecurityNews
⚡ TL;DR — 今日要点
- 3个严重CVE正在被积极利用 — Citrix NetScaler、F5 BIG-IP和Fortinet FortiClient EMS均遭受活跃攻击
- 欧盟委员会遭入侵 — ShinyHunters声称从Europa.eu窃取超过350GB数据
- 医疗数据泄露 — CareCloud患者数据在网络入侵中被窃取
- 俄罗斯APT活动 — Star Blizzard采用DarkSword iOS漏洞利用套件;新型CTRL工具包使用RDP劫持
- 供应链攻击 — 恶意PyPI包针对Telnyx SDK用户
- Apple应对ClickFix — macOS Tahoe 26.4新增终端粘贴保护功能
🔓 数据泄露与入侵
欧盟委员会 — ShinyHunters入侵Europa.eu
严重 政府机构 数据窃取欧盟委员会确认发生重大数据泄露事件,勒索团伙ShinyHunters声称从欧盟委员会云系统窃取了超过350GB的信息。该事件是欧洲历史上最大规模的政府数据窃取事件之一。
CareCloud — 医疗患者数据被盗
高危 医疗 PHI医疗IT公司CareCloud披露了一起涉及其电子健康记录(EHR)环境的网络安全事件。在持续约八小时的网络中断期间,敏感患者数据遭到暴露。受保护健康信息(PHI)可能被访问的患者数量不详。
FBI局长Kash Patel — 个人邮箱遭入侵
高危 政府机构 伊朗FBI确认伊朗黑客针对FBI局长Kash Patel的个人邮箱账户发动攻击。一个亲伊朗黑客组织声称对此负责,并公开了邮件和文件供下载。美国悬赏1000万美元征集黑客相关信息。FBI表示泄露的信息较为陈旧。
🚨 严重CVE — 正在被积极利用
CVE-2026-3055 — Citrix NetScaler ADC/Gateway内存越界读取
CVSS 9.3 ⚠ 正在被积极利用Citrix NetScaler ADC和Gateway中的严重内存越界读取漏洞允许攻击者泄露敏感信息,包括已认证管理员会话ID。利用该漏洞需要设备配置为SAML身份提供商。自3月27日以来已观察到活跃利用行为。
应对措施:立即修补。检查SAML IDP配置。
F5 BIG-IP APM — 从DoS重新分类为严重RCE
严重 RCE ⚠ 正在被积极利用F5将BIG-IP APM漏洞从高危DoS重新分类为严重RCE。攻击者正在未修补的设备上积极部署Webshell。CISA已将其添加到已知被利用漏洞(KEV)目录。
应对措施:立即修补。审计BIG-IP实例中的Webshell。
CVE-2026-21643 — Fortinet FortiClient EMS SQL注入
严重 ⚠ 正在被积极利用Fortinet FortiClient Endpoint Management Server(EMS)中的严重SQL注入漏洞正在被实际攻击中积极利用。威胁行为者正利用该漏洞作为企业网络的初始访问入口。
应对措施:立即修补FortiClient EMS。检查EMS日志中的异常查询。
🔥 其他值得关注的漏洞
CVE-2026-33634 — Aqua Trivy扫描器
严重 DevSecOps ⚠ 已列入KEVCISA将Aqua Security的Trivy扫描器严重漏洞添加到KEV目录。讽刺的是——安全扫描器本身成为了漏洞载体。
Cisco Secure Firewall Management Center — 未认证RCE
严重 网络安全Cisco Secure Firewall Management Center(FMC)软件中的未认证远程代码执行漏洞。
Jira Work Management — 存储型XSS
中危 AtlassianJira Work Management中的存储型XSS漏洞可能导致Atlassian生态系统中的账户被入侵。
Claude Chrome扩展 — 零点击提示注入
严重 AI安全Anthropic的Claude Chrome扩展中的零点击漏洞使超过300万用户暴露于静默提示注入攻击,允许恶意网站劫持AI助手。
🕵️ 威胁行为者与攻击活动
俄罗斯APT Star Blizzard — DarkSword iOS漏洞利用套件
俄罗斯 APT iOS俄罗斯国家支持的组织Star Blizzard采用了DarkSword iOS漏洞利用套件,针对政府机构、高等院校、金融机构、律所及智库。这标志着该组织移动端攻击能力的显著扩展。
俄罗斯CTRL工具包 — 通过FRP隧道进行RDP劫持
俄罗斯 RAT RDP新发现的俄罗斯来源远程访问工具包CTRL通过伪装为私钥文件夹的恶意LNK文件进行分发。该工具基于.NET构建,功能包括凭证钓鱼(Windows Hello界面)、键盘记录、RDP会话劫持以及通过Fast Reverse Proxy(FRP)的反向代理隧道。
中国关联APT — 东南亚政府机构成为攻击目标
中国 间谍活动 APT三个与中国有关联的威胁集群(Mustang Panda、Earth Estries/Crimson Palace、Unfading Sea Haze)对东南亚某政府机构发起了协调攻击行动。部署的恶意软件包括HIUPAN、PUBLOAD、MASOL RAT、PoshRAT、FluffyGh0st等——表明这是一次资源充足的持续性行动。
伊朗 — 战争背景下的网络行动
伊朗 混合战争伊朗关联的黑客组织正转向借助AI增强的大规模、低影响型网络攻击。医院、基础设施和民用系统在不断演变的冲突态势中成为攻击目标。
📦 供应链与恶意软件
TeamPCP供应链攻击 — PyPI上的Telnyx SDK遭投毒
高危 供应链 PyPI流行的Telnyx SDK的两个恶意版本被上传到PyPI仓库,针对Windows、macOS和Linux系统。这是不断扩大的TeamPCP供应链攻击活动的一部分。
RoadK1ll — 用于横向移动的新型WebSocket植入体
恶意软件 后渗透新发现的名为RoadK1ll的植入体使用WebSocket连接,实现从被入侵主机到网络中其他系统的隐蔽横向移动。
Infiniti Stealer — Cloudflare主题的Mac端ClickFix攻击
macOS 信息窃取Cloudflare主题的ClickFix攻击通过伪造CAPTCHA页面、Bash脚本、Nuitka加载器和基于Python的信息窃取工具在Mac上投放Infiniti Stealer。Apple的macOS Tahoe 26.4现已包含终端粘贴警告,专门用于对抗ClickFix技术。
🛠️ 安全工具与防御措施
Apple macOS Tahoe 26.4 — 终端粘贴保护
防御 macOSApple在macOS Tahoe 26.4中引入了新的安全功能,阻止在终端中粘贴和执行潜在有害的命令,直接应对诱骗用户粘贴恶意命令的ClickFix社会工程技术。
Huskeys — 边缘安全管理初创公司(800万美元融资)
初创公司 边缘安全Huskeys以800万美元融资走出隐身模式,构建边缘安全管理(ESM)平台——一个覆盖整个边缘安全栈的AI引擎。
📈 新兴模式与趋势
LLM正在侵蚀访问控制
AI风险 IAMSecurityWeek指出一个日益增长的担忧:LLM可以在数秒内生成复杂的访问控制策略(Rego、Cedar),但仅一个缺失的条件或一个幻觉生成的属性就可能悄然瓦解最小权限安全模型。使用AI编写访问策略的组织应将输出视为需要彻底审查的不可信代码。
基于浏览器的攻击绕过传统防护
浏览器安全 AITMPush Security的报告详述了基于浏览器的攻击——AITM钓鱼、ClickFix、恶意OAuth应用和会话劫持——如何在现有安全控制无法检测的情况下导致重大数据泄露。浏览器正在成为主要的攻击面。
网络设备CVE遭快速大规模利用
模式 边缘设备今日报告显示3个不同的网络设备供应商(Citrix、F5、Fortinet)的严重CVE正在同时被积极利用。从漏洞披露到被利用的时间窗口持续缩短。边缘设备修补不是可选项——而是一场竞赛。
国家支持的移动端攻击持续扩展
APT 移动端Star Blizzard采用DarkSword iOS漏洞利用套件表明俄罗斯APT正在扩展移动端攻击能力。结合伊朗AI增强型攻击的规模化,国家级攻击能力的扩展速度正在超过防御覆盖范围。