← 返回博客
Security Briefing4 分钟阅读2026-04-27

安全简报,2026年4月27日:通过 Teams 传播的 Snow 恶意软件、Itron 公用事业网络入侵、App Store 上的 FakeWallet,以及 LMDeploy 的 13 小时警报

今天早上的模式既难看又一致:被信任的支持渠道、被信任的基础设施、被信任的应用商店,以及被信任的 AI 工具,正在一起被改造成高速攻击路径。


要点: 在很多团队开完晨会之前,就有四个故事必须关注:带来域级后果的聊天式社工攻击、公用事业行业内部网络入侵、通过 App Store 交付的钱包盗窃,以及在半天内就被利用的 AI 服务漏洞。


1. Snow 恶意软件把 Microsoft Teams 帮助台信任变成域攻陷路径

Google Mandiant 表示,UNC6692 正在把邮件轰炸与伪造的 Microsoft Teams 帮助台联系结合起来,诱导受害者安装所谓的反垃圾补丁。这个补丁实际投放的是 Snow 工具链:用于浏览器持久化的 SnowBelt、用于隧道通信的 SnowGlaze,以及用于命令执行的 SnowBasin。随后攻击者会转储 LSASS、进行横向移动,并窃取 Active Directory 材料。这已经不是普通钓鱼,而是把支持信任直接武器化为深度网络访问。


2. 即便尚未确认客户影响,Itron 的内部 IT 入侵仍是关键基础设施警报

Itron 披露某些内部系统遭到未授权访问,并表示已阻断相关活动、启动调查,目前未看到重大运营中断。这是好消息,但远远不够。Itron 深度嵌入能源与水务公用事业技术环境。当这样一家高度嵌入式供应商报告内部失陷时,公用事业机构和相关运营方都应把它视为关于分段、供应商访问和响应准备的警告。


3. App Store 上的 FakeWallet 说明“可信移动分发”仍然是活跃的盗窃渠道

研究人员在 Apple App Store 中发现了 26 个 FakeWallet 应用,专门瞄准恢复短语和私钥,其中包括多款主流钱包的仿冒版本。某些情况下,这些应用会把用户引向被植入木马的钱包安装流程,报道还特别提到其在中国区 App Store 的可用性。教训不止于加密货币:当品牌仿冒和移动端信任足够逼真时,即便是被信任的应用商店也会变成凭据和资产盗窃的投递渠道。


4. 观察项:LMDeploy 证明 AI 漏洞利用窗口正在塌缩

LMDeploy CVE-2026-33626 是一个开源 LLM 服务栈中的 SSRF 漏洞,据报道在披露后 12 小时 31 分钟内就被利用。任何把 AI 基础设施当作普通内部软件来管理的团队都应对此感到不安。今天的安全公告距离“可生成利用思路的提示词”已经非常近,补丁延迟本身就是暴露面。


安全团队今天应该做什么

  1. 重新验证所有基于 Teams 的支持流程,并对紧急帮助台请求强制带外确认。
  2. 复查关键基础设施和内部网络的分段假设,尤其是围绕供应商和远程管理的部分。
  3. 立即发布移动钱包卫生指引,并在设备管理允许的情况下阻止高风险安装模式。
  4. 尽快修补 AI 服务组件,并默认阻断模型基础设施对元数据、回环地址和不必要外联的访问。

来源


结论: 今天早上的模式既难看又一致:被信任的支持渠道、被信任的基础设施、被信任的应用商店,以及被信任的 AI 工具,正在一起被改造成高速攻击路径。

在信任裂缝变成事故前先把它们找出来

KENSAI 帮助团队在身份工作流、内部基础设施、移动软件供应链和 AI 服务栈中发现暴露的攻击路径,在攻击者把信任变成访问权之前先一步看见问题。

免费扫描 →

保持警惕。

🗡️ KENSAI Security Team