← 返回博客
安全简报5 min read2026-05-04
安全简报,2026年5月4日:cPanel 勒索软件、Instructure 数据泄露、Telegram Mini App 骗局与 Microsoft Defender 证书混乱
今天早上的难看模式是“信任受压”:托管面板、教育平台、聊天应用和终端防护都成了杠杆点,因为团队把熟悉路径误当成了安全路径。
重点: 立刻修补 cPanel,把与 Instructure 相关的数据视为可能已暴露,不要信任要求充值或安装 APK 的 Telegram Mini App;如果 5 月 3 日 Windows 终端收到 Defender 告警,就检查证书健康状态。
1. cPanel 很快就从严重漏洞变成了真实的 Linux 勒索软件入口
cPanel 和 WHM 中的 CVE-2026-41940 已被大规模利用。BleepingComputer 报道称,至少有 44,000 个运行 cPanel 的 IP 在持续攻击中被攻破,攻击随后迅速演变为部署 Go 编写的 Linux “Sorry” 勒索软件,它会给加密文件追加 .sorry 扩展名。
- 立即在所有暴露的面板上安装 cPanel 和 WHM 安全更新。
- 排查异常访问、README.md 勒索说明以及带有 .sorry 扩展名的文件。
- 如果面板对外暴露过,就要把网站、数据库和 Webmail 访问都视为可能受影响。
2. Instructure 现在已经是教育行业的真实数据泄露,而不只是事件公告
Instructure 已确认,在上周五披露的网络攻击中有用户数据被盗。公司称,暴露的信息包括姓名、电子邮件地址、学生编号以及受影响机构内用户之间的消息。目前尚未发现密码、出生日期、政府身份证明或金融信息被卷入,但如果 ShinyHunters 的说法哪怕部分属实,影响范围仍可能非常大。
- 把与 Canvas 相关的用户通信和身份数据视为可能已暴露。
- 由于应用密钥已作为预防措施被轮换,重新授权 Instructure API 集成。
- 为学校和大学准备后续的钓鱼与社工活动应对方案。
3. Telegram Mini App 正被当作诈骗界面与 Android 恶意软件投递轨道
CTM360 研究人员表示,FEMITBOT 行动利用 Telegram 机器人和 Mini App 冒充品牌、展示虚假余额、诱导受害者充值,并在某些场景下投递伪装成正规应用的 Android APK。之所以有效,是因为整个钓鱼流程都留在 Telegram 内部,看起来就像正常功能。
- 提醒用户不要相信加密投资类 Mini App,也不要相信要求先充值的 Telegram 流程。
- 阻止这些活动中的 APK 侧载,并检查移动端对非 Play 安装的控制策略。
- 监控品牌冒充和社交渠道欺诈,而不只是传统邮件钓鱼。
4. Defender 误报把本来可信的 DigiCert 根证书变成了停机风险
一次 Defender 签名更新把合法的 DigiCert 根证书误报为 Trojan:Win32/Cerdigent.A!dha,并在部分系统上将其从 Windows 信任存储中移除。Microsoft 表示该问题已在 Security Intelligence 1.449.430.0 及以上版本中修复,但这种防御侧错误会在团队追逐“幽灵威胁”时悄悄破坏信任链。
- 确认受影响的 Windows 系统已升级到 Defender intelligence 1.449.430.0 或更新版本。
- 核实 DigiCert 根证书是否确实恢复到了 AuthRoot 存储中。
- 把证书存储异常同时当作安全问题和可用性问题处理。
安全团队今天该做什么
- 如果任何对外暴露的托管面板仍未修补,先修 cPanel 和 WHM。
- 评估你的机构、客户或供应商是否依赖 Instructure 或 Canvas,并现在就准备对外沟通。
- 发布 Telegram 投资骗局用户提醒,并尽可能阻断侧载 APK 路径。
- 在破损信任链演变成更大范围故障之前,审计 Windows 终端上的 Defender 证书误报。
结论: 今天共同的失效模式,是把信任错误地放在熟悉的基础设施上。攻击者在 cPanel 和 Telegram 上利用了这一点,防御者则在证书处理上栽了跟头。验证假设最快的团队,损失通常最小。
在攻击者或故障工具之前找出暴露的信任路径
KENSAI 帮助团队识别高风险互联网面板、SaaS 依赖、钓鱼表面和信任链盲点,在它们变成真实事件之前先看见。
开始免费扫描 →