← 返回博客
安全简报5 min read2026-05-04

安全简报,2026年5月4日:cPanel 勒索软件、Instructure 数据泄露、Telegram Mini App 骗局与 Microsoft Defender 证书混乱

今天早上的难看模式是“信任受压”:托管面板、教育平台、聊天应用和终端防护都成了杠杆点,因为团队把熟悉路径误当成了安全路径。


重点: 立刻修补 cPanel,把与 Instructure 相关的数据视为可能已暴露,不要信任要求充值或安装 APK 的 Telegram Mini App;如果 5 月 3 日 Windows 终端收到 Defender 告警,就检查证书健康状态。


1. cPanel 很快就从严重漏洞变成了真实的 Linux 勒索软件入口

cPanel 和 WHM 中的 CVE-2026-41940 已被大规模利用。BleepingComputer 报道称,至少有 44,000 个运行 cPanel 的 IP 在持续攻击中被攻破,攻击随后迅速演变为部署 Go 编写的 Linux “Sorry” 勒索软件,它会给加密文件追加 .sorry 扩展名。


2. Instructure 现在已经是教育行业的真实数据泄露,而不只是事件公告

Instructure 已确认,在上周五披露的网络攻击中有用户数据被盗。公司称,暴露的信息包括姓名、电子邮件地址、学生编号以及受影响机构内用户之间的消息。目前尚未发现密码、出生日期、政府身份证明或金融信息被卷入,但如果 ShinyHunters 的说法哪怕部分属实,影响范围仍可能非常大。


3. Telegram Mini App 正被当作诈骗界面与 Android 恶意软件投递轨道

CTM360 研究人员表示,FEMITBOT 行动利用 Telegram 机器人和 Mini App 冒充品牌、展示虚假余额、诱导受害者充值,并在某些场景下投递伪装成正规应用的 Android APK。之所以有效,是因为整个钓鱼流程都留在 Telegram 内部,看起来就像正常功能。


4. Defender 误报把本来可信的 DigiCert 根证书变成了停机风险

一次 Defender 签名更新把合法的 DigiCert 根证书误报为 Trojan:Win32/Cerdigent.A!dha,并在部分系统上将其从 Windows 信任存储中移除。Microsoft 表示该问题已在 Security Intelligence 1.449.430.0 及以上版本中修复,但这种防御侧错误会在团队追逐“幽灵威胁”时悄悄破坏信任链。


安全团队今天该做什么

  1. 如果任何对外暴露的托管面板仍未修补,先修 cPanel 和 WHM。
  2. 评估你的机构、客户或供应商是否依赖 Instructure 或 Canvas,并现在就准备对外沟通。
  3. 发布 Telegram 投资骗局用户提醒,并尽可能阻断侧载 APK 路径。
  4. 在破损信任链演变成更大范围故障之前,审计 Windows 终端上的 Defender 证书误报。

来源


结论: 今天共同的失效模式,是把信任错误地放在熟悉的基础设施上。攻击者在 cPanel 和 Telegram 上利用了这一点,防御者则在证书处理上栽了跟头。验证假设最快的团队,损失通常最小。

在攻击者或故障工具之前找出暴露的信任路径

KENSAI 帮助团队识别高风险互联网面板、SaaS 依赖、钓鱼表面和信任链盲点,在它们变成真实事件之前先看见。

开始免费扫描 →

保持锋利。

🗡️ KENSAI 安全团队