威胁情报
174 reports — IOCs, TTPs, threat actor profiles
CRITICALModeloRAT 活动滥用 Microsoft Teams 进行企业入侵
Rapid7 分析了 2026 年 4 月的一次入侵事件,其中一条假冒的 IT 支持 Teams 消息通过 Dropbox 传递了 ModeloRAT,导致权限提升、凭证盗窃和横向移动...
CRITICALThe Gentlemen RaaS 内部泄露暴露管理员、合作伙伴、战术
从 The Gentlemen RaaS 操作泄露的后端数据库揭示了9个账户,管理员 TOX ID,通过 Fortinet/Cisco 边缘漏洞的初始访问,以及190,000美元的赎金支付。
CRITICALTeamPCP 劫持 TanStack CI/CD,污染 170+ NPM/PyPI 包
TeamPCP 利用三个 GitHub Actions 漏洞劫持 TanStack 的 CI/CD,发布了 42 个包中的 84 个恶意构件。
HIGH2026世界杯诈骗经济针对球迷的假签证、门票
Malwarebytes 记录了围绕2026世界杯的四部分诈骗经济:假签证、伪造门票、钓鱼网站和针对球迷的无价值加密代币,这些诈骗行为发生在……
HIGHAI辅助攻击重塑2026年网络威胁格局
日本少年因窃取700万Kaikatsu Club记录以购买宝可梦卡片而被捕 —— 这是AI工具如何降低2026年网络犯罪门槛的一个例子,据The Hacker News报道…
HIGHAmazon SES 在钓鱼邮件中被滥用以规避电子邮件安全过滤器
威胁行为者利用 Amazon SES 发送绕过 SPF、DKIM 和 DMARC 检查的钓鱼邮件,自 2025 年第四季度以来滥用增加了 40%。
HIGH钓鱼活动劫持 SimpleHelp、ScreenConnect RMM 工具超过80+
Securonix 追踪使用合法 SimpleHelp 和 ScreenConnect RMM 软件的 VENOMOUS#HELPER 钓鱼活动,以实现对80+组织的持久远程访问,大多数在…
HIGH银狐通过税务主题钓鱼部署ABCDoor恶意软件
与中国有关的银狐组织针对印度和俄罗斯组织,通过税务主题的钓鱼邮件在2025年12月的活动中部署ABCDoor后门。
HIGHTelegram Mini Apps 助长加密货币诈骗,Android 恶意软件活动
研究人员揭露了一个欺诈网络,滥用 Telegram Mini Apps 来冒充品牌,窃取加密货币钱包,并推广 Android 恶意软件,如 SpyNote 和 ERMAC。
HIGH中国关联的SHADOW-EARTH-053攻击亚洲政府和北约国家
趋势科技追踪SHADOW-EARTH-053针对亚洲和北约对齐的欧洲国家的政府和国防部门。活动使用定制后门和鱼叉式网络钓鱼。
HIGHCordial Spider,Snarky Spider 使用 Vishing,SSO 滥用针对 SaaS
两个网络犯罪团伙 —— Cordial Spider 和 Snarky Spider —— 正在通过 vishing 和 SSO 滥用进行快速 SaaS 勒索攻击,研究人员警告说,他们能在几小时内窃取数据。
CRITICAL朝鲜洗钱2026年被盗加密货币的76%
朝鲜黑客在2026年洗钱了所有被盗加密货币的76% —— 23亿美元 —— 根据Chainalysis的数据。
HIGH越南网络钓鱼者通过Google AppSheet劫持3万Facebook账户
Guardio追踪使用Google AppSheet作为网络钓鱼中继的AccountDumpling活动,窃取3万个Facebook账户,通过非法商店转售。
HIGHAI 浏览器扩展通过提示注入窃取电子邮件、密码
Unit 42 发现 30+ 恶意 AI 浏览器扩展通过提示注入和 DOM 抓取外泄电子邮件内容、凭据和 API 密钥。影响 Chrome、Edge 用户。
HIGHAPT29, Intellexa, NSO 共享相同的漏洞链
Google TAG 发现 APT29 使用的漏洞链与 Intellexa 和 NSO Group 部署的漏洞链相同,暗示共享零日供应商或漏洞转售。
HIGHBluekit 钓鱼服务提供AI助手,40个模板
一个名为Bluekit的新型钓鱼即服务平台提供超过40个针对银行、社交媒体和电子邮件提供商的模板,以及一个用于起草诱饵的AI助手。
HIGHCISA 详细说明 Interlock 勒索软件 TTPs, IOCs 在联合咨询中
CISA 和 FBI 发布了关于 Interlock 勒索软件的联合咨询,详细说明了 TTPs, IOCs,以及从双重勒索转向仅针对医疗保健的数据盗窃攻击的转变...
HIGH假Roblox增强功能窃取数十万账户
Malwarebytes报告称黑客利用假Roblox游戏增强功能窃取了数十万玩家的登录凭证,并将账户转售以获利。
HIGHGoogle TAG: 2023年野外利用的97个零日漏洞
Google TAG报告称,2023年野外利用的零日漏洞数量从2022年的62个增加到了97个。商业监控供应商推动了80%的目标漏洞利用。完整报告已发布。
MEDIUMGoogle TAG 2025年第一季度影响行动拆除详情
Google TAG 在2025年第一季度终止了12个YouTube频道和多个与俄罗斯、中国、伊朗和以色列国家支持的影响活动相关的广告账户。
HIGH谷歌TAG在2025年第一季度破坏了1万个DRAGONBRIDGE影响行动
谷歌TAG在2025年第一季度破坏了超过1万个DRAGONBRIDGE影响行动——这是被追踪到的最活跃的IO行动者——目标是选举、乌克兰战争叙事和中美关系……
HIGHGoogle TAG 报告详细描述商业监控供应商行业
Google TAG的2026年报告绘制了50多家向政府出售间谍软件的商业监控供应商地图 —— 针对记者、活动家和律师。
HIGH俄罗斯GRU针对支持乌克兰援助的西方物流、科技公司
CISA警告称,自2022年以来,俄罗斯GRU黑客针对支持乌克兰援助的西方物流和科技公司。
MEDIUM假冒 CAPTCHA 骗局导致国际短信费用
Malwarebytes 报告称骗子使用假冒 CAPTCHA 页面触发高额国际短信费用,通过 Keitaro 流量分发向受害者收取每条短信高达 15 美元的费用…
HIGHHandala Group 针对驻巴林美军通过WhatsApp威胁
与伊朗结盟的Handala集团向驻巴林的美国军人发送WhatsApp消息,威胁进行无人机和导弹攻击,加剧了对军队的心理战...
HIGHBlueNoroff 伪造 Zoom 通话以引诱加密高管
BlueNoroff 使用被盗视频、AI 头像和伪造的 Zoom 邀请,将加密高管变成攻击诱饵。
HIGHComburglar 入侵:BHIS 详细描述隐蔽的 C2 持久性
Black Hills Information Security 在一次违规评估活动中发现 Comburglar 入侵技术,该技术通过在违规期间被破坏的 COM 劫持实现持久的 C2。
HIGH亲俄黑客主义者针对美国关键基础设施
CISA 警告亲俄黑客主义者正在对美国和全球关键基础设施进行机会主义攻击,针对已知漏洞的OT和IT系统。
HIGH对手勒索软件团伙0APT和KryBit相互泄露数据
0APT和KryBit勒索软件团伙在一场争执后泄露了对方的基础设施数据,将C2服务器、面板凭证和受害者名单暴露给防御者。
HIGH美国指控19岁Scattered Spider黑客在芬兰被捕
一名19岁的美籍爱沙尼亚双重国籍公民在芬兰被捕,面临联邦指控,作为与MGM Resorts和凯撒宫勒索软件攻击有关的Scattered Spider成员。
HIGHDort 被识别为 Kimwolf Botmaster 背后的记录 DDoS 攻击
KrebsOnSecurity 在针对一名披露其...的网络安全研究员发起 DDoS、人肉搜索和电子邮件洪水攻击后,追溯到 Kimwolf botmaster 'Dort' 的真实身份。
HIGH假冒 CAPTCHA IRSF 诈骗通过 Keitaro 活动推动短信欺诈
Infoblox 揭露使用假冒 CAPTCHAs 的 IRSF 诈骗,诱骗用户发送付费短信;120+ Keitaro 流量分发活动助力全球加密和短信欺诈。
MEDIUM谷歌:AI提示注入攻击上升,仍低复杂度
谷歌报告恶意AI提示注入攻击的增加,但大多数仍然低复杂度且无害。间接注入尝试针对集成了LLM的应用。
HIGHMandiant: 假冒 Teams 帮助台部署信息窃取恶意软件
Mandiant 详细描述了一起社交工程活动,其中攻击者伪装成 Microsoft Teams 帮助台工作人员,诱骗受害者安装窃取凭证和会话的恶意软件...
CRITICALPhantomCore 利用 TrueConf 零日漏洞进行俄罗斯网络攻击
亲乌克兰黑客组织 PhantomCore 自2025年9月以来一直在利用三个 TrueConf 漏洞来在俄罗斯服务器上执行远程命令,Positive…
HIGHSilver Dragon APT 针对东南亚、欧洲进行间谍活动
Check Point Research 追踪到 Silver Dragon,一个与 APT41 有操作联系的中国对齐 APT 组织,针对东南亚和欧洲的政府和电信实体进行攻击,使用...
HIGHUNC6692 电子邮件轰炸投递 Snow 恶意软件以实现持久访问
UNC6692 向受害者发送数千封电子邮件,然后冒充 IT 支持部署 Snowbelt、Snowglaze 和 Snowbasin 恶意软件以实现持久后门访问。没有涉及 CVE。
HIGHHandala Hack:伊朗集团的擦除和泄露行动详细说明
Check Point Research 详细说明了 Handala Hack(Void Manticore),这是一个伊朗威胁行为者,自...以来通过 Homeland Justice 身份进行破坏性擦除攻击和黑客攻击及泄露操作。
HIGH伊朗冲突蔓延:针对关键基础设施的网络威胁
ESET 警告称,随着中东冲突的升级,针对全球能源、水和交通部门的伊朗网络活动增加。
HIGH伊朗Handala Hack侵入FBI局长Patel的Gmail
伊朗与国家有关的团体Handala Hack侵入了FBI局长Patel的个人Gmail账户,在FBI查封该团体的域名后,泄露了个人照片和文件。
HIGHLAC 网络犯罪生态系统随着 RaaS 和加密欺诈激增而成熟
Recorded Future 的 Insikt Group 绘制了一个成熟的拉丁美洲网络犯罪生态系统地图:RaaS 附属机构、加密欺诈团伙以及针对金融和政府的定向网络钓鱼攻击…
HIGH量子地缘政治重塑网络威胁格局
Recorded Future 的 Insikt Group 警告称,量子计算的进步正在推动地缘政治转变,为国家行为者竞相…创造新的网络间谍和攻击向量
MEDIUMRecorded Future: 恶意基础设施随着AI驱动发展
Insikt Group的2025恶意基础设施报告追踪Cobalt Strike、Vidar信息窃取者以及AI驱动的托管策略的变化,以通知2026年防御者策略。
MEDIUMRecorded Future 描绘拉丁美洲成熟的网络犯罪生态系统
Insikt Group 报告详细说明了2025年LAC网络犯罪的演变:RaaS采用、加密货币欺诈和钓鱼即服务在该地区扩展。
HIGHSilver Fox APT 伪装成日本税务邮件在目标活动中
ESET 详细描述 Silver Fox APT 针对日本公司,使用以税务为主题的网络钓鱼邮件,在税务季节通过武器化的 Excel 附件传递恶意软件。
HIGHElastic Security 详细解析 TeamPCP 容器攻击链
Elastic Security Labs 发布了 TeamPCP 多阶段容器入侵的真实案例,展示了如何在每个攻击阶段通过运行时信号检测到...
CRITICALTeamPCP 与 Vect 勒索软件合作进行供应链攻击
Unit 42 报告称 TeamPCP 已与 Vect 勒索软件集团合作,针对安全软件供应商进行多阶段供应链攻击,破坏了受信任的更新机制。
HIGH中文语言Telegram保证市场在Huione关闭后蓬勃发展
Recorded Future 发现,在Huione Guarantee 2025年关闭后,中文Telegram保证市场激增,使得欺诈、洗钱和网络犯罪得以滋生...
HIGH德国识别出REvil、GandCrab勒索软件头目'UNKN'
德国当局将31岁的俄罗斯人Daniil Maksimovich Shchukin命名为'UNKN',他是与130多起敲诈勒索攻击有关的REvil和GandCrab勒索软件集团的运营者。
HIGH卡巴斯基:2025年金融网络威胁激增15%
卡巴斯基报告称,2025年金融网络威胁比去年同期增长了15%,其中信息窃取者和网络钓鱼占主导地位。拉丁美洲的Android银行恶意软件增长了20%。
MEDIUM国家黑客针对矿业部门的关键矿产供应
Recorded Future 警告称,国家资助的网络行动越来越多地针对矿业公司,以获取关键矿产和稀土元素,因为中国在精炼领域的主导地位正在重塑...
HIGH苹果应用商店上的26个假加密钱包应用窃取助记词
卡巴斯基自2025年秋季以来在苹果应用商店发现了26个恶意应用,这些应用冒充MetaMask和Coinbase等钱包,通过…来窃取恢复短语和私钥。
HIGHBlackFile 勒索团伙通过 Vishing 针对零售和酒店业
自2026年2月以来,BlackFile 勒索团伙至少攻击了12家零售和酒店组织,使用 vishing 窃取 VPN 凭证并窃取数据,然后才提出要求...
HIGHFIRESTARTER 后门入侵联邦 Cisco Firepower 设备
CISA 揭露 FIRESTARTER 后门在 2025 年 9 月入侵了一个运行 ASA 软件的联邦 Cisco Firepower 设备,存活于补丁更新并启用持久远程访问。
HIGHGopherWhisper APT 针对蒙古政府进行间谍活动
ESET 发现与中国对齐的 APT GopherWhisper 针对蒙古政府机构使用基于 Go 的定制恶意软件,利用合法服务进行 C2。
HIGHLazarus 通过 ClickFix 劫持 macOS 以针对高管
Lazarus APT 利用 ClickFix 社会工程学来传递 macOS 恶意软件 —— 假的浏览器更新提示诱使高管运行 AppleScript 有效载荷,这些载荷窃取凭证并…
HIGHShadowBrokers 泄露与 Pre-Stuxnet 破坏框架相关联
SentinelLabs 将泄露的 ShadowBrokers 文件与针对伊朗精密软件的 'Fast16' 预-Stuxnet 恶意软件联系起来。该框架早于 Stuxnet 并共享代码相似性。
HIGHTropic Trooper APT 劫持家用路由器以针对日本网络
中国政府支持的 Tropic Trooper 正在破坏家用路由器作为代理据点,以渗透日本组织,转向新的 TTPs 和受害者行业。
HIGHTropic Trooper 使用木马化的 SumatraPDF 部署 AdaptixC2
Zscaler ThreatLabz 将 Tropic Trooper 与使用木马化的 SumatraPDF 投放 AdaptixC2 Beacon 并滥用 VS Code 隧道进行远程访问的活动联系起来,目标是说中文的...
HIGHUnit 42 追踪 TGR-STA-1030 在中南美洲的活动
Palo Alto Unit 42 报告称 TGR-STA-1030 在中南美洲保持活跃,针对政府和能源部门使用定制恶意软件和本地存活技术。
CRITICALBitwarden CLI npm 包被劫持以窃取开发者凭证
攻击者发布了一个恶意的 @bitwarden/cli npm 包,该包窃取凭证并传播到其他项目。
HIGH中国关联的GopherWhisper攻击12个蒙古国政府系统
ESET识别出与China对齐的APT GopherWhisper,自2026年初以来,利用基于Go的后门、注入器和加载器侵入12个蒙古国政府系统。
HIGHGopherWhisper APT 使用 Go 工具,合法服务在政府攻击中
GopherWhisper,一个新的国家支持的 APT,针对政府实体使用基于 Go 的工具包滥用 Outlook、Slack 和 Discord 进行 C2。
HIGHUNC6692 劫持 Microsoft Teams 部署 SNOW 恶意软件套件
UNC6692 通过 Microsoft Teams 聊天冒充 IT 帮助台工作人员,诱骗受害者安装 SNOW 恶意软件 —— 一个具有凭证盗窃和横向移动功能的自定义后门…
HIGHAirSnitch 攻击绕过 WPA2/3 加密,暴露企业 Wi-Fi
Unit 42 揭示 AirSnitch 攻击绕过 WPA2/3 加密和客户端隔离,使企业 Wi-Fi 面临数据包注入和凭证盗窃的风险。
MEDIUMCaller-as-a-Service 欺诈操作模仿企业呼叫中心
Flare 研究人员详细描述了 'Caller-as-a-Service' 欺诈,其中犯罪操作使用招聘、培训和 KPIs 来管理针对北美和欧洲受害者的诈骗呼叫者。
MEDIUMMastodon 在 Bluesky 服务中断后缓解了重大 DDoS 攻击
去中心化的社交网络 Mastodon 在 2026 年 4 月 22 日缓解了一场重大的 DDoS 攻击,导致用户服务中断数小时。
HIGHMicrosoft-Signed Binary Hijacked to Deliver LOTUSLITE 后门
与国家有关的威胁行为者使用 Microsoft 签名的二进制文件进行 DLL 侧加载,以部署针对印度银行业的 LOTUSLITE 后门,通过一个…
HIGHMustang Panda 部署针对印度银行的新 LOTUSLITE 变种
Mustang Panda 的新 LOTUSLITE 变种针对印度银行和韩国政策圈,通过动态 DNS C2 通过 HTTPS 实现远程 shell 访问和文件盗窃。
HIGH朝鲜假工作诈骗通过'传染式面试'传播恶意软件
朝鲜特工使用一种'传染式面试'策略,其中被入侵开发者的GitHub仓库将RATs传播给其他求职者。
HIGH2026年第一季度钓鱼攻击重新成为主要的初始访问向量,思科Talos
思科Talos发现在2026年第一季度,钓鱼攻击占初始访问参与的三分之一以上,这是自2025年第二季度以来首次超过对公共应用程序的利用。
HIGHESET研究揭示:勒索软件攻击者像企业一样运作
ESET对100多个勒索软件攻击的分析显示,威胁行为者以明确的角色、KPI和供应链运营业务,不仅仅是技术攻击。
HIGH英国国民承认SIM交换、短信钓鱼以窃取加密货币
Tyler Robert Buchanan承认参与美国阴谋,通过短信钓鱼、企业网络入侵和针对全国受害者的SIM交换攻击,窃取了超过100万美元的加密货币。
CRITICALCISA 警告 Axios npm 包在供应链攻击中被入侵
CISA 提醒 Axios npm 包,每周下载量超过6000万次,在供应链攻击中被入侵,将恶意代码注入下游应用程序。
INFORMATIONAL前勒索软件谈判代表承认参与BlackCat攻击
41岁的前网络安全公司DigitalMint员工Angelo Martino承认在担任谈判代表期间共谋针对美国公司的BlackCat勒索软件攻击。
HIGH法国身份证数据泄露暴露公民信息出售
法国身份证,法国政府身份证明文件机构,确认数据泄露后,威胁行为者提供出售被盗公民信息,包括姓名、地址和护照号码。
HIGHGitHub 问题通知被劫持用于开发者钓鱼攻击通过 OAuth 应用
威胁行为者正在利用 GitHub 的可信通知系统来钓鱼开发者,推送恶意的 OAuth 应用,这些应用窃取账户数据并劫持代码仓库。该活动利用平台自身的基础设施来绕过传统的电子邮件安全。
HIGH伊利诺伊州和德克萨斯州的医疗数据泄露暴露了60万患者
南伊利诺伊州皮肤科、圣安东尼医院和北德克萨斯州行为健康局披露了影响超过60万患者的违规行为,暴露了姓名、社会安全号码和医疗数据。
HIGH基于身份的攻击主导了入侵,攻击者绕过了漏洞利用
The Hacker News 报告称,基于身份的攻击,使用被盗凭证和 MFA 绕过,是现代入侵中主导的初始访问向量,使得复杂的漏洞利用对于初始进入变得不必要。
HIGHSideWinder APT 部署假 Chrome PDF 查看器和 Zimbra 克隆以窃取
SideWinder APT 针对南亚政府机构发起网络钓鱼活动,使用假 Chrome PDF 查看器和克隆的 Zimbra 登录门户窃取网络邮件凭证,活动自 2026 年 2 月开始。
HIGHThe Gentlemen 勒索软件僵尸网络通过 SystemBC 代理感染 1,570+ 系统
Check Point Research 发现一个与 The Gentlemen 勒索软件有关的 1,570 名受害者的僵尸网络,使用 SystemBC 代理恶意软件建立隐蔽的 SOCKS5 隧道进行命令和控制。
MEDIUM威胁行为者在.WAV音频文件中嵌入恶意负载
SANS ISC报告称威胁行为者正在使用.WAV音频文件来传递恶意软件负载,利用该格式在看似无害的音频数据中隐藏恶意代码的能力。
CRITICALLazarus Group 窃取 KelpDAO 跨链桥攻击中的 2.9 亿美元
朝鲜的 Lazarus Group 利用智能合约漏洞从 KelpDAO 跨链桥窃取了 2.9 亿美元,标志着 2026 年最大的 DeFi 抢劫案之一,并突显了跨链基础设施中持续存在的风险。
HIGH朝鲜特工使用AI和假身份通过远程面试渗透公司
根据Flare研究,朝鲜特工正在使用AI工具和伪造文件通过远程工作面试。这种策略旨在将威胁行为者长期安置在目标公司内,进行间谍活动和网络访问。
HIGHOperation PhantomCLR 劫持 Intel 驱动部署隐蔽恶意软件
Operation PhantomCLR 利用合法的 Intel 驱动劫持 .NET CLR 并部署恶意软件,通过使用可信的、已签名的二进制文件而不修改其代码来绕过安全工具。
HIGHScattered Spider成员对SIM交换、加密货币盗窃认罪
Tyler Buchanan,英国Scattered Spider网络犯罪集团的成员,对共谋实施电汇欺诈和计算机黑客攻击的指控表示认罪,承认通过SIM交换攻击从受害者那里窃取了超过800,000美元的加密货币。
HIGHSeiko 美国网站被篡改,客户数据在勒索攻击中被盗
Seiko 美国的网站被一名黑客篡改,声称窃取了其Shopify客户数据库,包括30,000个人的姓名、电子邮件和订单详情,并要求支付赎金以防止公开泄露。
HIGH威胁行为者通过Microsoft Teams冒充IT帮助台部署Quick Assist
威胁行为者正在使用Microsoft Teams冒充IT帮助台工作人员,诱骗员工安装微软自家的Quick Assist工具,以授予攻击者对企业系统的完全远程控制权。
HIGHUNC1069 针对加密专业人士使用假 Zoom 和 Teams 会议
根据最新研究,朝鲜威胁行为者 UNC1069 利用假 Zoom 和 Microsoft Teams 会议吸引 Web3 专业人士,部署窃取加密货币的恶意软件。
HIGHVercel 泄露事件通过被入侵的 AI 工具暴露客户凭证
Vercel 确认了一起泄露事件,暴露了有限的客户凭证,攻击者通过第三方 AI 工具 Context.ai 入侵了一名员工的账户。云平台正在为受影响的用户重置密码和 API 令牌。
HIGHApple账户变更提醒被劫持用于网络钓鱼诈骗
威胁行为者滥用苹果的合法通知系统,从苹果自己的服务器发送iPhone购买网络钓鱼邮件,绕过垃圾邮件过滤器,针对数百万Apple ID用户。
CRITICALInterlock 勒索软件利用 Cisco FMC 零日漏洞在全球发动攻击
Interlock 勒索软件组织正在积极利用 Cisco Firepower Management Center 中的零日漏洞入侵网络。Recorded Future 在 2026 年 3 月识别出 31 个高影响漏洞,月增长 139%。
HIGH洛杉矶警察局报告7.7TB数据泄露
洛杉矶警察局报告称,一名城市律师的数字存储系统遭到7.7TB和337,000个文件的泄露,暴露了敏感的执法数据。
HIGHOpenClaw AI 代理通过包伪装构成自主威胁
Qualys ETM 检测到伪装成常规包的 OpenClaw AI 代理在 Windows 服务器上,通过关联端点、暴露和身份遥测来揭示一个活跃的、自主的威胁。
MEDIUMProofpoint 发现 FIFA 世界杯 2026 合作伙伴易受电子邮件欺骗攻击
Proofpoint 报告称,36% 的 FIFA 世界杯 2026 商业合作伙伴未能实施 DMARC,使球迷面临伪造电子邮件欺诈的风险。对 39 家官方合作伙伴的分析发现,有 14 家缺乏基本的电子邮件认证。
HIGHPushpaganda 诈骗劫持 Google Discover 与 AI 生成新闻
Pushpaganda 活动使用 AI 生成的新闻网站污染 Google Discover,推送 10,000+ 欺骗性文章以触发浏览器通知,向数百万用户传递恐吓软件和广告欺诈。
HIGHTeamPCP 供应链攻击助长薪资欺诈和勒索软件
TeamPCP 威胁行为者破坏了受信任的软件工具,从100多个组织窃取凭证,使薪资欺诈、物流盗窃和勒索软件敲诈达到150万美元。
HIGHVercel 确认数据泄露后黑客试图出售被盗信息
Vercel 在威胁行为者试图在黑客论坛上出售被盗数据,包括客户账户信息和内部项目细节后,披露了安全漏洞。该云平台正在调查事件的范围。
MEDIUM商业冒充欺诈随着AI驱动的购物诈骗演变
Recorded Future 详细说明了威胁行为者如何利用企业身份验证的漏洞,从兑现被盗支票转变为策划AI驱动的购物诈骗,冒充合法企业以窃取商品。
HIGH假冒数据泄露通知部署恶意软件,窃取凭证
根据 ESET 研究,威胁行为者正在将数据泄露通知武器化,发送假警报,诱骗用户下载恶意软件或在钓鱼网站上输入凭证。
HIGHTycoon 2FA 钓鱼工具包中断引发山寨攻击激增
Tycoon 2FA 钓鱼即服务平台的中断导致山寨攻击激增,因为威胁行为者在其他工具包中重用其工具和技术,增加了多因素认证绕过尝试的总体数量。
HIGHUAC-0247 威胁行为者针对乌克兰目标部署数据窃取恶意软件
乌克兰 CERT-UA 将新活动归因于威胁行为者 UAC-0247,该行为者使用网络钓鱼诱饵部署恶意软件,窃取政府和医疗系统上的 Chromium 浏览器和 WhatsApp 数据。
HIGH网络犯罪分子劫持物流系统以盗窃高价值实物货物
威胁行为者正在破坏货运和货运代理公司,操纵货物运输并盗窃实物货物,超越数据盗窃,针对运输中的高价值商品。
HIGHDHL主题的网络钓鱼活动传递远程访问软件
一个新的网络钓鱼活动冒充DHL,诱骗收件人安装合法的远程访问软件,然后攻击者使用该软件作为跳板部署额外的恶意软件,包括勒索软件。
MEDIUMDraftKings 凭证卖家因持续欺诈被判入狱
参与2022年DraftKings凭证填充攻击的Kamerin Stokes,在认罪后继续出售被盗账户,被判处已服刑期和三年监督释放。
HIGH电子邮件传播的蠕虫激增目标指向工业控制系统
2025年第四季度,由单一恶意软件驱动的全球电子邮件传播蠕虫浪潮,针对工业控制系统(ICS),标志着运营技术(OT)威胁的重大转变。
MEDIUM男子因出售被黑DraftKings账户被判入狱
Kamerin Stokes 因出售访问数万个被泄露的DraftKings账户而被判处30个月监禁,造成超过600,000美元的损失。
HIGHPayouts King 勒索软件从 BlackBasta 的阴影中浮现
与前 BlackBasta 联盟成员有关的 Payouts King 勒索软件集团自 2025 年 4 月以来进行了针对性攻击,结合数据盗窃与选择性加密向受害者施压。
HIGH钓鱼仍然是主要攻击向量,因为MSPs与不断演变的威胁作斗争
钓鱼继续是网络犯罪的主要初始攻击向量,导致事件激增,管理服务提供商(MSPs)及其客户正在努力用传统防御手段来控制。
HIGHSapphire Sleet 针对 macOS 用户的假 Zoom SDK 更新
朝鲜威胁行为者 Sapphire Sleet 通过假 Zoom SDK 安装程序分发新的 macOS 恶意软件,通过多阶段社会工程活动窃取密码、加密钱包和个人数据。
CRITICALTP-Link 路由器漏洞被 Mirai 僵尸网络变种利用
攻击者正在利用 CVE-2023-33538,这是 TP-Link Archer AX21 路由器中的一个命令注入漏洞,来部署 Mirai 僵尸网络的一个变种。这场活动劫持设备进行 DDoS 攻击和凭证盗窃。
HIGHTycoon 2FA 钓鱼团伙转向设备代码攻击
Tycoon 2FA 钓鱼团伙已经放弃了其标志性工具包,转而采用设备代码钓鱼来绕过多因素认证,并入侵 Microsoft 365 和 Gmail 账户。
MEDIUM地下指南教威胁行为者审核被盗信用卡商店
威胁情报公司 Flare 详细说明了网络犯罪论坛如何传播指南,教导行为者系统地审核出售被盗支付数据的“卡店”,重点关注数据新鲜度、商店声誉和运营安全。
HIGHW3LL 钓鱼平台在国际执法行动中被破坏
一次协调的执法行动破坏了W3LL钓鱼即服务平台,该平台被用来全球范围内针对超过800,000个企业Microsoft 365账户。
HIGHATHR Vishing 平台使用 AI 代理自动化语音钓鱼
ATHR 网络犯罪平台使用 AI 生成的语音代理自动化语音钓鱼(vishing)攻击,以冒充受信任的实体并收集凭证,降低了大规模社会工程学活动的技术门槛。
HIGHBooking.com 数据泄露助长复杂的酒店冒充诈骗
Booking.com 的数据泄露为威胁行为者提供了详细的客户预订数据,使得攻击者冒充酒店进行高度可信的诈骗,窃取支付详情和凭证。
HIGHClickFix 钓鱼活动伪装成 Claude AI 安装程序
一个钓鱼活动使用假冒的 Claude AI 安装程序诱饵和 'ClickFix' 社会工程学来欺骗用户授予远程访问权限,从而实现凭证盗窃和金融欺诈。
HIGH工业控制系统在2025年第四季度面临日益增长的恶意软件、USB威胁
卡巴斯基数据显示,在2025年第四季度,33.3%的工业控制系统计算机上被阻止的恶意软件,互联网威胁和可移动媒体是主要的感染途径。面临USB传播威胁的系统比例增长到4.1%。
HIGHMcGraw-Hill 数据泄露通过 Salesforce 暴露 1350 万用户
教育出版商 McGraw-Hill 确认数据泄露暴露了 1350 万用户的个人数据,与配置错误的 Salesforce 环境有关。超过 100GB 的被盗数据已在网上公开分发,此前曾有勒索企图。
MEDIUMPushpaganda 活动利用 Google Discover 劫持浏览器通知
一个名为 Pushpaganda 的威胁行动正在滥用 Google Discover 和 AI 生成的点击诱饵来诱骗用户启用恶意浏览器通知,然后传递钓鱼和诈骗内容。
HIGH勒索软件攻击扰乱汽车数据巨头Autovista集团
欧洲主要汽车数据和分析公司Autovista集团确认了一起勒索软件攻击,扰乱了运营。公司正在与外部专家合作调查,但对客户数据的影响尚不清楚。
HIGH研究人员绘制超过1250个活跃C2服务器在俄罗斯托管提供商之间
为期三个月的调查已识别出超过1250个活跃的命令与控制服务器在165个俄罗斯托管提供商中运行,形成了一个用于恶意软件和勒索软件操作的弹性基础设施。
HIGHRhysida 勒索软件集团入侵田纳西州医院,暴露 337,000 人信息
Cookeville Regional Medical Center 确认 2025 年 Rhysida 集团的勒索软件攻击导致 337,000 人的数据在 500GB 文件被盗后被泄露。
MEDIUM骗子复活iCloud存储已满骗局以窃取支付详情
一起网络钓鱼活动冒充苹果公司,向用户发送假的'iCloud存储已满'警告,目的是窃取信用卡信息和Apple ID凭证。
HIGH威胁行为者滥用谷歌云存储以规避过滤器,投递Remcos RAT
网络犯罪分子在谷歌云存储上托管钓鱼页面以绕过电子邮件安全和声誉检查,在自2026年初观察到的活动中投递Remcos远程访问木马。
HIGH威胁行为者滥用Microsoft 365邮箱规则进行无声电子邮件拦截
攻击者正在利用被入侵的Microsoft 365账户中隐藏的邮箱规则来拦截敏感电子邮件,重定向财务通信,并在不触发用户通知的情况下抑制安全警报。
HIGHUAC-0247 威胁行为者针对乌克兰医院和政府
UAC-0247 威胁行为者正在积极针对乌克兰市政医疗保健和政府机构,部署恶意软件以窃取浏览器数据、WhatsApp会话和凭证,同时在网络内部横向移动。
MEDIUMCredit Resources Vault 诈骗针对财务脆弱人群收取欺诈性费用
一个复杂的电子邮件诈骗冒充 'Credit Resources Vault',利用紧迫感和看似官方的文件欺骗财务困难的个人支付重复费用,以获取毫无价值的信用修复服务。
HIGH假冒YouTube版权通知通过钓鱼窃取Google凭证
YouTube创作者被一个复杂的钓鱼活动所针对,该活动使用假冒的版权侵权通知来窃取Google账户凭证,使得频道接管和更广泛的账户泄露成为可能。
HIGHMicrosoft Edge WebView2 运行时被滥用于代理执行和防御规避
攻击安全研究人员详细说明了受信任的 Microsoft Edge WebView2 运行时是如何被武器化的,用于代理执行,允许攻击者在合法、签名的 Microsoft 进程下加载恶意代码以规避检测。
MEDIUMPushpaganda 活动使用 AI 生成的点击诱饵劫持浏览器通知
一个被称为 Pushpaganda 的活动使用 AI 生成的点击诱饵欺骗用户启用恶意浏览器通知,直接将持续的诈骗和假警报流送到桌面。
HIGH威胁行为者武器化n8n工作流平台进行网络钓鱼和载荷投递
自2025年10月以来,攻击者一直在滥用合法的n8n工作流自动化平台发送网络钓鱼邮件和投递恶意软件,利用其受信任的基础设施绕过电子邮件安全过滤器。
HIGHWordPress 插件供应链攻击在8个月休眠后部署后门
一个威胁行为者购买了合法的WordPress插件业务,并在更新中隐藏了一个后门长达八个月,然后激活它,在一个复杂的供应链攻击中,数千个站点被泄露。
HIGH攻击者从钓鱼转向针对Okta入侵的社会工程学
威胁行为者通过使用基于电话的社会工程学绕过电子邮件安全,针对IT帮助台,入侵Okta身份系统,从而获得对企业网络的初始访问权限。
HIGHCSA 警告 AI 驱动的 'Mythos' 时代崩溃漏洞到利用时间线
云安全联盟警告称,像 Mythos 这样的 AI 模型正在极大地加速网络攻击,将漏洞发现与武器化利用之间的时间压缩到接近零。
HIGHEDR-Killer 生态系统扩大,利用 BYOVD 攻击逃避检测
越来越多的威胁行为者正在使用自带易受攻击驱动程序攻击来禁用安全软件,这要求增强内核级别的保护。
HIGHFBI 摧毁 W3LL 钓鱼工具包,一个价值 500 美元的服务背后涉及 2000 万美元的欺诈
FBI 和印尼当局摧毁了 W3LL 钓鱼即服务平台,这是一个价值 500 美元的工具包,用于窃取凭证,并与超过 2000 万美元的企图欺诈有关。
HIGHFIFA 2026合作伙伴的电子邮件安全漏洞使公众面临冒充欺诈风险
Proofpoint研究揭示,36%的FIFA世界杯2026官方合作伙伴缺乏基本的DMARC电子邮件认证,使粉丝面临高风险的域名冒充和欺诈。
HIGHKraken 面临勒索,内部人员泄露漏洞暴露赏金计划缺陷
Kraken 的安全团队发现一起内部人员泄露事件,其中一名研究人员利用零日漏洞窃取了价值300万美元的加密货币,随后要求支付漏洞赏金。
MEDIUM麦格劳-希尔数据泄露与被利用的Salesforce配置错误相关
麦格劳-希尔因 Salesforce 配置错误导致泄露,ShinyHunters 声称获取 1350 万条用户记录 — 根因分析、影响范围与教育机构及 SaaS 管理员即刻自查项。
HIGHTriad Nexus 网络犯罪行动通过主要云服务提供商规避制裁
Triad Nexus 网络犯罪集团利用主要的云和托管服务提供商来掩盖其基础设施,规避制裁,并促进勒索软件、数据盗窃和金融欺诈。
HIGHAI 浏览器扩展:企业网络中未被察觉的威胁向量
LayerX 的一份新报告强调了 AI 浏览器扩展带来的重大安全风险,这些扩展经常在企业网络中被忽视,可能与 APT 和 C2 相关,并影响 EDR 和 VPN 的安全性,需要关注相关的 IOC 和 CVE。
HIGHAPT37 通过 Facebook 针对个人部署 RokRAT 恶意软件
朝鲜的 APT37 组织正在 Facebook 上进行一场社会工程学活动,使用假档案建立信任并向目标个人传递 RokRAT 远程访问木马。
HIGHAPT41 部署隐蔽后门以窃取云凭证
与中国有关的威胁行为者 APT41 正在针对 AWS、Google、Azure 和阿里巴巴云部署一种新型的、低检测率的后门,以窃取凭证并建立持久性。
HIGH被植入后门的Smart Slider 3 Pro更新通过被入侵的插件服务器部署
未知的威胁行为者入侵了Smart Slider 3 Pro WordPress插件的更新基础设施,向用户推送了一个被植入后门的版本(3.5.1.35)。这次攻击利用供应链入侵来获得管理权限。
MEDIUMBasic-Fit 数据泄露暴露欧洲业务成员数据
作为欧洲最大的预算健身连锁企业,Basic-Fit 确认了一起影响约100万成员的数据泄露事件。未经授权的会员系统访问暴露了多个国家的个人数据。
HIGHBasic-Fit 数据泄露暴露了100万会员记录
黑客入侵了欧洲健身房连锁 Basic-Fit,获取了大约一百万名会员的个人数据,包括姓名、出生日期和电子邮件地址。
HIGHBooking.com 确认数据泄露暴露预订和用户数据
Booking.com 确认数据泄露暴露敏感的预订和用户数据,迫使受影响的客户重置 PIN。
MEDIUMBooking.com 确认通过社会工程攻击发生数据泄露
Booking.com 确认了一起数据泄露事件,其中攻击者利用社会工程学手段破坏员工账户并访问客户旅行预订信息。该公司表示该事件已被控制。
HIGH加拿大工资单钓鱼活动利用 Office 365 搜索投毒
一个以经济利益为动机的团伙正在劫持 Office 365 搜索结果,通过钓鱼和账户接管来窃取员工的工资支票。
HIGHChipSoft 勒索软件攻击扰乱荷兰医疗IT服务
荷兰医疗IT提供商ChipSoft遭受勒索软件攻击,迫使其将患者和提供者门户下线,扰乱了荷兰全国范围内的关键医疗管理。
HIGHFancy Bear APT 利用未修补漏洞进行全球间谍活动
俄罗斯的 APT28(Fancy Bear)正在进行一场全球网络间谍活动,利用路由器和网络设备中未修补的漏洞渗透政府和国防目标。
HIGHGlassWorm 使用新的 Zig 投放器通过伪造的 VS Code 扩展针对开发者 IDE
研究人员发现 GlassWorm 最新的 Zig 投放器隐藏在恶意 VS Code 扩展中,允许在开发者工作站上静默感染多个 IDE。
HIGH国际行动破坏SIM卡交换和BEC计划,追回4500万美元
美国、英国和加拿大联合执法行动破坏了使用SIM卡交换和BEC的数百万加密货币盗窃计划,识别出超过4500万美元的被盗资产并冻结了1200万美元。
HIGH伊朗 CyberAv3ngers 加剧对美国水、工业基础设施的攻击
得到伊朗支持的威胁行动者 CyberAv3ngers,与伊朗革命卫队(IRGC)有关,已经从黑客行动主义演变为针对美国水务设施和可编程逻辑控制器(PLCs)进行破坏性网络行动。
HIGH伊朗关联黑客瞄准关键基础设施中的ICS/SCADA系统
美国政府警告称,与伊朗有关联的攻击者正在操控PLC和SCADA系统以破坏关键基础设施
HIGHLAPD 数据泄露通过第三方系统暴露 7.7 TB 敏感文件
洛杉矶市检察官办公室使用的数字存储系统发生数据泄露,暴露了 7.7 TB 和超过 337,000 个文件,包括敏感的 LAPD 记录。该事件源于第三方供应商的配置错误。
HIGH朝鲜Lazarus集团通过Axios供应链攻击入侵OpenAI
朝鲜的Lazarus集团通过Axios客户端库的供应链攻击入侵了OpenAI的内部系统,使用被盗的macOS代码签名证书来签名恶意软件。
HIGHShinyHunters 通过第三方 SaaS 平台入侵 Rockstar Games
ShinyHunters 利用 Anodot SaaS 平台入侵 Rockstar Games,访问了公司的 Snowflake 数据环境,并威胁如果不支付赎金就泄露被盗数据。
HIGHSANS Stormcast:利用 Ivanti、Fortinet 和 VMware 漏洞的攻击
SANS Internet Storm Center 报告称,Ivanti、Fortinet 和 VMware 产品中的漏洞正被积极利用,同时出现了一场使用恶意 OneNote 附件的新网络钓鱼活动。
HIGHStorm-2755 Targets Canadian Payroll Systems in Salary Theft Campaign
以经济利益为目的的组织 Storm-2755 入侵员工薪资账户,以在加拿大转移工资支付。
HIGHStorm-2755 通过 AiTM 攻击劫持工资单
以经济利益为目的的组织 Storm-2755 利用 AiTM 会话劫持攻击加拿大员工,以重定向薪资支付。
HIGH威胁行为者武器化MSBuild LOLBin进行无文件Windows攻击
网络犯罪分子正在滥用合法的Microsoft Build Engine (MSBuild.exe) 直接在内存中执行恶意.NET代码,通过避免文件落地来逃避传统检测。
HIGH美国警告OT环境中PLC遭到活跃攻击
政府机构警告称,可编程逻辑控制器仍然是工业环境中网络对手的首要目标。
HIGHVENOM PhaaS 平台在复杂活动中针对 C-Suite 凭证
一个名为 VENOM 的新型钓鱼即服务平台被用来通过复杂、多阶段的电子邮件活动窃取高级管理人员的 Microsoft 凭证。
MEDIUMXChat的自毁消息:对马斯克新功能的安全性分析
Elon Musk的X平台推出了具有自毁消息功能的XChat,这一功能为企业用户和事件响应者带来了复杂的安全和取证影响。
HIGHAI驱动的威胁行为者入侵墨西哥政府,暴露公民数据
一个复杂的攻击者利用像Claude和ChatGPT这样的AI工具入侵了九个墨西哥政府机构,在为期数月的活动中窃取了数亿条公民记录。
HIGH基于凭证的攻击模糊了入侵和正常活动之间的界限
现代攻击者正在利用有效的凭证和本地生存技术,使入侵行为与合法用户活动无法区分,使得传统的边界和异常检测变得无效。
MEDIUM假冒BTS世界巡回演唱会门票网站针对多国粉丝进行诈骗
一场大规模的网络钓鱼活动利用假冒的BTS演唱会门票网站,从至少九个国家的粉丝那里窃取支付信息。
HIGHHims 数据泄露暴露敏感医疗和处方数据
远程医疗提供商 Hims & Hers 发生的数据泄露暴露了高度敏感的患者健康信息,包括有关减肥、脱发和勃起功能障碍处方的详细信息。
MEDIUMOberon System 3 原生端口为 Raspberry Pi 提升供应链安全担忧
通过预配置的 SD 卡镜像分发的 Raspberry Pi 3 的 Oberon System 3 原生端口,呈现了一个潜在的供应链攻击向量。该镜像的来源和完整性无法完全验证,突显了第三方固件分发的风险。
HIGH勒索软件团伙进化EDR规避,采用新的基于驱动程序的杀手
ESET Research 报告称勒索软件操作者正在扩大他们的EDR-killing工具库,从利用易受攻击的驱动程序转向使用合法但恶意签名的驱动程序以实现隐蔽性。
HIGHStryker 遭受网络攻击,Windows 零日漏洞被利用,中国超级计算机被黑客入侵
医疗器械巨头 Stryker 确认遭受网络攻击,同时一个已修补的 Windows 零日漏洞正在被积极利用,一个中国的超级计算机集群被入侵。
HIGH数千美国工业PLC暴露于伊朗国家支持的威胁行为者
美国近4000台罗克韦尔自动化PLC直接暴露在线上,为伊朗国家支持的黑客攻击关键基础设施创造了一个显著的攻击面。