每日安全简讯(20260402)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 俄罗斯CTRL工具包通过恶意LNK文件劫持RDP
安全研究人员发现一个俄罗斯起源的远程访问工具包CTRL,通过伪装成私钥文件夹的恶意Windows快捷方式(LNK)文件分发。该工具包使用.NET构建,包含凭证钓鱼、键盘记录、RDP会话劫持和通过Fast Reverse Proxy(FRP)反向隧道等多种可执行文件。攻击链依赖武器化LNK文件(名为Private Key #kfxm7p9q_yek.lnk)以文件夹图标诱骗用户双击,然后启动多层攻击。该工具包展示了针对RDP的复杂后渗透能力,包括凭证收集和会话劫持。
https://censys.com/blog/under-ctrl-dissecting-a-previously-undocumented-russian-net-access-framework/
2 Cisco遭供应链攻击波及源码被窃取
Cisco遭受网络攻击,威胁行为体提利用近期Trivy供应链攻击中窃取的凭据入侵其内部开发环境,窃取了公司及其客户的源代码。攻击者使用恶意GitHub Action插件从Cisco的构建和开发环境中窃取凭据和数据,影响数十台设备。超过300个GitHub存储库被克隆,包括AI助手、AI防御和未发布产品的源代码,部分存储库属于银行、BPO和美国政府机构。目前Cisco已隔离受影响系统并执行大规模凭证轮换。
https://www.bleepingcomputer.com/news/security/cisco-source-code-stolen-in-trivy-linked-dev-environment-breach/
3 Silver Fox利用税务季节针对日本企业
Silver Fox组织利用日本年度税务申报和组织变更季节,针对日本制造业和其他企业发动定向钓鱼攻击。攻击者发送伪装成税务合规违规通知、薪资调整、人事变动和员工持股计划相关主题的钓鱼邮件,邮件主题直接包含目标公司名称,发件人字段冒充真实员工甚至CEO。打开恶意文件后会投递ValleyRAT远程访问木马,使攻击者能够远程控制被入侵机器、收集敏感信息、监控用户活动并在目标环境中维持持久性。
https://www.welivesecurity.com/en/business-security/cunning-predator-how-silver-fox-preys-japanese-firms-tax-season/
4 Claude AI发现Vim和Emacs零日漏洞
Claude AI成功发现了Vim和GNU Emacs文本编辑器中的零日远程代码执行漏洞。研究人员仅用简单提示就让Claude在Vim 9.2中发现了可通过打开恶意markdown文件触发RCE的漏洞。随后Claude又在Emacs中发现类似漏洞,但GNU Emacs维护者拒绝修复,声称问题源于Git而非编辑器。研究团队宣布启动AI发现漏洞月活动,将持续发布AI发现的漏洞。
https://www.bleepingcomputer.com/news/security/claude-ai-finds-vim-emacs-rce-bugs-that-trigger-on-file-open/
5 Anthropic意外泄露Claude Code源代码
Anthropic意外在npm公开发布中泄露了Claude Code工具超过50万行源代码。泄露源于发布打包过程中的人为错误,将大型调试文件包含在公开npm包中。泄露内容揭示了Claude Code的内存架构设计,包括KAIROS功能标志以及Anthropic内部AI路线图。Anthropic表示未涉及客户数据或凭证泄露。
https://www.bleepingcomputer.com/news/artificial-intelligence/claude-code-source-code-accidentally-leaked-in-npm-package/
6 荷兰财政部遭网络攻击后关闭多个系统
荷兰财政部在3月19日检测到网络攻击后将部分系统下线,包括国库银行业务数字门户。财政部部长向荷兰众议院表示,约1600家公共机构(包括部委、政府机构、教育组织和社会基金)无法在线查看国库账户余额或申请贷款。荷兰国家网络安全中心和外部取证专家正在调查,财政部已向数据保护局通报违规情况并向高科技犯罪组报案。该事件未影响税收征管和进出口监管等面向公民和企业的系统。
https://www.bleepingcomputer.com/news/security/dutch-finance-ministry-takes-treasury-banking-portal-offline-after-breach/
页:
[1]