每日安全简讯(20260603)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SideCopy组织针对阿富汗财政部门发起钓鱼攻击

研究人员披露一起针对阿富汗财政部门及34个省级税务机构的鱼叉式网络钓鱼活动，并以中高置信度将其归因于SideCopy高级持续性威胁组织。攻击以ZIP压缩包开始，其中包含带普什图语文件名的恶意LNK文件，文件名含义与参加智力与心理战研讨会的员工名单有关。行动中投放的诱饵文件是一份省级工作人员名录，覆盖34个省份，并列出财务主管、税务主管及联系电话。已披露信息显示，攻击链最终投放XenoRAT 1.8.7植入物，该植入物具备键盘记录、屏幕截图、摄像头和麦克风监控、SOCKS5网络隧道等后渗透功能。

https://www.seqrite.com/blog/operation-xenofiscal-sidecopy-deploying-persistent-xenorat-targeting-the-mof-afghanistan/

---

2 JINX-0164攻击组织针对加密行业投放定制木马

一个新网络攻击组织JINX-0164至少自2025年中期以来针对加密货币组织开展攻击。相关活动通过职业社交资料与目标开发者建立联系，并以商业机会或工作机会为诱饵诱导其访问虚假会议平台页面。受害者点击链接后，会下载面向macOS设备的远程访问工具，并开始窃取敏感数据。研究人员称，该活动涉及两个恶意软件家族，其中一个基于Python编译，具备信息窃取和后门功能，可收集浏览器凭证、加密货币钱包扩展、SSH密钥、云API令牌和剪贴板数据。攻击者还被指通过商业VPN隐藏网络活动，并篡改代码提交元数据以冒充合法开发人员。

https://www.wiz.io/blog/threat-actors-target-crypto-orgs

---

3 攻击者利用WP地图插件漏洞恶意创建管理员账户

安全研究人员披露针对运行有存在漏洞版本WordPress地图插件的网站的攻击活动。涉及的漏洞编号为CVE-2026-8732，影响6.1.0及更早版本。该插件用于构建交互式地图和店铺定位器，常见于企业、房地产、旅游、目录和组织类网站。已披露信息显示，漏洞源于插件中的“临时访问”功能，该功能原本用于允许支持人员访问客户现场进行故障排查，但相关接口可被未经身份验证的用户访问，并依赖前端暴露的校验机制，导致保护措施无效。攻击者可发送构造请求，创建新的管理员用户并生成无密码登录入口，研究人员称，过去24小时内已拦截3600多次相关尝试。

https://www.wordfence.com/blog/2026/05/15000-wordpress-sites-affected-by-administrator-account-creation-vulnerability-in-wp-maps-pro-wordpress-plugin/

---

4 CIFSwitch本地提权漏洞影响多个Linux系统发行版

Linux内核中新发现的本地权限提升漏洞被命名为CIFSwitch，可能允许攻击者伪造CIFS身份验证密钥描述，滥用内核密钥请求机制并获得root权限。该问题影响多个提供易受攻击内核CIFS组件和cifs-utils组合的发行版，其中包括6.14及更高版本，也包括部分较旧变体。已披露信息显示，当CIFS网络共享使用Kerberos认证时，内核会请求用户空间辅助程序执行身份验证，而问题在于内核CIFS子系统未验证cifs.spnego密钥请求是否确实来自内核CIFS客户端。非特权用户可创建伪造请求并触发正常认证流程，使具备root权限的辅助程序信任攻击者控制的字段，最终实现本地提权。

https://heyitsas.im/posts/cifswitch/

---

5 AI聊天分享链接功能被滥用投放木马传播网页

研究人员披露，黑客组织滥用某AI聊天服务的内容共享功能展示虚假的服务中断页面，并引导用户下载伪装成桌面应用程序的恶意软件。已披露信息显示，该活动通过搜索广告将查询相关服务的用户引导至托管在合法域名下的恶意共享页面。用户点击广告后，会看到一条渲染后的故障通知，声称网页版因访问量过大暂时不可用，并提示下载桌面应用继续使用。研究人员指出，虚假故障通知并非托管在攻击者基础设施上，而是通过该AI服务自身的渲染功能生成自定义HTML和CSS页面。若访问者点击下载按钮，将被引导至仿冒下载门户。

https://pushsecurity.com/blog/llmshare-malvertising-campaign

---

6 FortiClient终端管理服务漏洞被用于投放窃密程序

黑客组织正在利用FortiClient终端管理服务器中的身份验证绕过漏洞CVE-2026-35616，传播未公开的信息窃取程序。该漏洞属于不当访问控制问题，允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。已披露信息显示，攻击者将恶意软件伪装成端点更新，并通过受管理VPN脚本工作流执行。入侵活动始于滥用端点API，在未经认证的情况下执行管理操作，随后修改服务器配置和VPN策略，以触发恶意脚本。相关脚本会执行编码后的脚本载荷，下载并运行伪装成补丁的窃密程序，并通过HTTP向攻击者控制的服务器外传浏览器数据。该程序目标包括凭据、信用卡信息、地址、电话号码和cookie。

https://arcticwolf.com/resources/blog/forticlient-ems-exploited-via-cve-2026-35616-to-deliver-ekz-infostealer-disguised-as-a-fortinet-patch/

---