每日安全简讯(20260628)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Edge浏览器恶意扩展借原生消息协议部署后门

安全研究人员披露，名为Edgecution的恶意Microsoft Edge扩展被用于勒索软件相关攻击，通过滥用Chrome原生消息传递协议逃离浏览器沙箱，并部署基于Python的后门。已披露信息显示，攻击始于攻击者在Microsoft Teams上冒充IT支持人员，以安装垃圾邮件过滤器更新为幌子，将员工引导至伪造Microsoft更新页面。页面中的按钮可下载恶意组件、复制脚本到剪贴板，或诱导输入Microsoft365和Outlook密码。恶意ZIP文件包含嵌入式Python环境、扩展目录和本地组件。Edgecution扩展伪装成Edge监控代理，在无头Edge浏览器中运行，并通过原生消息传递调用本地Python后门执行命令、写入文件、枚举进程和收集系统信息。

https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution

---

2 新型隐蔽后门Mistic与KongTuke攻击团伙有关

安全研究人员披露，一种名为Mistic的新型后门被用于针对保险、教育、IT和专业服务行业组织的经济利益攻击。已披露信息显示，该恶意软件被认为与KongTuke或Woodgnat初始访问代理有关，该团伙至少自2024年以来活跃，并被认为会入侵企业网络后将访问权限出售给多个勒索软件组织。Mistic自4月以来出现在入侵活动中，至少一次在ModeloRAT后门之后不久被部署。攻击链中，合法可执行文件MpExtMs.exe被用于侧载恶意version.dll，后者作为Mistic载荷EndpointDlp.dll的加载器。该后门可上传、下载、移动、重命名和删除文件，创建文件夹，从内存执行来自C2的代码，并具备自我终止和清理能力。

https://www.security.com/threat-intelligence/new-mistic-backdoor-modeloRAT

---

3 欧洲刑警组织破坏Amadey和StealC恶意软件基础设施

欧洲刑警组织和国际合作伙伴在“终局行动”中破坏了Amadey和StealC恶意软件行动所使用的基础设施。已披露信息显示，此次行动涉及多个国家执法部门和私营合作伙伴，导致326台服务器和142个域名瘫痪，并查获与犯罪活动相关的超过4100万欧元加密货币。调查人员还追回了从超过38.5万个被入侵系统中窃取的约2700万条凭证。Amadey和StealC通过恶意软件即服务模式出售给网络犯罪分子，前者常用于在受害设备上建立初始控制点并部署其他恶意软件，后者用于窃取凭据、加密货币钱包和其他敏感信息。该行动也涉及SocGholish相关基础设施。

https://www.europol.europa.eu/media-press/newsroom/news/global-cyber-strike-disrupts-socgholish-amadey-and-stealc-malware-networks

---

4 思科SD-WAN零日漏洞被攻击利用创建Root账户

安全研究人员披露，Cisco Catalyst SD-WAN漏洞CVE-2026-20245曾在零日攻击中被利用，用于在目标设备上创建恶意Root账户。已披露信息显示，该漏洞存在于Catalyst SD-WAN Manager、Controller和Validator中，属于高危命令注入问题，经过身份验证的攻击者可通过上传特制文件以Root身份执行任意命令。相关攻击最初表现为服务提供商基础设施上出现未经授权的SD-WAN对等连接。攻击者获得访问权限后，修改默认管理员账户密码，登录SD-WAN Manager网页界面，并提取边缘设备、控制器和SD-WAN模板配置。后续攻击者通过CLI租户上传功能提交恶意CSV文件，创建名为troot的Root权限账户。

https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager

---

5 Ubiquiti UniFi OS三项严重漏洞已被攻击利用

美国网络安全机构CISA通报，Ubiquiti UniFi OS中的三项漏洞已被加入已知利用漏洞目录，联邦机构被要求在规定期限内完成修复或缓解。已披露信息显示，CVE-2026-34908为访问控制绕过漏洞，未经身份验证攻击者可对UniFi OS系统进行未经授权更改；CVE-2026-34909为目录或路径遍历漏洞，可访问底层操作系统敏感文件；CVE-2026-34910为输入验证不当漏洞，可注入并执行任意操作系统命令。Ubiquiti已于5月发布安全更新，并提示相关漏洞可在无需权限的情况下被远程利用。研究人员此前演示称，三个漏洞可串联实现具有提升权限的完整远程代码执行。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-max-severity-ubiquiti-flaws-exploited-in-attacks/

---

6 Google推出历史记录和个性化隐私服务控制

Google正在为搜索服务和Google Play推出新的隐私控制功能，将保存历史记录和个性化推荐拆分为更独立的设置。已披露信息显示，搜索服务包括搜索、地图、购物、酒店、航班、翻译和新闻等。此前相关历史记录和个性化设置由“网络与应用活动记录”统一管理，更新后将出现“搜索服务历史记录”和“个性化推荐”设置。搜索服务历史记录控制Google是否将用户在相关服务中的活动保存到账户，个性化推荐控制Google是否使用已保存数据定制用户看到的内容。若用户此前启用“网络与应用活动记录”，过渡完成后新的搜索服务历史记录和保存媒体子选项也会启用。

https://www.bleepingcomputer.com/news/google/google-releases-new-privacy-controls-for-activity-history-personalization/

---