每日安全简讯(20260421)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT组织UNC1069发动多起网络攻击

近日，朝鲜威胁行为体UNC1069发起多起网络攻击，该组织隶属于朝鲜侦察总局，以窃取加密货币牟利（累计超30亿美元）。2026年其先后通过劫持Telegram账户、实时深度伪造视频诱骗受害者，部署七种恶意软件，并入侵Axios npm包发起供应链攻击，威胁范围扩展至开发者生态系统，手法呈现明显升级趋势。

https://falconfeeds.io/blogs/unc1069-dprk-deepfake-cyber-campaign-crypto-supply-chain-attacks/

---

2 Dark Storm威胁中东关键基础设施安全

亲巴勒斯坦黑客组织"黑暗风暴团队"（Dark Storm Team）正对中东关键基础设施构成重大安全威胁。该组织成立于2023年8月，虽无官方政府背景，但已在60个国家、74个行业领域持续活动20个月，目前尚未被主流商业威胁情报供应商覆盖，存在严重情报盲区。该组织与亲俄黑客行动主义者NNM057(16)及"DDoSia项目"存在活跃联盟关系。通过这一关联，其生态系统已引入工业控制系统（ICS/SCADA）攻击能力。一段转发至该组织频道的视频显示，其联盟成员已获取波兰某工业设施压缩站的实时SCADA控制面板访问权限，可监控温度、风量等关键运行参数并操控系统控制选项。

https://falconfeeds.io/blogs/dark-storm-team-iran-israel-cyber-conflict-middle-east-critical-infrastructure-threat/

---

3 高级后渗透框架攻击EMEA金融组织

监测到一款高级多阶段后渗透攻击框架，针对中东及EMEA金融领域组织发起攻击。攻击者滥用英特尔签名合法二进制文件，通过AppDomainManager劫持实现隐蔽执行，结合沙箱规避、JIT跳板等技术绕过传统安全控制。该框架通过Amazon CloudFront CDN建立C2通信，具备模块化架构和反取证能力，攻击技巧媲美成熟攻击工具，暂未明确攻击者身份，对企业敏感数据构成严重威胁。

https://www.cyfirma.com/research/operation-phantomclr-stealth-execution-via-appdomain-hijacking-and-in-memory-net-abuse/

---

4 云开发平台Vercel披露数据泄露事件

云开发平台Vercel披露重大安全事件，黑客声称在将售窃取的数据。Vercel是知名的云平台，开发了广泛使用的Next.js框架，并提供无服务器函数、边缘计算和CI/CD管道服务。事件起因是一名Vercel员工的Google Workspace账户被攻破，随后利用Vercel环境变量功能枚举并横向移动。攻击者声称获取了访问密钥、源代码、数据库数据、内部部署权限和API密钥（包括NPM令牌和GitHub令牌），并索要200万美元赎金。

https://vercel.com/kb/bulletin/vercel-april-2026-security-incident

---

5 黑客利用Marimo零日漏洞部署NKAbuse

研究人员披露Marimo（Python响应式笔记本）严重远程代码执行漏洞CVE-2026-39987在野利用持续升级。漏洞披露不足10小时即出现首次利用，攻击手法快速演进：从最初的凭证窃取，到通过Hugging Face平台托管恶意dropper脚本和木马程序（NKAbuse新变种），再到从德国发起的15种不同反向Shell技术多端口尝试、香港攻击者扫描Redis全部16个数据库并外传会话令牌，以及PostgreSQL数据库凭证提取。NKAbuse新变种为远控木马，可执行Shell命令并回传结果，使用NKN去中心化P2P网络协议进行隐蔽通信。建议立即升级至0.23.0或更高版本，或在防火墙封锁/terminal/ws端点。

https://www.bleepingcomputer.com/news/security/hackers-exploit-marimo-flaw-to-deploy-nkabuse-malware-from-hugging-face/

---

6 黑客利用Apple账户更改通知发起钓鱼攻击

Apple官方账户更改通知系统正被攻击者滥用，向用户发送虚假的iPhone购买钓鱼邮件，这些邮件实际通过Apple自有服务器发送，可通过SPF、DKIM和DMARC认证检查。攻击者在Apple ID账户的姓名字段中插入钓鱼内容，再修改配送信息触发安全通知，邮件便会包含钓鱼内容。钓鱼者声称用户在4月14日通过PayPal购买了一部899美元的iPhone，并附上电话号码要求用户联系取消。接到此类邮件的用户应保持警惕，切勿拨打陌生电话号码或点击其中链接，即使邮件声称来自Apple或任何其他官方机构。

https://www.bleepingcomputer.com/news/security/apple-account-change-alerts-abused-to-send-phishing-emails/

---