每日安全简讯(20260428)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 UNC6692借助Teams投递Snow恶意工具集

威胁组织UNC6692通过“邮件轰炸”制造紧迫感，随后冒充IT服务台人员在Microsoft Teams联系受害者，诱导其点击所谓可阻止垃圾邮件的补丁链接。实际投递的是一套名为“Snow”的定制恶意软件，包括Chrome恶意扩展SnowBelt、隧道工具SnowGlaze和基于Python的后门SnowBasin。该工具集可建立持久化、隐藏与C2的通信，并支持远程执行命令、文件下载、截图、数据窃取和基本文件管理。攻击者入侵后会进行内网侦察，扫描SMB和RDP等服务，转储LSASS内存窃取凭证，利用哈希传递横向移动，报告同时提供了IoC和YARA规则用于检测。

https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware

---

2 GlassWorm在Open VSX投放73个克隆扩展程序

研究团队披露了一起针对Open VSX扩展市场的供应链攻击事件。威胁行为体GlassWorm通过新注册的GitHub账户发布了73个克隆扩展程序，这些程序初期伪装成合法工具（如土耳其语语言包），以建立用户信任并积累下载量。截至报告发布时，已有至少6个休眠扩展被激活，通过正常更新渠道传播恶意软件。攻击者采用多种技术逃避检测，此前该组织还曾利用Solana区块链交易备忘录作为"死信箱"传输第二阶段载荷。专家已将相关扩展标记并建立专门追踪页面，提醒开发者警惕名称、图标高度仿冒的克隆扩展。

https://socket.dev/blog/73-open-vsx-sleeper-extensions-glassworm

---

3 PackageKit提权漏洞可致Linux获取root权限

Linux软件包管理后台服务PackageKit被披露存在高危本地提权漏洞“Pack2TheRoot”，编号为CVE-2026-41651，CVSS评分8.8。该漏洞存在于PackageKit 1.0.2至1.3.4版本，持续近12年，可能使本地用户在特定条件下无需认证执行安装或删除系统软件包等操作，进而获得root权限。德国电信红队表示，默认预装并启用PackageKit的发行版都应视为可能受影响。官方已发布PackageKit 1.3.5修复该问题，但出于补丁传播考虑，技术细节和演示利用代码尚未公开。

https://www.bleepingcomputer.com/news/security/new-pack2theroot-flaw-gives-hackers-root-linux-access/

---

4 BlackFile团伙被指发起电诈式勒索攻击

一个名为BlackFile的新型逐利黑客团伙被关联到，针对零售和酒店行业的一波数据窃取与勒索活动。该组织又被跟踪为CL-CRI-1116、UNC6671和Cordial Spider，常冒充企业IT服务台，通过伪造来电号码实施语音钓鱼，诱导员工访问假冒登录页面并输入凭证及一次性验证码。攻击者随后利用窃取的账号注册自有设备以绕过多因素认证，并借助内部员工目录提升到高管账户权限，批量导出含“confidential”“SSN”等关键词的数据。失窃文件会被传至其控制的服务器，并在暗网泄露站点发布，再通过被入侵邮箱或Gmail地址索要高额赎金。研究人员还提到，部分受害企业员工甚至遭遇“假警情出警”骚扰施压。

https://rhisac.org/threat-intelligence/extortion-in-the-enterprise-defending-against-blackfile-attacks/

---

5 ADT确认遭入侵并有客户信息被窃取

家居安防企业ADT证实发生数据泄露事件。公司表示于4月20日发现有未授权访问涉及客户及潜在客户数据，随后已终止入侵并展开调查。调查确认，泄露信息主要包括姓名、电话号码和地址；少量情况下还涉及出生日期以及社会安全号码或税号后四位。ADT强调，银行账户、信用卡等支付信息未被访问，客户安防系统也未受到影响。公司称此次事件影响范围有限，并已通知所有受影响个人。

https://www.bleepingcomputer.com/news/security/adt-confirms-data-breach-after-shinyhunters-leak-threat/

---

6 美国Itron公司内部IT网络遭未授权入侵

美国公用事业技术公司Itron披露，其部分内部系统近日前后遭未授权第三方访问。公司称在发现异常后已启动网络安全响应计划，向执法部门报案，并引入外部顾问开展调查、缓解、修复与遏制工作。目前相关未授权活动已被阻断，且尚未发现后续活动。Itron表示，此次事件未波及客户环境，业务运营也未出现重大中断，现阶段预计不会产生进一步实质性影响，且相当一部分事件处置成本预计可由保险覆盖。Itron总部位于美国华盛顿州，业务涉及电网、供水和燃气网络等关键基础设施。

https://www.bleepingcomputer.com/news/security/american-utility-firm-itron-discloses-breach-of-internal-it-network/

---