每日安全简讯(20260504)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客滥用Google服务发起大规模脸书钓鱼攻击

研究人员发现攻击者正滥用Google AppSheet与Google Drive发起大规模钓鱼活动，以绕过安全过滤机制并窃取Facebook商业账户。相关行动据称已影响约3万名用户，目标遍及全球。攻击者利用看似可信的Google基础设施托管内容或跳转页面，使钓鱼链接更容易通过邮件和平台的安全审查，并提升受害者信任度。此次事件主要针对Facebook Business账户，可能给企业主页运营、广告投放和商业资产管理带来风险。现有信息显示，攻击核心在于借助合法云服务掩护恶意流程，提醒企业用户加强账户保护、警惕伪装成官方通知的链接与页面。

https://guard.io/labs/accountdumpling---hunting-down-the-google-sent-phishing-wave-compromising-30-000-facebook-accounts

---

2 cPanel严重漏洞遭大规模利用投放勒索软件

研究人员发现编号为CVE-2026-41940的cPanel/WHM高危身份认证绕过漏洞在披露后即被大规模利用，攻击者可借此进入控制面板并入侵网站服务器。cPanel本周已发布紧急更新，但安全机构Shadowserver称，持续攻击中已有至少4.4万个运行cPanel的IP地址受影响。多方消息显示，相关利用最晚可追溯至2月下旬，近期攻击者自上周四起集中利用该漏洞，在Linux服务器上部署基于Go语言编写的“Sorry”勒索软件。该恶意程序会为加密文件追加“.sorry”后缀，并在各目录生成README.md勒索说明，要求受害者通过固定Tox ID联系。研究人员称，其采用ChaCha20加密文件，并使用内嵌RSA-2048公钥保护密钥，若无对应私钥几乎无法解密。官方建议所有cPanel和WHM用户立即安装安全补丁。

https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/

---

3 ConsentFixv3自动化滥用AzureOAuth流程

一种名为ConsentFix v3的新型攻击技术正在黑客论坛传播，被描述为针对Microsoft Azure的自动化OAuth滥用手法。该方法延续此前ConsentFix系列思路，核心是诱导受害者在真实微软登录流程中获取并回传OAuth授权码，从而在无需密码、即使启用多因素认证的情况下换取令牌并接管账户。v3版本的改进在于引入自动化与规模化能力：攻击者会先验证目标是否使用Azure并收集员工信息，再借助Outlook、Tutanota、Cloudflare、DocSend、Hunter.io和Pipedream等服务搭建钓鱼、托管、数据收集和外传链路。研究人员指出，Pipedream在该攻击中承担自动交换授权码为令牌等关键功能。当前尚不清楚v3是否已被广泛用于实际攻击活动。

https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

---

4 微软修复远程桌面安全警告显示异常问题

微软已修复一项已知问题：在打开远程桌面（.rdp）文件时，Windows 新增的安全警告在部分设备上会显示异常。该问题影响所有受支持的 Windows 版本，包括 Windows 11、Windows 10 和 Windows Server，主要出现在多显示器且缩放比例不同的环境中，表现为对话框按钮错位、部分被遮挡、文字难以阅读，导致用户难以甚至无法操作。微软已在 Windows 11 的可选预览累积更新 KB5083631 中解决此问题。相关安全警告随 2026 年 4 月累积更新引入，目的是默认禁用高风险共享资源，以降低攻击者滥用 RDP 文件实施钓鱼攻击的风险。更新后，用户首次打开 RDP 文件会看到一次性风险提示，随后每次连接前都会显示安全对话框，说明发布者、远程地址及本地资源重定向信息。

https://support.microsoft.com/zh-cn/topic/2026-%E5%B9%B4-4-%E6%9C%88-30-%E6%97%A5-kb5083631-%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E5%86%85%E9%83%A8%E7%89%88%E6%9C%AC-26200-8328-%E5%92%8C-26100-8328-%E9%A2%84%E8%A7%88%E7%89%88-db6b5d64-ff7e-4fea-8f47-bde66c97d759

---

5 两名网安从业者因协助黑猫勒索攻击获刑四年

两名网络安全从业人员因在2023年协助实施BlackCat（又称ALPHV）勒索软件攻击，被分别判处4年监禁。案件显示，具备专业安全能力的内部或关联人员若被滥用，可能显著放大网络攻击风险。报道指出，这些行为帮助攻击者实施入侵与勒索，造成约120万美元赎金影响，也再次凸显勒索软件团伙与技术人员勾连带来的现实威胁。该案反映出司法部门正持续加强对勒索软件活动及其支持者的打击，同时提醒企业重视内部权限管理、第三方安全审查与异常行为监测，防范“内鬼式”协助对防线造成破坏。

https://www.justice.gov/opa/pr/two-americans-who-attacked-multiple-us-victims-using-alphv-blackcat-ransomware-sentenced

---

6 黑客运营服务器配置错误泄露34.5万张盗刷信用卡

研究人员发现一个与“Jerry’s Store”盗刷卡片交易市场相关的服务器因配置错误而暴露，导致约34.5万张被盗信用卡信息泄露。报道指出，此次重大安全漏洞与一次AI编码失误有关，该失误引入了严重的配置问题，使服务器未得到妥善保护。事件显示，即便是从事黑色产业的攻击者，其基础设施同样可能因技术和运维失误而暴露敏感数据。现有信息主要表明泄露对象为该平台持有的被盗信用卡记录，报道未进一步披露更多受影响个人细节。

https://cybernews.com/security/jerrys-store-vibecode-exposes-stolen-credit-cards/

---