每日安全简讯(20260508)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 MuddyWater伪装Chaos勒索掩护间谍攻击

研究人员发现伊朗背景黑客组织MuddyWater在一次入侵中伪装成Chaos勒索软件攻击，实际更像是网络间谍活动而非单纯牟利。攻击者通过Microsoft Teams实施社工，与员工建立聊天和屏幕共享，诱导受害者泄露凭据、调整多因素认证设置，并在部分场景部署AnyDesk实现远程访问。得手后，攻击者进一步访问内部系统和域控，借助RDP、DWAgent、AnyDesk维持持久化，并投放伪装成Microsoft WebView2应用的后门程序。Rapid7依据基础设施重叠、代码签名证书及作案手法等因素，对该事件归因于MuddyWater持中等信心，认为其利用Chaos勒索元素和泄密站条目，意在混淆归因、掩盖真实情报搜集目的。

https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/

---

2 DAEMONTools官方安装包遭供应链投毒

DAEMON Tools自2026年4月8日起发生供应链攻击，官方签名安装程序被植入恶意代码。由于受影响样本仍带有合法签名，攻击具备较强隐蔽性，可能使用户在下载安装官方软件时误装恶意程序。报道指出，此次事件可被用于面向全球目标的定向恶意载荷投递，说明攻击者可能借助可信分发链路扩大影响范围。目前已知关键信息包括受影响时间点、被篡改对象为官方安装器，以及其可支持针对性投放；原文未进一步披露具体恶意软件家族、受害规模及修复进展。

https://securelist.com/tr/daemon-tools-backdoor/119654/

---

3 DataDome披露超大规模低速DDoS攻击事件

DataDome研究人员发现一起大规模“低速且持续”DDoS攻击事件。此次攻击在5小时内累计发出24.5亿次请求，动用了约120万个IP地址，显示出较强的分布式特征。与传统以瞬时高流量压垮目标的攻击方式不同，“低速”DDoS通常通过持续、分散且更难被快速识别的请求对平台造成压力，可能影响业务可用性与防护系统判断。现有信息主要披露了攻击规模、持续时间和参与的IP数量，未进一步说明受影响平台名称、攻击来源归属及最终影响范围。

https://hackread.com/low-and-slow-ddos-attack-hits-2-45-billion-5-hours/

---

4 谷歌广告钓鱼瞄准GoDaddy旗下ManageWP账户

研究人员发现一场通过谷歌赞助搜索结果投放的钓鱼活动正在针对GoDaddy旗下ManageWP平台用户。攻击者在“managewp”搜索结果中投放高仿链接，并采用对手中间人（AiTM）方式，将伪造登录页作为受害者与真实ManageWP服务之间的实时代理，实时窃取账号、密码及随后输入的双因素认证代码。研究人员指出，ManageWP常被开发者、网站代理商和企业用于集中管理多站点，而其插件在超过100万个网站上处于激活状态，因此单个被攻陷账户可能波及数百个站点。Guardio Labs表示，已确认约200名独立受害者，并观察到攻击基础设施具备交互式、人工驱动的钓鱼流程，疑似为私有化钓鱼框架而非通用工具包。

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-for-godaddy-managewp-login-phishing/

---

5 思科修复可致设备需手动重启的拒绝服务漏洞

思科发布安全更新，修复影响Crosswork Network Controller（CNC）和Network Services Orchestrator（NSO）的高危拒绝服务漏洞CVE-2026-20188。该漏洞源于对入站网络连接的速率限制不足，未经身份验证的远程攻击者可通过低复杂度攻击耗尽连接资源，导致系统失去响应，影响合法用户及依赖服务。根据思科说明，受攻击设备在出现故障后需要人工重启才能恢复。思科建议用户尽快升级至公告中列出的修复版本，以彻底缓解风险。思科PSIRT表示，目前尚未发现该漏洞已在野外被利用，但指出公司过去曾修复过多起被实际利用的拒绝服务漏洞，相关案例涉及ASA、FTD、防火墙、Secure Email设备及IOS XR路由器等产品。

https://www.bleepingcomputer.com/news/security/new-cisco-dos-flaw-requires-manual-reboot-to-revive-devices/

---

6 泛微E-cology调试接口漏洞正被利用

泛微E-cology存在编号为CVE-2026-22679的远程代码执行漏洞，且已被攻击者实际利用。该问题出现在2026年3月12日之前的相关版本中，攻击者可通过调试接口发起利用，进而在目标系统上执行任意代码，导致服务器被入侵和系统失陷。现有信息表明，此次攻击路径与暴露的调试端点有关，风险影响较为直接。对于使用受影响版本的机构而言，应尽快核查系统版本与调试接口暴露情况，并关注厂商后续安全更新与缓解建议，以降低被攻击和横向渗透的风险。

https://nvd.nist.gov/vuln/detail/CVE-2026-22679

---