每日安全简讯(20260517)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Turla将Kazuar改造为模块化P2P僵尸网络

研究人员发现Turla已将Kazuar后门改造为由三个模块组成的P2P僵尸网络，以提升隐蔽控制、任务分发韧性和长期驻留能力。该架构通过点对点通信替代或弱化传统中心化指挥控制模式，使受感染节点之间能够转发指令与数据，从而降低单点失效风险并增强抗侦测性。报道指出，此次改造的重点在于实现更隐蔽的C2通信、更稳健的任务下发机制，以及在受害环境中的持续访问能力，体现出相关威胁活动在模块化和持久化方向上的演进。

https://www.microsoft.com/en-us/security/blog/2026/05/14/kazuar-anatomy-of-a-nation-state-botnet/

---

2 REMUS窃密木马加速演化并强化会话窃取

研究人员称，REMUS作为新兴信息窃取木马，正从单一恶意程序快速演变为高度商业化的恶意软件即服务平台。研究基于2026年2月12日至5月8日期间与该地下运营相关的128条帖子，显示其在数月内持续发布功能更新、运营优化和面向客户的支持内容，发展节奏类似正规软件产品。REMUS早期主打浏览器凭证、Cookie、Discord令牌窃取及Telegram投递，随后扩展到恢复令牌、日志管理、统计页面、去重过滤和感染可视化。4月后，其重点明显转向会话连续性与浏览器认证数据，新增SOCKS5代理、反虚拟机、游戏平台目标以及针对1Password、LastPass和Bitwarden等密码管理器相关数据的收集能力，反映出攻击者愈发重视可绕过多因素认证的会话与令牌窃取。

https://www.bleepingcomputer.com/news/security/inside-the-remus-infostealer-session-theft-maas-and-rapid-evolution/

---

3 伪装面试应用传播JobStealer恶意程序

攻击者正利用伪装成求职面试软件的应用，在Windows和macOS系统上传播JobStealer恶意程序。该恶意软件的主要目标是窃取受害者设备中的敏感信息，包括加密货币钱包数据、浏览器中的账户与会话信息，以及保存的密码等。此类攻击借助求职和面试场景进行伪装，具有较强迷惑性，可能诱导用户主动下载安装恶意应用。报道表明，相关威胁同时影响主流桌面平台，显示出攻击者在跨平台投放和信息窃取方面的活跃趋势。

https://hackread.com/fake-job-interview-jobstealer-malware-windows-macos/

---

4 Exim关键漏洞可致远程代码执行

开源邮件传输代理Exim曝出高危漏洞CVE-2026-45185，未认证远程攻击者在特定配置下可实现任意代码执行。该问题影响4.97至4.99.2版本中采用GnuTLS构建、并启用STARTTLS与CHUNKING通告的Exim实例，OpenSSL构建不受影响。漏洞本质为TLS关闭过程中处理BDAT分块SMTP流量时触发的释放后使用（UAF），可能导致向已释放内存写入数据。成功利用后，攻击者可在服务器上执行命令、访问Exim数据及邮件内容，并可能进一步横向移动。该漏洞由XBOW研究员Federico Kirschbaum发现，Exim已在4.99.3中发布修复，Debian和Ubuntu用户应尽快通过软件包管理器更新。

https://xbow.com/blog/dead-letter-cve-2026-45185-xbow-found-rce-exim

---

5 微软MDASH发现16个已修复的Windows漏洞

微软披露，其新推出的MDASH人工智能系统发现了16个已在本月“补丁星期二”更新中修复的Windows漏洞。相关漏洞中包括两个可导致远程代码执行的高危问题，分别涉及IKEv2和TCP/IP组件。该消息表明，微软正在将AI能力应用于漏洞挖掘与安全防护流程，以辅助发现系统中潜在的高风险缺陷。现有信息主要指出漏洞数量、修复时间点以及其中两类关键受影响组件，未进一步公开每个漏洞的详细技术细节、利用条件或影响范围。

https://thehackernews.com/2026/05/microsofts-mdash-ai-system-finds-16.html

---

6 AvadaBuilder漏洞可致网站凭据被窃取

WordPress插件Avada Builder曝出两处安全漏洞，可能导致任意文件读取和数据库敏感信息泄露，影响约100万活跃安装。其一为CVE-2026-4782，影响3.15.2及以下版本，具备至少订阅者权限的认证用户可借助shortcode渲染功能中的custom_svg参数读取服务器任意文件，包括可能包含数据库凭据和密钥的wp-config.php，进而造成管理员账户失陷和整站接管。其二为CVE-2026-4798，影响3.15.1及以下版本，属于时间盲注漏洞；在网站曾启用后又停用WooCommerce且相关数据表仍保留的前提下，未认证攻击者可从数据库提取敏感信息。厂商已于5月12日发布完全修复版本3.15.3，建议用户尽快升级。

https://www.wordfence.com/blog/2026/05/1000000-wordpress-sites-affected-by-arbitrary-file-read-and-sql-injection-vulnerabilities-in-avada-builder-wordpress-plugin/

---