每日安全简讯(20260523)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Android恶意软件伪装成主流应用自动订阅付费服务

研究人员披露一起持续10个月的全球Android恶意软件诈骗活动，约250个恶意应用伪装成Facebook Messenger、Instagram Threads、TikTok、Minecraft、Grand Theft Auto (GTA)等热门软件，诱导用户安装。该恶意软件精准针对泰国、克罗地亚、罗马尼亚、马来西亚四国主流移动运营商，安装后自动禁用Wi-Fi，强制走蜂窝数据流量，拦截短信OTP验证码，自动触发付费订阅流程。其包含三个变种，分别负责自动提交订阅、延迟发送短信规避检测、实时回传设备信息，依托C2服务器控制，暴露移动应用生态、运营商验证体系存在多重安全短板。

https://hackread.com/android-malware-subscribe-services-without-consent/

---

2 朝鲜Kimsuky组织利用HelloDoor后门发起针对性攻击

安全研究人员曝光朝鲜Kimsuky黑客组织发起针对性攻击，部署名为HelloDoor的Rust语言编写后门，滥用VS Code远程隧道功能绕过安全边界。该组织长期瞄准韩国政府、国防、能源及科研等高价值目标，HelloDoor后门采用Rust开发具备免杀特性，通过VS Code隧道建立隐蔽加密通信通道，规避传统防火墙与入侵检测系统。攻击流程为初始入侵后植入HelloDoor，利用VS Code隧道远程控制目标设备，窃取敏感文件、凭证及业务数据，还可植入后续恶意载荷。该攻击手法隐蔽性极强，常规安全工具难以识别，暴露开发工具滥用带来的供应链安全风险，相关机构需加强终端工具管控与异常隧道流量监测。

https://securityonline.info/kimsuky-hellodoor-rust-backdoor-vscode-remote-tunneling/#google_vignette

---

3 Microsoft Defender漏洞遭野外持续攻击

美国网络安全和基础设施安全局（CISA）将Microsoft Defender两个高危漏洞列入已知被利用漏洞（KEV）目录，确认漏洞正遭野外持续攻击。其中CVE‑2026‑41091漏洞（CVSS评分7.8）为本地提权漏洞，攻击者获取基础权限后，可借此突破防护获取SYSTEM级完全控制权限；CVE‑2026‑45498漏洞（CVSS评分4.0）为拒绝服务漏洞，可干扰甚至禁用Defender防护引擎，为恶意软件运行创造条件。漏洞影响所有依赖Defender的Windows终端，企业、学校及共享服务器环境风险更高，微软已发布修复版本4.18.26040.7，用户需通过Windows Update更新平台与安全情报。

https://www.malwarebytes.com/blog/bugs/2026/05/microsoft-defender-vulnerabilities-are-being-exploited

---

4 PinTheft漏洞导致Arch Linux面临提权攻击

安全团队披露Linux内核RDS（Reliable Datagram S）子系统本地提权漏洞PinTheft，已公开可用的漏洞利用代码，暂无CVE编号。漏洞源于zerocopy双释放缺陷，攻击者可通过io_uring篡改页面缓存，获取root权限。该漏洞仅默认影响Arch Linux，Ubuntu、Fedora、Debian等主流发行版默认不加载RDS模块，风险较低。研究人员已确认漏洞可稳定利用，官方已推送内核补丁，Arch Linux用户需立即更新内核，或临时卸载并禁用RDS模块防护。

https://securityaffairs.com/192456/security/pintheft-another-linux-privilege-escalation-another-working-exploit-this-time-targeting-arch.html

---

5 暗网大型卡商平台泄露460万条支付卡信息

暗网大型卡商平台B1ack's Stash公开泄露460万条支付卡记录，此举为惩罚违规转卖数据的卖家。泄露数据包含卡号、CVV2码、有效期、持卡人姓名、账单地址、邮箱、电话、IP等完整信息，经筛选后约430万条有效，70%来自美国，其余集中在加拿大、英国、法国、马来西亚。该平台自2023年运营，多次以免费泄露数据引流，此次泄露或引发大规模盗刷、身份盗用、精准钓鱼诈骗，用户需警惕异常账单与陌生诈骗信息。

https://securityaffairs.com/192415/cyber-carding-site-b1acks-stash-dumps-4-6-million-stolen-cards-for-free.html

---

6 加拿大警方逮捕Kimwolf僵尸网络运营人员

加拿大警方逮捕23岁男子Jacob Butler，其为大型DDoS僵尸网络Kimwolf核心管理员，绰号Dort。Kimwolf自2025年起活跃，控制超200万台Android TV设备，作为DDoS租赁服务发起2.5万次攻击，造成数百万美元损失，还曾攻击美国国防部网络。今年3月，相关僵尸网络基础设施被查封，但Kimwolf仍持续运作，Butler因操作IP重叠被溯源锁定，面临引渡美国，最高可判10年监禁，事件暴露物联网设备安全管理存在严重漏洞。

https://cyberscoop.com/kimwolf-botnet-alleged-administrator-jacob-butler-arrested-canada/

---