每日安全简讯(20260601)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 伊朗Nimbus Manticore组织借恶意Zoom安装包攻击美国企业

伊朗关联APT组织Nimbus Manticore（UNC1549）发动多轮定向攻击，目标从以色列、阿联酋扩展至美国航空、软件等重点行业企业，关联伊朗伊斯兰革命卫队。2月，攻击者伪造OnlyOffice求职Offer，发送含恶意ZIP附件的钓鱼邮件，利用AppDomain劫持技术植入MiniJunk恶意软件；3月切换为虚假Zoom会议邀请，附带Zoominstall64.zip恶意安装包，在安装正版Zoom的同时，通过InitInstall.dll植入MiniFast后门，劫持系统Zoom更新任务实现持久驻留。4月进一步升级为SEO投毒，搭建仿Oracle SQL Developer恶意网站，抢占搜索引擎排名诱导开发者下载。MiniFast具备AI开发特征，代码规范、模块化强，可完全控制设备并伪装Chrome流量隐蔽传输，攻击链路成熟、隐蔽性极强。

https://hackread.com/iran-nimbus-manticore-trojan-zoom-installers-us-firms/

---

2 攻击者利用VS Code远程隧道定向攻击巴基斯坦公共安全机构

一场高度定制化鱼叉式钓鱼攻击瞄准巴基斯坦旁遮普省公共安全局（PSCA）及PPIC3基础设施，攻击者创新性滥用VS Code远程隧道技术突破边界防护。攻击者前期深度情报收集，伪造内部技术顾问身份，发送含恶意附件的钓鱼邮件，邮件关联真实项目信息，迷惑性极强。Word文档执行后释放恶意程序，利用VS Code设备码认证机制，窃取授权码并通过Discord Webhook回传，攻击者用自有开发者账号绑定受害者设备，将其纳入合法远程隧道，流量伪装成开发者通信规避检测。PDF附件则通过虚假更新弹窗诱导下载ClickOnce恶意包，形成双重感染链路，可完全接管目标工作站。

https://securityonline.info/vs-code-remote-tunnels-abuse-phishing/

---

3 CISA新增3个高危供应链漏洞至已知被利用漏洞目录

美国CISA将3个高危供应链漏洞列入已知被利用漏洞（KEV）目录，均为高风险软件投毒事件，CVSS评分均超9.0。其一为Daemon Tools Lite漏洞（CVE-2026-8398），2026年4至5月官方安装包遭篡改，植入带合法签名的恶意代码；其二是TanStack组件漏洞（CVE-2026-45321），攻击者滥用GitHub Actions投毒，篡改42个npm包发布84个恶意版本；其三为Nx Console扩展漏洞（CVE-2026-48027），18.95.0版本含恶意代码，上架36分钟后被下架。CISA要求联邦机构6月10日前完成修复，敦促企业全面排查软件供应链安全。

https://securityaffairs.com/192776/security/u-s-cisa-adds-daemon-tools-tanstack-and-nx-console-flaws-to-its-known-exploited-vulnerabilities-catalog.html

---

4 荷兰阿贾克斯俱乐部系统漏洞致球迷数据泄露

荷兰足球俱乐部阿贾克斯曝出严重数据泄露事件，系统漏洞导致30万注册球迷信息、4.2万季票数据及538名赛场禁赛人员信息遭非法访问。漏洞源于应用程序硬编码统一密钥，攻击者可篡改数据包冒用他人身份，直接转移季票所有权，甚至删除禁赛限制；官网API接口泄露管理员权限，可批量查看、修改球迷隐私，包括禁赛原因、个人职业等敏感信息，易引发勒索、身份盗用风险。事件曝光后，阿贾克斯已修复漏洞、向监管部门报案，通知所有用户加强账号安全，暴露体育行业数据防护短板。

https://www.rtl.nl/nieuws/tech/artikel/5581939/hack-ajax-seizoenskaarten-stelen-fans-stadionverboden

---

5 GPU挖矿恶意软件利用SEO投毒大规模扩散

新型GPU挖矿恶意软件大规模扩散，攻击者结合SEO投毒与AI生成技术，伪装成CrystalDiskInfo、HWMonitor等热门系统工具。攻击者注册150+恶意域名，抢占搜索及AI聊天工具推荐结果，诱导用户下载含恶意ZIP包的安装程序，通过DLL侧载植入ScreenConnect远控工具。恶意软件利用进程空洞技术注入微软签名.NET程序，设置6种自启动机制，自动添加杀毒软件排除项，具备反虚拟机、反调试能力，持续监控GPU使用率，闲置时启动加密货币挖矿，活动时自动终止，隐蔽性极强，溯源发现关联多个恶意基础设施。

https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/

---

6 美国监狱电话服务商泄露30万用户驾照信息

美国监狱电话服务商Pay Tel发生严重数据泄露，微软Azure云服务器无密码公开，暴露超30万用户驾照扫描件、政府证件照及通信、财务数据。该服务为全美监狱提供通话平板设备，用户注册需上传证件照片，泄露数据含精确拍摄地点，可定位家庭住址。2025年6月该公司曾遭勒索软件攻击，此次为二次安全事故，漏洞暴露数月后被安全厂商发现，期间数据可被任意下载，极易引发身份盗用、精准诈骗。截至5月28日，公司仍未公开致歉或通知受害者，数据安全管理严重失职。

https://techcrunch.com/2026/05/28/a-security-lapse-at-prison-payphone-service-pay-tel-publicly-exposed-over-300000-callers-drivers-licenses/

---