每日安全简讯(20260605)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Gamaredon组织利用WinRAR漏洞针对乌克兰发起攻击

安全研究人员披露，俄罗斯黑客组织Gamaredon持续利用WinRAR路径遍历漏洞CVE-2025-8088传播多种恶意软件，用于窃取和传播数据。已披露信息显示，该感染链于2026年1月被发现，攻击首先启动名为GammaPhish的HTML应用程序有效载荷，随后获取名为GammaLoad的中间VBScript下载器。相关载荷可识别主机系统、更新注册表中的网络配置，并从命令与控制服务器获取和执行任意VBScript载荷。报告还披露了GammaWorm蠕虫和GammaSteel模块化信息窃取程序，前者通过计划任务建立持久性，后者会捕获特定扩展名文件，并将其泄露至云存储桶或攻击者控制的服务器。

https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/

---

2 恶意软件活动将载荷隐藏在Steam用户页面评论中

安全研究人员披露，近2000个WordPress网站感染了恶意软件，该恶意软件利用Steam社区个人资料评论隐藏命令与控制数据。已披露信息显示，攻击者使用不可见Unicode字符对有效载荷进行编码，并构建指向恶意脚本的URL。该活动自2025年7月首次被发现以来，已在约1980个WordPress网站上出现。目前尚不清楚黑客组织如何入侵这些网站，研究人员评估初始感染途径可能包括管理员登录信息被窃、FTP或SFTP凭据泄露、存在漏洞的主题或插件，以及供应链遭到破坏。攻击最后阶段会植入后门，并通过包含特定身份验证cookie的POST请求接收代码。

https://www.godaddy.com/resources/news/malware-targeting-wordpress-abuses-steam-community-profiles

---

3 基于AI构建的勒索软件工具包可规避EDR端点防御

安全研究人员披露，黑客组织正在使用人工智能构建的勒索软件攻击工具包，该工具包可自动发现Active Directory，并帮助规避端点检测与响应解决方案。已披露信息显示，多个AI代理在工具和有效载荷开发的不同阶段提供协助，包括初始编码、分析、版本控制、安全研究帖子检查和绕过技术整理。部分恶意软件曾在虚拟环境中针对多种EDR工具进行测试。研究人员指出，虽然研发过程使用了AI技术，但整体工作流仍由人驱动。受感染主机上的多个脚本使用俄语编写，并由AI工具生成。报告未发现AI被嵌入已部署恶意软件或在受害者环境中独立运行的证据。

https://www.sophos.com/en-us/blog/pointing-a-cursor-at-evading-detection

---

4 CISA将WebLogic严重漏洞加入KEV已知被利用目录

Oracle WebLogic Server中的严重漏洞CVE-2024-21182已被CISA加入已知被利用漏洞目录。该漏洞两年前已修复，但目前被积极用于攻击。已披露信息显示，Oracle WebLogic Server是企业级Java应用服务器，受影响版本包括12.2.1.4.0和14.1.1.0.0。攻击者无需任何权限，即可通过T3、IIOP网络访问远程利用该漏洞，对目标系统发起低复杂度攻击。成功利用可能导致未经授权访问关键数据，或完全访问可通过Oracle WebLogic Server访问的数据。互联网测绘数据显示，当前仍有超过1500台相关服务器暴露在网络上并可能受到影响。

https://www.cisa.gov/news-events/alerts/2026/06/01/cisa-adds-one-known-exploited-vulnerability-catalog

---

5 Kirki插件严重漏洞被用于劫持WordPress管理员账户

安全研究人员披露，黑客组织正在利用WordPress Kirki插件中的严重权限提升漏洞CVE-2026-8206接管用户账户，包括管理员账户。已披露信息显示，该插件是一款可视化建站工具和主题定制器，已在超过50万个网站上使用。该问题出现在6.0.0版本中，影响6.0.6及更早版本。漏洞源于用于密码重置的自定义REST API端点，插件在密码重置请求期间接受任意电子邮件地址。攻击者可为网站上任意注册用户生成有效密码重置链接，并将其发送到攻击者控制的邮箱。研究人员称，过去24小时内已阻止222次相关攻击尝试。

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/kirki/kirki-600-606-unauthenticated-privilege-escalation-via-handle-forgot-password

---

6 针对Codex开发者的供应链攻击活动窃取认证令牌

安全研究人员披露，一项新的恶意供应链活动通过看似合法的远程Web UI工具，针对使用OpenAI Codex的开发者。已披露信息显示，名为codexui-android的工具在代码托管平台和npm上作为OpenAI Codex远程Web用户界面推广，每周下载量超过29000次。该活动并非传统的域名抢注或临时软件包欺骗，而是将恶意代码嵌入一个正在积极开发的功能性npm软件包中。相关代码会提取本地Codex认证文件内容，并发送到伪装成合法监控服务的远程服务器。被捕获数据包括访问令牌、刷新令牌、身份令牌和账户ID。

https://www.aikido.dev/blog/codex-remote-ui-steals-ai-tokens

---