赛欧思一周资讯分类汇总(2026-04-13 ~ 2026-04-18)

一周资讯分类汇总：

1、勒索事件：

• JanaWare 勒索软件通过定制版 Adwind RAT 攻击土耳其用户

  一项名为 “JanaWare” 的新型勒索软件攻击活动，利用了 Adwind 远程访问木马（RAT）的一个定制变种，专门针对土耳其用户。该恶意软件表现出多态行为、高级混淆技术以及严格的地理围栏控制，其攻击活动可能始于 2020 年左右，且至今仍在活跃。

  来源: GBHackers

• AfyaRekod 数据泄露事件导致患者医疗记录遭泄露

  肯尼亚健康科技初创公司 AfyaRekod 遭遇了数据泄露，此次事件涉及该公司数据库被未经授权地窃取。攻击者索要 15 万美元赎金，威胁称若未支付赎金，将出售被盗记录。据称，此次泄露的数据包括： 258459 名患者的个人身份信息（PII）。

  来源: Daily Dark Web

2、攻击事件：

• CPUID水坑攻击传播STX RAT恶意软件

  攻击者入侵了 CPUID 网站，并将 CPU-Z 和 HWMonitor 的下载链接替换为恶意文件，这一情况持续了数小时。下载这些文件的用户感染了 STX RAT 木马，导致攻击者能够远程访问其系统。调查显示，攻击者控制了一个辅助 API 约六小时，导致网站显示恶意链接。

  来源: Security Affairs

• Okta 遭遇攻击，黑客绕过钓鱼攻击直指身份验证系统

  黑客正逐渐放弃电子邮件钓鱼，转而利用语音社会工程学（即“Okta语音钓鱼”）直接针对 Okta 及其它身份提供商发起攻击。攻击者不再发送链接，而是通过电话引导受害者执行一系列操作，从而夺取身份提供商的控制权。

  来源: GBHackers

• APT37在最新定向网络攻击中利用 Facebook、Telegram 及植入木马的安装程序

  APT37 正在开展一项新的定向入侵行动，该行动利用 Facebook、Telegram 以及经过篡改的 Wondershare PDFelement 安装程序，以隐蔽方式入侵并窃取敏感数据，目标很可能与国防相关。

  来源: GBHackers

• Claude 和 ChatGPT 被用于针对政府机构的全面网络攻击行动

  一名攻击者成功利用人工智能平台入侵了墨西哥的九个政府机构，该攻击行动从2025年12月下旬持续至2026年2月中旬，导致数亿条公民记录被窃取。攻击者主要依赖于两大主流商用人工智能平台： Anthropic 公司的 Claude Code 和 OpenAI 公司的 GPT-4.1。

  来源: GBHackers

3、漏洞情报：

• Nginx-UI 漏洞正被积极利用，可导致服务器完全被接管

  nginx-ui（一款广泛用于管理 Nginx 服务器的开源 Web 界面）中存在一个严重漏洞，该漏洞被追踪为 CVE-2026-33032，CVSS 基础评分高达 9.8，这一关键漏洞允许远程攻击者在无需提供任何密码或凭据的情况下完全接管服务器。

  来源: GBHackers

• Splunk Enterprise 和云平台存在危险的远程代码执行漏洞

  Splunk 披露了一个影响其企业版和云平台环境的高危漏洞。该漏洞编号为 CVE-2026-20204，允许攻击者远程执行任意代码。该漏洞的 CVSS 评分为 7.1，该安全缺陷源于 Splunk Web 中对特定临时文件处理不当及隔离措施不足。

  来源: GBHackers

• SAP 修补商业规画与合并财务报表系统、企业资料仓储系统重大漏洞

  SAP 发布本月例行更新（Security Patch Day），总共揭露 19 个资安漏洞，最危险的是 SQL 注入漏洞 CVE-2026-27681，影响商业规画与合并财务报表系统 SAP Business Planning and Consolidation（SAP BPC），以及企业资料仓储系统 SAP Business Warehouse（SAP BW），CVSS 风险评为 9.9 分。

  来源: iThome

• etcd 存在严重漏洞，可能导致未经授权访问敏感的集群 API

  Strix 开发的一款自主 AI 安全代理在 etcd 中发现了一个关键的身份验证绕过漏洞。该漏洞被追踪为 CVE-2026-33413，CVSS 评分为 8.8，允许未经身份验证或权限不足的用户调用敏感的集群操作。

  来源: GBHackers

• Adobe 修复了正被积极利用的 Acrobat Reader 漏洞

  Adobe 发布紧急安全更新，修复了 Acrobat Reader 中一个被积极利用的关键漏洞 CVE-2026-34621（CVSS评分8.6），该漏洞为原型污染型 JavaScript 漏洞。此漏洞可能允许攻击者在受影响的系统上执行恶意代码。

  来源: CN-SEC 中文网

• wolfSSL 库中的严重漏洞导致伪造证书被滥用

  wolfSSL SSL/TLS 库中存在一个关键漏洞，该漏洞在验证椭圆曲线数字签名算法（ECDSA）签名时，因对哈希算法或其长度的验证不当，可能导致安全性降低。据该项目网站称，wolfSSL 已被全球超过 50 亿个应用程序和设备采用。

  来源: BleepingComputer

• 关键 Marimo 预授权 RCE 漏洞现已被积极利用

  黑客在公开披露后仅 10 小时就开始利用 Marimo 开源响应式 Python 笔记本平台中的一个关键漏洞。该缺陷允许在 Marimo0.20.4 及更早版本中无需身份验证即可远程执行代码。它追踪为 CVE-2026-39987，GitHub 以 10 分中的 9.3 分进行评估。

  来源: BleepingComputer

• 尽管此前已发布补丁，旧版 Docker 授权绕过漏洞仍时有发生

  研究人员警告称，一个新漏洞允许攻击者绕过 Docker Engine 中的授权插件，并获得主机系统的 root 级访问权限。该新漏洞编号为 CVE-2026-34040，CVSS 评分为 8.8，若无法立即部署更新，可通过将请求大小限制为 512KB 来过滤恶意请求。

  来源: CSOonline

4、信息泄露：

• Assurea 保险经纪公司遭遇大规模数据泄露

  据称，法国保险经纪公司 Assuréa 遭遇了安全入侵，导致大规模数据泄露。这批规模庞大的 150GB 数据集目前正以 20000 欧元的价格在网上兜售。据称，该数据集包含 139000 条独特的汽车保险数据记录、11000 份 PDF 格式的信息与建议单，以及超过 200 万份附带附件的内部通信记录。

  来源: Daily Dark Web

• Basic-Fit 安全事件中，100 万名健身会员的个人数据遭到泄露

  欧洲最大健身连锁 Basic-Fit 发生数据泄露事件，约 100 万名会员信息被黑客窃取，影响多国用户。泄露数据包括姓名、地址、邮箱、电话、出生日期及银行账户，但身份证件和密码未受影响。

  来源: CN-SEC 中文网

• AMETEK Process Instruments 疑似遭遇数据泄露

  据称，全球知名的在线过程分析仪制造商 AMETEK Process Instruments 遭到了黑客攻击，导致其内部技术和商业数据被挂出出售。据称遭泄露的数据包括一组 3.76 GB 的敏感企业文件。

  来源: Daily Dark Web

• 孟加拉国水文信息管理系统数据泄露事件

  据称，由孟加拉国政府下属的孟加拉国水利开发局（BWDB）运营的关键基础设施平台——水文信息管理系统（HIMS）——已遭入侵。据报道，该网站的访问权限及数据正以 100 美元的价格被兜售。据攻击者称，遭泄露的数据包括：孟加拉国全境的河流水位、地下水及降雨数据、水质数据等。

  来源: Daily Dark Web

• K Subsea 集团遭遇 Everest 勒索软件大规模数据泄露

  “Everest” 勒索软件团伙声称已入侵总部位于新加坡的知名商业潜水及水下工程服务提供商 K Subsea Group。据该团伙称，此次泄露的数据包含 142370 个文件，总计 293.44 GB，涵盖了大量运营、公司及人事记录。

  来源: Daily Dark Web

• 近 3 亿印度人遭精准画像，关联了 800 万 x 账号

  Truecaller 在 2019 年数据泄露事件中，近 2.86 亿印度用户的个人信息被窃取，包括姓名、运营商、地址、工作信息及社交媒体账号等，形成 33GB 精准人格画像，至今仍存于暗网。

  来源: CN-SEC 中文网

• 美国洛杉矶警察局遭黑客入侵 7.7TB 敏感文件泄露

  洛杉矶时报报道，黑客组织从美国洛杉矶警察局窃取了约 7.7TB 敏感数据，包括 3.7 万份未脱敏的调查记录、证人信息和医疗资料。主要涉及警员因风纪问题被投诉的调查记录，包括证人姓名、访谈内容、警方医疗信息，以及未经脱敏处理的犯罪指控和政府调查文件。

  来源: CN-SEC 中文网

5、僵尸网络：

• 黑客将凭证填充僵尸网络完全敞开，赋予其完全的工作节点访问权限及根密码

  一个针对 Twitter/X 账户的活跃凭证填充僵尸网络被发现完全暴露在互联网上，访问其控制面板、工作服务器凭证或实时攻击数据均无需密码。该暴露系统其所有 18 台工作服务器的 root SSH 密码均可被任何连接到正确 IP 地址并知道应访问哪个端口的人读取。

  来源: Cyber Security News

6、恶意软件：

• 从伪造的 Proton VPN 网站到游戏修改版，这款 Windows 信息窃取程序无处不在

  目前发现多个传播活动正在散布一种被追踪为 NWHStealer 的信息窃取器，其手段五花八门，从伪造的 VPN 下载到硬件工具及游戏修改补丁无所不包。一旦安装，该恶意软件便能收集浏览器数据、保存的密码以及加密货币钱包信息。

  来源: MalwareBytes Blog

• 超过 100 款 Chrome 网络商店扩展程序窃取用户账户及数据

  Chrome 官方应用商店中已有超过 100 个恶意扩展程序，企图窃取 Google OAuth2 Bearer 令牌、植入后门并实施广告欺诈。据研究人员称，该行动使用了一个托管在 Contabo VPS 上的中央后端，多个子域名分别负责会话劫持、身份信息收集、命令执行和变现操作。

  来源: BleepingComputer

• Mirax Android RAT 将设备变为 SOCKS5 代理，通过 Meta 广告感染了 22 万台设备

  一种名为 Mirax 的新兴 Android 远程访问木马已被发现正积极针对西班牙语国家发起攻击，其攻击活动通过 Meta 平台上的广告，已触及 Facebook、Instagram、Messenger 和 Threads 上的超过 22 万个账户。

  来源: The Hacker News

• 伪造的 Proxifier GitHub 安装程序传播 ClipBanker 加密货币木马

  黑客正利用托管在 GitHub 上的伪造 Proxifier 安装程序，传播一种多阶段的 ClipBanker 恶意软件，该软件会悄无声息地劫持受感染系统中的加密货币交易。该攻击活动结合了搜索引擎中毒、植入木马的安装程序以及无文件技术，将受害者的钱包地址替换为攻击者控制的地址。

  来源: GBHackers

7、国际安全情报：

• 遇袭期间，伊朗境内大量美国制造的通信设备集体“失灵”

  据伊朗法尔斯通讯社报道，在伊朗中部伊斯法罕省遇袭期间，伊朗境内大量美国制造的通信设备突然失灵，操作系统崩溃。新华社/美联报道说，出故障的通信设备全部来自美国的思科、飞塔和朱尼珀等品牌。

  来源: 安全内参

• 已收录 1250 多台 C2 服务器，分布于俄罗斯境内的 165 家主机服务商

  在2026年1月1日至4月1日的三个月期间，研究人员在 165 家俄罗斯基础设施提供商处检测到超过 1250 台活跃的命令与控制（C2）服务器，这些服务器分布于共享托管平台、虚拟服务器环境及电信网络之中。

  来源: Cyber Security News