1、APT28利用Zimbra协作平台中的XSS漏洞进行攻击

https://www.seqrite.com/blog/operation-ghostmail-zimbra-xss-russian-apt-ukraine/

研究人员发现一起针对性的网络钓鱼攻击活动，该活动利用Zimbra协作平台中的XSS漏洞，入侵了一家乌克兰政府实体。该钓鱼邮件中没有恶意附件，没有可疑链接，也没有宏代码。整个攻击链完全寄生在单封邮件的HTML正文中。攻击者利用一封经过社会工程学设计的“实习咨询”邮件，将混淆后的JavaScript载荷直接嵌入邮件正文。当受害者在存在漏洞的Zimbra Webmail会话中打开该邮件时，便会触发CVE-2025-66376漏洞。恶意脚本会在浏览器中静默执行，随后开始收集用户凭据与会话令牌、备份的双因素认证代码、浏览器保存的密码、受害者过去90天内的邮箱内容。所有窃取的数据均通过DNS和HTTPS协议进行外泄。

2、研究人员发现新型恶意安卓软件Perseus

https://www.threatfabric.com/blogs/perseus-dto-malware-that-takes-notes

研究人员识别出一种正在活跃传播的新型恶意安卓软件，该恶意软件家族被命名为Perseus，是在Cerberus和Phoenix等早期恶意代码家族的代码基础上进行构建及更改的。该恶意软件通过基于无障碍服务的远程会话，能够对受感染设备进行实时监控和精确交互，实现完全的设备接管。其目标覆盖多个地区，重点针对土耳其和意大利。除了传统的凭据窃取外，Perseus还会监控用户笔记，表明其重点在于提取高价值的个人或财务信息。

3、Payload勒索组织声称入侵巴林皇家医院

https://securityaffairs.com/189467/cyber-crime/payload-ransomware-claims-the-hack-of-royal-bahrain-hospital.html

Payload勒索组织声称已入侵巴林皇家医院，并窃取了110GB的数据。该勒索组织已将该医疗机构列入其Tor数据泄露网站，并发布了据称被入侵系统的截图作为攻击证明。该组织威胁称，如果到3月23日仍未支付赎金，将公开所有被盗数据。

4、研究人员发现恶意Python包pyronut

https://www.endorlabs.com/learn/malicious-pyronut-package-backdoors-telegram-bots-with-remote-code-execution

研究人员发现恶意Python软件包pyronut冒充热门的Telegram API框架pyrogram，针对Telegram bot开发者进行攻击。这是一种“恶意分支”行为，即对合法项目进行木马化复制，并极有可能通过社会工程学或社区推广进行传播。pyronut仅发布过三个版本且全部携带恶意代码。这些版本于2026年3月18日当天发布、被识别并被隔离。考虑到攻击窗口仅持续了几个小时，且攻击者必须主动触发载荷，其实际造成危害的可能性相对较低。

5、Ubiquiti修复UniFi网络应用中的高危漏洞

https://www.bleepingcomputer.com/news/security/ubiquiti-warns-of-unifi-flaw-that-may-enable-account-takeover/

Ubiquiti已修复其UniFi Network Application中的两个安全漏洞，其中包括一个可能允许攻击者接管用户账户的高危漏洞。CVE-2026-22557允许未经授权的攻击者利用路径遍历漏洞访问目标设备上的文件。这种攻击复杂度低，且无需用户交互，最终可能导致用户账户被劫持。第二个漏洞是一个经过身份验证的NoSQL注入漏洞，拥有网络访问权限的恶意行为者在通过身份验证后，可以利用此漏洞提升其权限等级。

6、Oracle发布安全更新修复CVE-2026-21992

https://www.bleepingcomputer.com/news/security/oracle-pushes-emergency-fix-for-critical-identity-manager-rce-flaw/

Oracle发布了一项带外安全更新，以修复CVE-2026-21992（CVSS v3.1评分9.8）安全漏洞。该漏洞存在于Identity Manager和Web Services Manager中，可导致未经身份验证的远程代码执行。Oracle表示该漏洞的利用复杂度低，可通过HTTP进行远程利用，且无需身份验证或用户交互，这增加了暴露在公网上的服务器被攻击的风险。目前，Oracle尚未披露该漏洞是否已被利用。Oracle强烈建议客户尽快应用更新或缓解措施。

7、漏洞扫描工具Trivy遭受供应链攻击

https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/

漏洞扫描工具Trivy遭到TeamPCP攻击组织的供应链攻击。攻击者通过官方发布版本和GitHub Actions分发了用于窃取凭据的恶意软件。安全研究员首先警告称Trivy 0.69.4版本被植入了后门，恶意的容器镜像和GitHub发行版已被推送给用户。后续分析确定，攻击影响了多个GitHub Actions，几乎trivy-action仓库的所有版本标签均被篡改。攻击载荷末尾注有“TeamPCP Cloud stealer”字样。该攻击组织（亦被称为DeadCatx3、PCPcat或ShellForce）是一个典型的云原生威胁组织。

8、加密货币礼品卡平台Bitrefill遭受攻击

https://www.bleepingcomputer.com/news/security/bitrefill-blames-north-korean-lazarus-group-for-cyberattack/

加密货币礼品卡平台Bitrefill表示，本月初其遭受的网络攻击极有可能是由来自朝鲜的BlueNoroff组织发起的。在调查过程中，该平台观察到了与此前归因于该组织攻击高度相似的指标，包括攻击战术、恶意软件、IP地址和电子邮件地址。约有18500条包含客户电子邮件地址、IP地址和加密货币支付地址的购买记录遭到泄露，其中有1000笔交易还涉及客户姓名。虽然这些信息是以加密形式存储的，但Bitrefill指出攻击者可能已经获取了脱密密钥。

9、超过7500个Magento网站遭大规模攻击

https://www.securityweek.com/thousands-of-magento-sites-hit-in-ongoing-defacement-campaign/

研究人员表示，在过去三周内超过7500个Magento网站遭受大规模的黑页攻击。在这场攻击中，攻击者直接在受影响的基础设施上部署了纯文本形式的黑页文件，涉及超过15000个主机名。与此同时，安全公司报告了Magento和Adobe Commerce的REST API中存在一个安全漏洞（被命名为PolyShell），攻击者可利用该漏洞在无需身份验证的情况下向任何商店上传可执行文件。尽管该漏洞目前尚未发现被大规模地恶意利用，但研究人员警告称利用方法已经在私下流传，预计自动化的攻击很快就会出现。

10、加拿大电信巨头Telus遭 ShinyHunters 入侵，1PB 数据恐泄露

https://hackread.com/shinyhunters-1-petabyte-data-breach-telus-digital/

加拿大电信巨头Telus遭勒索团伙ShinyHunters入侵，700TB至1PB敏感数据泄露，含客户录音、员工档案等。该团伙多次攻击国际企业，威胁公开数据。Telus业务未中断，正通知受影响客户。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。