1、伊朗黑客大规模攻击美国关键基础设施，涉及电网水厂等

https://www.cisa.gov/news-events/irans-cyber-activity-against-us-critical-infrastructure

美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）、能源部以及美国网络司令部（U.S. Cyber Command）于 4 月 8 日联合发布警告，伊朗关联威胁行为者正在针对美国关键基础设施（能源、水处理、制造）中暴露于互联网的操作技术（OT）设备发起持续攻击，包括可编程逻辑控制器（PLC）和人机界面（HMI）。

2、木马 NoVoice 感染全球 230 万台安卓设备

https://www.mcafee.com/blogs/internet-security/operation-novoice-android-malware-mcafee-research/

卡巴斯基、McAfee 发布最高级别安全预警：代号 NoVoice 的新型系统级木马，已深度感染全球超 230 万台安卓手机，国内感染量突破 90 万台，且每天仍以约 5 万台的速度新增，覆盖华为、小米、OPPO、vivo 等所有主流品牌，安卓 10 到安卓 14 全版本都有风险。

3、中央网信办、工信部、公安部启动 2026 年个人信息保护系列专项行动

https://www.cac.gov.cn/2026-04/02/c_1776867645836849.htm

中央网信办、工业和信息化部、公安部于 4 月 2 日联合发布公告，正式启动 2026 年个人信息保护系列专项行动，精准打击违法违规收集、滥用个人信息行为，全方位守护隐私安全。此次专项行动覆盖七大重点领域：1.App、SDK 违法违规收集使用个人信息专项治理；2. 互联网广告领域违法违规收集使用个人信息专项治理；3. 教育领域违法违规收集使用个人信息专项治理；4. 交通领域违法违规收集使用个人信息专项治理；5. 卫生健康领域违法违规收集使用个人信息专项治理；6. 金融领域违法违规收集使用个人信息专项治理；7. 个人信息相关违法犯罪案件专项打击治理。

4、Fortinet FortiClient EMS 发现双重高危 RCE 漏洞

https://securityarsenal.com/blog/cve-2026-35616-forticlient-ems-actively-exploited-ir-guide-and-defensive-hardening

Fortinet FortiClient Enterprise Management Server（EMS）中发现两个严重的未认证远程代码执行漏洞（CVE-2026-21643、CVE-2026-35616），CVSS 评分均为 9.8，已在野外被活跃利用。CISA 已将这两个漏洞添加到已知被利用漏洞（KEV）目录，并要求联邦机构在 2026 年 4 月 11 日前完成修复。攻击者无需任何身份验证，可通过特制 API 请求绕过 FortiClient EMS 的访问控制机制，直接在服务端执行任意命令或代码。当前全网暴露实例超过 2,000 台，正遭受持续批量扫描与利用。

5、荷兰医疗软件供应商 Chipsoft 遭勒索软件攻击

https://www.theregister.com/2026/04/08/chipsoft_ransomware/

2026 年 4 月 7 日，荷兰网络安全中心 Z-CERT 收到通知，医疗软件供应商 Chipsoft 遭受勒索软件攻击。Z-CERT 正在与 Chipsoft、医疗机构及其合作伙伴保持联系，评估攻击对医疗系统的影响。这一事件表明医疗行业仍面临严重的网络安全威胁，勒索软件攻击可能导致医疗服务中断，影响患者安全。

6、俄罗斯APT组织劫持路由器实施DNS攻击

https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/

研究人员发现俄罗斯军事情报组织"森林暴雪"（Forest Blizzard）自2025年8月起大规模入侵家庭及小型办公室路由器，通过篡改DNS设置实施域名劫持与中间人攻击。该组织利用dnsmasq工具控制DNS解析，将受害者流量导向恶意服务器，进而对Microsoft Outlook等TLS加密连接发起攻击，窃取敏感数据。目前已识别超过200家组织及5000台消费级设备受影响，目标涵盖政府、IT、电信及能源等关键行业。这是首次观测到该组织将DNS劫持与AiTM攻击相结合的大规模应用。

7、黑客利用ComfyUI漏洞组建挖矿僵尸网络

https://censys.com/blog/comfyui-servers-cryptomining-proxy-botnet/

研究人员发现针对互联网暴露的ComfyUI实例的活跃攻击活动，ComfyUI是一个流行的稳定扩散平台。攻击者使用专门构建的Python扫描器持续扫描主要云IP范围寻找易受攻击的目标，自动安装恶意节点。成功入侵后，受感染主机被添加到加密货币挖矿作业中，使用XMRig挖掘门罗币并使用lolMiner挖掘Conflux，同时还被添加到Hysteria V2僵尸网络中。两者都通过基于Flask的命令控制C2仪表板集中管理。

8、Docker Engine发现高危授权绕过漏洞

https://www.cyera.com/research/one-megabyte-to-root-how-a-size-check-broke-dockers-last-line-of-defense

研究人员披露Docker Engine高危漏洞（CVE-2026-34040，CVSS 8.8）。该漏洞存在于授权中间件，当API请求体超过1MB时，系统会在安全插件检查前静默丢弃请求体，导致攻击者可通过填充JSON数据绕过权限控制，创建特权容器并获取宿主机root权限。当前官方已发布补丁。建议立即升级，并在授权插件中配置空请求体默认拒绝策略，部署多层监控机制检测异常容器创建行为。

9、Ninja Forms插件关键漏洞遭在野利用

https://www.wordfence.com/blog/2026/04/50000-wordpress-sites-affected-by-arbitrary-file-upload-vulnerability-in-ninja-forms-file-upload-wordpress-plugin/

WordPress Ninja Forms文件上传高级插件中发现关键漏洞CVE-2026-0740，CVSS评分高达9.8分，目前已在攻击中被积极利用。该漏洞允许未经身份验证的攻击者上传任意文件，可能导致远程代码执行。Ninja Forms是一个流行的WordPress表单构建器，下载量超过60万次，其文件上传扩展服务9万客户。漏洞源于目标文件名上文件类型扩展名验证的缺失，允许未经身份验证的攻击者上传任意文件，包括PHP脚本，还可利用路径遍历操纵文件名。研究人员建议用户立即将Ninja Forms文件上传升级到最新版本并限制文件上传功能。

10、Snowflake遭数据窃取第三方集成商成攻击入口

https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/

云数据平台Snowflake披露其少数客户账户出现异常活动，攻击者通过入侵SaaS集成提供商窃取身份验证令牌实施数据盗窃。Snowflake已冻结可能受影响的账户并通知客户，强调自身系统未遭入侵。攻击者利用窃取的令牌试图访问包括Salesforce在内的多个数据源，虽被AI检测系统拦截部分攻击，但仍成功从十余家企业窃取数据。臭名昭著的ShinyHunters勒索团伙已承认实施此次攻击，声称上周五从数十家公司窃取数据，并正以泄露数据为要挟进行勒索。该团伙暗示已渗透Anodot较长时间。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。