1、研究人员发现针对以色列水务基础设施恶意软件

https://www.darktrace.com/blog/inside-zionsiphon-darktraces-analysis-of-ot-malware-targeting-israeli-water-systems

一款名为"ZionSiphon"的OT恶意软件，专门针对以色列水处理及海水淡化系统发起攻击。该样本硬编码以色列境内IP地址范围（2.52.0.0/14、79.176.0.0/12等），并嵌入"支持伊朗、巴勒斯坦和也门反对犹太复国主义侵略"及"毒害特拉维夫和海法人口"等政治宣传字符串，明确指向意识形态驱动的网络攻击。该样本存在致命逻辑缺陷：其IP范围验证函数使用错误异或密钥，导致即使目标位于以色列境内也会触发自毁程序。分析表明此版本可能为测试样本或开发中版本。

2、PowMix僵尸网络定向渗透捷克求职市场

https://blog.talosintelligence.com/powmix-botnet-targets-czech-workforce/

新型"PowMix"僵尸网络自2025年12月起持续攻击捷克共和国各层级组织。攻击者冒充德国零售品牌EDEKA及捷克数据保护法监管机构，向人力资源、法律和招聘机构投递以合规为主题的钓鱼邮件，诱饵文件包含薪酬数据及真实法律条文，诱骗IT、金融、物流等行业求职者点击。研究人员观察到该活动与2025年8月ZipLine行动存在战术重叠，包括ZIP载荷隐藏、滥用Heroku平台及基于CRC32的ID生成，但攻击者最终意图尚未明确。

3、新型勒索软件JanaWare定向攻击土耳其

https://www.acronis.com/en/tru/posts/new-janaware-ransomware-targets-turkey-via-adwind-rat/

新型勒索软件"JanaWare"正通过定制版Adwind远程访问木马（RAT）定向攻击土耳其用户。该恶意软件采用多态混淆技术，通过钓鱼邮件传播，利用Google Drive链接诱导受害者下载恶意JAR文件。其显著特征包括强制地理围栏机制——仅当系统区域设置为土耳其语且外部IP位于土耳其境内时才会激活，有效规避安全研究人员的自动化分析。

4、Taboola像素劫持银行会话流向Temu

https://thehackernews.com/2026/04/hidden-passenger-how-taboola-routes.html

安全研究人员发现Taboola广告像素存在严重隐私漏洞。某欧洲金融平台审计显示，该平台批准的Taboola像素在未经用户同意的情况下，将已登录银行会话通过302重定向链秘密路由至Temu追踪端点。攻击链始于sync.taboola.com，经服务器重定向跳转至temu.com，并携带允许跨域传输凭证的响应头，使Temu能够读取银行用户的Cookie并建立追踪档案。

5、Fiverr用户敏感文件遭Google索引泄露

https://hackread.com/fiverr-left-user-files-open-to-google-search/

安全研究员发现自由职业平台Fiverr数千份私人文件被Google索引，可在搜索结果中直接访问。泄露数据包括身份证、驾照、工作合同、密码、API密钥、税务记录和发票等敏感信息。问题源于Fiverr使用Cloudinary存储用户文件时采用公开URL而非签名或过期URL，且部分链接被放置在公开页面上导致搜索引擎爬取。研究员在40天前通知Fiverr安全团队但未获回复。Fiverr否认这是安全事件，声称用户已同意分享文件。

6、断电行动跨国打击7.5万DDoS攻击者

https://www.bleepingcomputer.com/news/security/operation-poweroff-identifies-75k-ddos-users-takes-down-53-domains/

欧洲刑警组织协调21国执法部门开展"断电行动"（Operation PowerOFF）最新阶段，针对分布式拒绝服务（DDoS）攻击平台实施大规模打击。行动中已向超过7.5万名使用DDoS攻击服务的个人发出警告，逮捕4名嫌疑人，查封53个域名，并签发25份搜查令。此次行动重点打击"Booter服务"——即允许用户付费租用僵尸网络发起DDoS攻击的租赁平台。这些服务常被运营者伪装成合法压力测试工具，但因缺乏目标所有权验证机制，实质用于非法攻击。

7、Mirai新变种劫持TBK DVR设备发动DDoS攻击

https://www.fortinet.com/blog/threat-research/tracking-mirai-variant-nexcorium-a-vulnerability-driven-iot-botnet-campaign

研究人员发现新型Mirai变种恶意软件Nexcorium，专门针对TBK品牌数字录像机系统，将其转化为DDoS攻击僵尸。Mirai系列恶意软件通过利用物联网设备默认弱口令传播，曾发动过历史上最大规模的DDoS攻击。Nexcorium在传统Mirai功能基础上增加了对特定DVR硬件的针对性利用代码。安全研究人员建议用户修改设备默认密码，及时更新固件，并避免将物联网设备直接暴露在互联网中。

8、攻击者滥用QEMU虚拟机隐蔽部署勒索软件

https://www.sophos.com/en-us/blog/qemu-abused-to-evade-detection-and-enable-ransomware-delivery

安全研究人员近日披露，威胁组织正大规模滥用开源虚拟化工具QEMU构建隐蔽攻击环境，以规避终端安全检测并实现长期驻留。该手法已被GOLD ENCOUNTER等组织用于部署PayoutsKing勒索软件及凭证窃取活动。攻击者通过创建名为"TPMProfiler"的计划任务，以SYSTEM权限启动伪装成DLL文件的QEMU虚拟机镜像。由于恶意活动完全在虚拟层执行，主机端安全软件及审计日志均无法捕获取证证据。此类"虚拟化层攻击"呈明显上升趋势，建议企业审计环境中非授权QEMU进程、监控非标准端口SSH隧道，并限制虚拟化软件的异常执行权限。

9、新型恶意软件CGrabber和Direct-Sys通过GitHub传播

https://hackread.com/cgrabber-direct-sys-malware-github-zip-files/

研究团队发现一起复杂的多阶段恶意软件传播活动，成功绕过杀毒软件窃取用户数据。攻击者通过GitHub用户附件链接分发ZIP压缩包，其中包含合法微软签名程序Launcher_x64.exe。Direct-Sys Loader运行前会检测67种安全工具和虚拟机环境，确认处于研究人员沙箱时自动退出。CGrabber Stealer负责最终数据窃取，目标是Chrome等浏览器的密码、信用卡和Cookie，以及150多个加密钱包的私钥，甚至包括Telegram、ProtonVPN等通信和VPN应用的所有数据。被窃数据使用ChaCha20算法加密后外传。

10、攻击者伪造快递邮件投递SimpleHelp远控木马

https://www.malwarebytes.com/blog/news/2026/04/your-shipment-has-arrived-email-hides-remote-access-software

研究人员披露一起针对德国工业企业的精准钓鱼攻击。攻击者冒充DHL发送"货物到达"通知邮件，附件携带预配置的SimpleHelp远程访问工具，构建隐蔽持久化后门。该钓鱼邮件使用通用info@邮箱作为目标，发件人地址非DHL官方域名，邮件图片托管于雅虎云服务而非DHL自有基础设施。附件"AWB-Doc0921.pdf"实为伪装成PDF的模糊图片，诱导用户点击"继续"按钮后，从被入侵的越南物流公司域名下载.scr屏幕保护程序文件。攻击者可借此实现远程桌面控制、文件传输、凭证窃取及横向移动，为后续勒索软件投放创造条件。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。