1、UNC6692借助Teams投递Snow恶意工具集

https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware

威胁组织UNC6692通过“邮件轰炸”制造紧迫感，随后冒充IT服务台人员在Microsoft Teams联系受害者，诱导其点击所谓可阻止垃圾邮件的补丁链接。实际投递的是一套名为“Snow”的定制恶意软件，包括Chrome恶意扩展SnowBelt、隧道工具SnowGlaze和基于Python的后门SnowBasin。该工具集可建立持久化、隐藏与C2的通信，并支持远程执行命令、文件下载、截图、数据窃取和基本文件管理。攻击者入侵后会进行内网侦察，扫描SMB和RDP等服务，转储LSASS内存窃取凭证，利用哈希传递横向移动，报告同时提供了IoC和YARA规则用于检测。

2、GlassWorm在Open VSX投放73个克隆扩展程序

https://socket.dev/blog/73-open-vsx-sleeper-extensions-glassworm

研究团队披露了一起针对Open VSX扩展市场的供应链攻击事件。威胁行为体GlassWorm通过新注册的GitHub账户发布了73个克隆扩展程序，这些程序初期伪装成合法工具（如土耳其语语言包），以建立用户信任并积累下载量。截至报告发布时，已有至少6个休眠扩展被激活，通过正常更新渠道传播恶意软件。攻击者采用多种技术逃避检测，此前该组织还曾利用Solana区块链交易备忘录作为"死信箱"传输第二阶段载荷。专家已将相关扩展标记并建立专门追踪页面，提醒开发者警惕名称、图标高度仿冒的克隆扩展。

3、PackageKit提权漏洞可致Linux获取root权限

https://www.bleepingcomputer.com/news/security/new-pack2theroot-flaw-gives-hackers-root-linux-access/

Linux软件包管理后台服务PackageKit被披露存在高危本地提权漏洞“Pack2TheRoot”，编号为CVE-2026-41651，CVSS评分8.8。该漏洞存在于PackageKit 1.0.2至1.3.4版本，持续近12年，可能使本地用户在特定条件下无需认证执行安装或删除系统软件包等操作，进而获得root权限。德国电信红队表示，默认预装并启用PackageKit的发行版都应视为可能受影响。官方已发布PackageKit 1.3.5修复该问题，但出于补丁传播考虑，技术细节和演示利用代码尚未公开。

4、BlackFile团伙被指发起电诈式勒索攻击

https://rhisac.org/threat-intelligence/extortion-in-the-enterprise-defending-against-blackfile-attacks/

一个名为BlackFile的新型逐利黑客团伙被关联到，针对零售和酒店行业的一波数据窃取与勒索活动。该组织又被跟踪为CL-CRI-1116、UNC6671和Cordial Spider，常冒充企业IT服务台，通过伪造来电号码实施语音钓鱼，诱导员工访问假冒登录页面并输入凭证及一次性验证码。攻击者随后利用窃取的账号注册自有设备以绕过多因素认证，并借助内部员工目录提升到高管账户权限，批量导出含“confidential”“SSN”等关键词的数据。失窃文件会被传至其控制的服务器，并在暗网泄露站点发布，再通过被入侵邮箱或Gmail地址索要高额赎金。研究人员还提到，部分受害企业员工甚至遭遇“假警情出警”骚扰施压。

5、ADT确认遭入侵并有客户信息被窃取

https://www.bleepingcomputer.com/news/security/adt-confirms-data-breach-after-shinyhunters-leak-threat/

家居安防企业ADT证实发生数据泄露事件。公司表示于4月20日发现有未授权访问涉及客户及潜在客户数据，随后已终止入侵并展开调查。调查确认，泄露信息主要包括姓名、电话号码和地址；少量情况下还涉及出生日期以及社会安全号码或税号后四位。ADT强调，银行账户、信用卡等支付信息未被访问，客户安防系统也未受到影响。公司称此次事件影响范围有限，并已通知所有受影响个人。

6、美国Itron公司内部IT网络遭未授权入侵

https://www.bleepingcomputer.com/news/security/american-utility-firm-itron-discloses-breach-of-internal-it-network/

美国公用事业技术公司Itron披露，其部分内部系统近日前后遭未授权第三方访问。公司称在发现异常后已启动网络安全响应计划，向执法部门报案，并引入外部顾问开展调查、缓解、修复与遏制工作。目前相关未授权活动已被阻断，且尚未发现后续活动。Itron表示，此次事件未波及客户环境，业务运营也未出现重大中断，现阶段预计不会产生进一步实质性影响，且相当一部分事件处置成本预计可由保险覆盖。Itron总部位于美国华盛顿州，业务涉及电网、供水和燃气网络等关键基础设施。

7、Gemini CLI 高危漏洞可导致远程代码执行攻击

https://www.freebuf.com/articles/ai-security/478925.html

谷歌已修复 Gemini CLI 中的一个高危安全漏洞，该漏洞可能允许攻击者在某些自动化工作流中执行远程代码。该问题影响 npm 软件包 @google/gemini-cli 和 google-github-actions/run-gemini-cli GitHub Action，尤其当它们用于 CI/CD 流水线等无头环境时。

8、Windows版Nessus Agent漏洞可导致SYSTEM权限任意代码执行

https://www.freebuf.com/articles/system/478806.html

Tenable公司Windows版Nessus Agent中新披露的安全漏洞可能允许攻击者以最高系统权限执行恶意代码，这令依赖该广泛部署的漏洞评估平台的企业安全团队高度警惕。该漏洞使威胁攻击者能够创建Windows连接点（一种文件系统符号链接），利用该链接可删除具有SYSTEM权限的任意文件。一旦实现该特权级别的文件删除操作，攻击者就能逐步实现完整的任意代码执行场景，最终完全控制受感染主机。

9、微软引入Anthropic的Mythos模型强化安全软件开发

https://www.csoonline.com/article/4162446/microsoft-taps-anthropics-mythos-to-strengthen-secure-software-development.html

微软整合Anthropic的Mythos AI模型强化SDL，标志生成式AI正式介入漏洞检测与防御流程，将改变软件安全开发模式。此举影响远超微软，推动AI从实验转向核心安全应用，但新型漏洞仍需人工介入。【

10、苹果修复iOS漏洞：FBI取证案件中Signal已删除通知仍被留存

https://thehackernews.com/2026/04/apple-patches-ios-flaw-that-stored.html

苹果发布iOS/iPadOS更新修复通知漏洞（CVE-2026-28950），解决标记删除通知仍保留设备的问题，影响多款iPhone/iPad机型。FBI曾利用该漏洞取证Signal消息。建议用户更新系统并调整通知设置以保护隐私。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。