1、CloudZ借助微软PhoneLink窃取短信验证码

https://blog.talosintelligence.com/cloudz-pheno-infostealer/

研究人员发现CloudZ远控木马新增此前未见的恶意插件“Pheno”，可滥用微软Windows 10/11预装的Phone Link功能，从受害主机本地访问相关SQLite数据库，进而窃取手机短信、一次性密码及部分认证应用通知内容。研究人员认为，该入侵活动至少自今年1月起活跃，目的可能是窃取凭证和临时验证码。攻击链从受害者执行伪装成ScreenConnect更新程序的样本开始，随后投放Rust加载器和.NET加载器，安装CloudZ并通过计划任务实现持久化。.NET加载器还包含多种反分析与反沙箱检测。思科暂未确认初始入侵途径，并已公布相关IOC，建议用户减少依赖短信OTP，优先采用更抗钓鱼的硬件密钥等方案。

2、AmazonSES遭滥用绕过检测发起钓鱼攻击

https://securelist.com/amazon-ses-phishing-and-bec-attacks/119623/

研究人员发现攻击者正越来越多地滥用亚马逊简单邮件服务Amazon SES发送高仿真钓鱼邮件。由于SES属于可信合法邮件基础设施，相关邮件更容易通过SPF、DKIM和DMARC等认证检查，传统基于信誉和IP封禁的防护效果也会减弱。研究人员认为，此轮滥用增长与大量AWS访问密钥在GitHub仓库、.env文件、Docker镜像、备份和公开S3桶中泄露有关，攻击者可借助TruffleHog等工具自动扫描密钥、验证权限并批量发信。已观察到的活动包括伪装DocuSign的签署通知、AWS托管钓鱼页面，以及伪造邮件线程和发票的BEC攻击。

3、ScarCruft借游戏平台传播BirdCall恶意软件

https://www.welivesecurity.com/en/eset-research/rigged-game-scarcruft-compromises-gaming-platform-supply-chain-attack/

网络攻击组织ScarCruft自2024年末以来通过游戏平台相关域名sqgame.net传播BirdCall恶意软件，主要针对Android用户实施攻击。报道指出，该恶意软件具备监控与窃取数据能力，可能被用于收集受害者设备中的敏感信息。标题同时提到该活动波及Windows平台，但现有内容重点披露的是其借助游戏平台渠道投放恶意程序，以及对Android用户的持续定向攻击。整体来看，这是一场利用看似正常平台分发恶意载荷、以监视和信息窃取为目的的网络攻击活动。

4、人工智能辅助攻击在2026年加速升级

https://www.sonatype.com/state-of-the-software-supply-chain/2026/open-source-malware

人工智能正持续降低网络攻击门槛，并在2025年显著放大攻击活动的速度、规模与影响。文中提到，攻击者借助AI能力，能够更快发现并利用漏洞、优化攻击流程，从而提升威胁行动的效率。相关趋势已体现在实际事件中，例如涉及700万用户的数据泄露案例，反映出AI辅助攻击对大规模受害面的推动作用。整体来看，该报道强调，随着AI被越来越多地用于攻击链条中的各个环节，网络威胁正朝着更自动化、更高频和更具破坏性的方向发展，给组织防御带来更大压力。

5、黑客滥用Google服务发起大规模脸书钓鱼攻击

https://guard.io/labs/accountdumpling---hunting-down-the-google-sent-phishing-wave-compromising-30-000-facebook-accounts

研究人员发现攻击者正滥用Google AppSheet与Google Drive发起大规模钓鱼活动，以绕过安全过滤机制并窃取Facebook商业账户。相关行动据称已影响约3万名用户，目标遍及全球。攻击者利用看似可信的Google基础设施托管内容或跳转页面，使钓鱼链接更容易通过邮件和平台的安全审查，并提升受害者信任度。此次事件主要针对Facebook Business账户，可能给企业主页运营、广告投放和商业资产管理带来风险。现有信息显示，攻击核心在于借助合法云服务掩护恶意流程，提醒企业用户加强账户保护、警惕伪装成官方通知的链接与页面。

6、两名网安从业者因协助BlackCat勒索攻击获刑四年

https://www.justice.gov/opa/pr/two-americans-who-attacked-multiple-us-victims-using-alphv-blackcat-ransomware-sentenced

两名网络安全从业人员因在2023年协助实施BlackCat（又称ALPHV）勒索软件攻击，被分别判处4年监禁。案件显示，具备专业安全能力的内部或关联人员若被滥用，可能显著放大网络攻击风险。报道指出，这些行为帮助攻击者实施入侵与勒索，造成约120万美元赎金影响，也再次凸显勒索软件团伙与技术人员勾连带来的现实威胁。该案反映出司法部门正持续加强对勒索软件活动及其支持者的打击，同时提醒企业重视内部权限管理、第三方安全审查与异常行为监测，防范“内鬼式”协助对防线造成破坏。

7、ConsentFixv3自动化滥用AzureOAuth流程

https://www.bleepingcomputer.com/news/security/consentfix-v3-attacks-target-azure-with-automated-oauth-abuse/

一种名为ConsentFix v3的新型攻击技术正在黑客论坛传播，被描述为针对Microsoft Azure的自动化OAuth滥用手法。该方法延续此前ConsentFix系列思路，核心是诱导受害者在真实微软登录流程中获取并回传OAuth授权码，从而在无需密码、即使启用多因素认证的情况下换取令牌并接管账户。v3版本的改进在于引入自动化与规模化能力：攻击者会先验证目标是否使用Azure并收集员工信息，再借助Outlook、Tutanota、Cloudflare、DocSend、Hunter.io和Pipedream等服务搭建钓鱼、托管、数据收集和外传链路。研究人员指出，Pipedream在该攻击中承担自动交换授权码为令牌等关键功能。当前尚不清楚v3是否已被广泛用于实际攻击活动。

8、QuasarLinux恶意程序瞄准开发者系统

https://www.trendmicro.com/en_us/research/26/e/quasar-linux-qlnx-a-silent-foothold-in-the-software-supply-chain.html

研究人员披露一种此前未公开记录的Linux恶意植入体Quasar Linux（QLNX），其主要针对开发者与DevOps环境，涉及npm、PyPI、GitHub、AWS、Docker和Kubernetes等平台。该恶意程序集成rootkit、后门和凭证窃取能力，可在受害主机上动态编译rootkit共享对象与PAM后门模块，并通过内存驻留、删除落地二进制、清理日志、伪装进程名等方式实现隐蔽运行。研究人员称其具备7种持久化机制，包括LD_PRELOAD、systemd、crontab、init.d、XDG自启动和.bashrc注入，可在进程被终止后重新拉起。攻击者可能借此窃取开发者及云凭证，进一步实施软件供应链攻击。当前尚无明确归因和攻击规模信息，Trend Micro已发布IoC供防御方检测。

9、微软披露跨26国大规模网络钓鱼活动

https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/

微软披露一起大规模凭证窃取型网络钓鱼活动。根据通报，攻击者面向26个国家的用户发起攻击，波及超过3.5万名用户，并影响1.3万多家组织。此次事件表明，网络钓鱼仍是威胁企业与个人账户安全的常见手段，攻击规模跨越多个国家和大量机构，影响范围较广。已披露信息重点指出，这是一次以窃取登录凭证为目的的攻击行动，受害对象涵盖众多组织中的终端用户。报道未进一步说明具体攻击链、涉事攻击组织身份或微软采取的详细处置措施。

10、Wiz活动披露PostgreSQL二十年旧漏洞

https://www.zeroday.cloud/blog/postgres-xint

在Wiz举办的ZeroDay.Cloud活动上，研究人员披露了存在于PostgreSQL中的一组约20年历史的安全问题，引发业界对数据库安全风险的关注。报道指出，相关漏洞涉及PostgreSQL扩展组件pgcrypto，说明部分长期存在的代码缺陷可能影响数据库的加密相关功能与整体安全性。事件公开后，安全社区和用户被提醒尽快关注官方修复进展并部署补丁，以降低潜在攻击面。该消息也再次表明，广泛使用的开源基础软件即使经过长期发展，仍可能隐藏多年未被发现的漏洞，数据库运维与安全团队需要持续开展版本更新、漏洞评估和配置加固工作。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。