点击此处 加入tg群

 找回密码
 立即注册
搜索
热搜: 活动 交友
查看: 1|回复: 0

本周回顾:Outlook插件劫持、零日补丁、蠕虫式僵尸网络与AI恶意软件

[复制链接]

36

主题

0

回帖

1108

积分

管理员

积分
1108
发表于 2026-2-17 21:01:27 | 显示全部楼层 |阅读模式
本周回顾:Outlook插件劫持、零日补丁、蠕虫式僵尸网络与AI恶意软件

作者:James Bentley
来源:Internet
引用https://thehackernews.com/2026/02/weekly-recap-outlook-add-ins-hijack-0.html

本周的回顾显示,微小的漏洞正在变成巨大的入口点。这并非总是通过新的漏洞,而往往是通过人们已经信任且很少质疑的工具、插件、云设置或工作流程。

另一个信号是,攻击者正在混合使用新旧方法。传统僵尸网络策略、现代云滥用、AI辅助和供应链暴露被同时使用,无论哪种路径都能提供最轻松的立足点。

以下是完整的每周回顾——对当前威胁态势中事件、漏洞和活动进行的浓缩扫描。

🚨 本周威胁

恶意Outlook插件变成钓鱼工具包——在一个不寻常的供应链攻击案例中,Outlook的合法AgreeTo插件被劫持,变成了一个钓鱼工具包,窃取了超过4000个Microsoft账户凭证。这是通过控制与已废弃项目相关的域名来服务伪造的Microsoft登录页面实现的。这一事件展示了被忽视和废弃的资产如何变成攻击向量。"Office插件尤其令人担忧的是,它们在Outlook内部运行,用户在这里处理最敏感的通信,它们可以请求读取和修改电子邮件的权限,并且通过微软自己的商店分发,这本身就带有隐含的信任",Koi Security的Idan Dardikman表示。微软随后已将该插件从其商店中删除。

📢 主要新闻

谷歌发布针对积极利用的Chrome 0日漏洞的修复——谷歌为其Chrome浏览器发布了安全更新,以解决其表示已在野外被利用的漏洞。这个严重级别的漏洞,跟踪为CVE-2026-2441(CVSS评分:8.8),被描述为CSS中的use-after-free错误,可能导致任意代码执行。谷歌没有披露任何有关漏洞在野外被利用的细节,包括谁在利用它,或谁可能是目标,但它承认“CVE-2026-2441的漏洞在野外存在”。CVE-2026-2441是谷歌今年修补的第一个积极利用的Chrome漏洞。

——谷歌为其Chrome浏览器发布了安全更新,以解决其表示已在野外被利用的漏洞。这个严重级别的漏洞,跟踪为CVE-2026-2441(CVSS评分:8.8),被描述为CSS中的use-after-free错误,可能导致任意代码执行。谷歌没有披露任何有关漏洞在野外被利用的细节,包括谁在利用它,或谁可能是目标,但它承认“CVE-2026-2441的漏洞在野外存在”。CVE-2026-2441是谷歌今年修补的第一个积极利用的Chrome漏洞。

——BeyondTrust漏洞受到积极利用——BeyondTrust远程支持和特权远程访问产品中的一个新披露的严重漏洞在发布概念验证(PoC)利用后的不到24小时内就受到了野外积极利用。所讨论的漏洞是CVE-2026-1731(CVS评分:9.9),它允许未经身份验证的攻击者通过发送精心制作的请求来实现远程代码执行。根据BeyondTrust的说法,成功利用这一不足可能会允许未经身份验证的远程攻击者在站点用户的上下文中执行操作系统命令,从而导致未经授权的访问、数据泄露和服务中断。GreyNoise的数据显示,到目前为止观察到的所有侦察会话中有86%来自单个IP。

——苹果发布针对积极利用的0日漏洞的补丁——苹果发布了iOS、iPadOS、macOS Tahoe、tvOS、watchOS、visionOS更新,以解决其表示已在针对iOS 26之前版本的iOS的复杂网络攻击中利用的零日漏洞。该漏洞跟踪为CVE-2026-20700(CVSS评分:7.8),被描述为Apple的动态链接编辑器dyld中的内存损坏问题。成功利用该漏洞可能会允许具有内存写入能力的攻击者在易受攻击的设备上执行任意代码。谷歌威胁分析小组(TAG)因发现和报告该漏洞而受到赞誉。该问题已在iOS 26.3、iPadOS 26.3、macOS Tahoe 26.3、tvOS 26.3、watchOS 26.3和visionOS 26.3中得到解决。

——名为SSHStalker的新文档化的Linux僵尸网络正在使用互联网中继聊天(IRC)通信协议进行命令和控制(C2)操作。SSHStalker僵尸网络依赖于经典的IRC机制,优先考虑弹性、规模和低成本的C2,而不是隐秘性和技术新颖性。该工具包通过自动SSH扫描和暴力破解来获得初始访问权限,使用伪装成流行的开源网络发现实用程序nmap的Go二进制文件。然后,被入侵的主机被用来扫描更多的SSH目标,使其以蠕虫般的方式传播。还向受感染的主机投放了用于利用15年前的CVEs提升权限、执行AWS密钥收集和加密货币挖矿的有效负载。"我们实际上发现的是一个嘈杂的、拼凑在一起的僵尸网络工具包,它混合了老式的IRC控制、在主机上编译二进制文件、大量SSH入侵和基于cron的持久性",Flare表示,将其描述为“优先考虑规模而非隐秘性的操作”。

——一个被称为TeamPCP的威胁集群正在系统地针对配置不当和暴露的云原生环境,以劫持基础设施、扩大其规模并通过加密货币挖矿、代理软件、数据盗窃和勒索来货币化其操作。TeamPCP的行为模式涉及扫描广泛的IP范围以寻找暴露的Docker API、Kubernetes集群、Redis服务器、Ray仪表板以及易受React Server Components中的React2Shell漏洞的系统。一旦获得对系统的访问权限,威胁行为者就会部署恶意的Python和Shell脚本,以拉取额外的有效负载来安装代理、隧道软件和其他组件,即使在服务器重启后也能实现持久性。该操作的各种最终目标确保TeamPCP有多个收入来源,因为“每个被入侵的系统都成为了一个扫描器、一个代理、一个矿工、一个数据泄露节点和进一步攻击的发射台”,“Flare表示。“Kubernetes集群不仅仅是被入侵,它们被转换成了分布式僵尸网络。”
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|全球区块链交流论坛 - 币圈论坛 | 比特币交流 | 加密货币挖矿 |网站地图

GMT+8, 2026-7-18 06:21 , Processed in 0.106536 second(s), 29 queries .

Powered by Discuz! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表