2026-01-28 17:37:42 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文汇总了近期网络安全要闻，涵盖黑客利用同形异义字仿冒官网钓鱼、安卓木马利用AI模型欺诈、Appsmith与WordPress插件曝出高危账户接管漏洞、以及VMwarevCenter和GitLab关键RCE与2FA绕过漏洞被积极利用等事件。同时提及CSEA数据泄露、合法工具滥用渗透、爱尔兰拟立法授权警方用间谍软件，及专家对AI时代数据保护的警示，全面反映了当前网络威胁态势与防御挑战。 综合评分： 80 文章分类： 威胁情报,漏洞预警,网络安全,社会工程学,政策法规

cover_image

黑客利用“rn”拼写手法仿冒万豪与微软官网，同形钓鱼攻击严重依赖视觉欺骗

汇能云安全

2026年1月28日 10:11 广东

01月28日，星期三，您好！中科汇能与您分享信息安全快讯：

黑客利用“rn”拼写手法仿冒万豪与微软官网，同形钓鱼攻击严重依赖视觉欺骗

网络安全公司发现，攻击者正在利用一种称为“同形攻击”或“拼写抢注”的视觉欺骗技术，发起针对万豪国际和微软用户的钓鱼活动。攻击者注册了如 rnarriottinternational .com 和 rnicrosoft.com 等域名，其中字母“m”被替换为字形相似的“r”和“n”组合。在许多常见字体中，“rn”并排显示与“m”几乎无法区分，这能有效欺骗用户的快速视觉扫描，使其误以为是访问真正的官网。

这种攻击手法极其狡诈，危害性显著。它绕过了传统基于域名黑名单的部分检测，主要依赖人类视觉的固有弱点。尤其是在移动设备的小屏幕上，识别差异更为困难。攻击者利用这些伪造域名建立高仿真的钓鱼网站，用于窃取用户的酒店忠诚度账户或微软365登录凭证。由于链接看似来自“合法”的域名，用户警惕性会大大降低。防御此类攻击需用户养成仔细检查完整URL的习惯，并优先使用密码管理器（其不会在假域名上自动填充凭证）等工具。

新型安卓点击欺诈木马利用TensorFlow模型识别广告，恶意行为模拟真人绕过脚本检测

Dr.Web安全研究人员发现了一个新的安卓点击欺诈木马家族（Android.Phantom. 2.origin），其采用了前所未有的技术手段。该木马通过小米官方应用商店“GetApps”及多个第三方平台传播，内嵌TensorFlow.js机器学习模型。它能在隐藏的“幻影”WebView浏览器中加载网页、分析屏幕截图，并自动识别和点击页面上的广告元素，模拟真实用户交互，完全避免了依赖固定脚本的传统点击欺诈检测方法。

此木马代表了移动恶意软件的显著进化。利用机器学习进行视觉感知，使其能够适应动态变化的网页布局和广告形式，打击更精准、更隐蔽。除了消耗受害者设备电量与流量、为攻击者骗取广告收益外，部分变种还能将设备变为受远程控制的“肉鸡”（通过视频流直播屏幕）或DDoS攻击节点。大量受感染应用（如《Creation Magic World》、《可爱宠物屋》等）由同一开发商发布，下载量累计巨大，主要影响欧美用户，暴露了应用商店审核与第三方软件分发渠道的重大安全风险。

低代码平台Appsmith曝出关键账户接管漏洞，攻击者可篡改密码重置链接窃取令牌

Appsmith低代码开发平台在1.93之前版本中存在一个严重的身份验证漏洞。该漏洞允许攻击者完全接管任何用户账户。问题出在密码重置功能中：平台在生成重置链接时，直接使用了客户端HTTP请求中的“Origin”头部值来构建URL，而未经验证。攻击者可以篡改此头部，将包含重置令牌的链接指向自己控制的服务器。

当不知情的用户点击收到的“官方”重置邮件中的链接时，令牌便会泄露给攻击者，使其能够轻松重设用户密码并登录。Appsmith广泛用于构建连接内部数据库和API的管理后台，因此该漏洞风险极高。攻击者可借此访问敏感业务数据，甚至获得管理员权限。互联网上存在超过1600个暴露的Appsmith实例，其中许多仍运行受影响版本。该事件警示，即使是开发工具本身，其安全设计缺陷也可能直接危及所有基于它构建的业务应用。

美国纽约州主要工会CSEA遭网络攻击，超4.7万名会员个人信息泄露

美国纽约州公务员雇员协会（CSEA）披露，其在2025年5月发生的一起网络攻击事件导致超过47，000名工会成员的个人信息可能被窃取。CSEA是纽约州和地方政府最大的工会。根据其向监管机构提交的通知，入侵发生在5月3日至31日之间，攻击者可能访问了包含会员姓名、社会安全号码等敏感信息的系统。

尽管CSEA表示目前没有证据表明泄露的数据已被滥用，并已采取重置密码、部署高级安全系统等措施，但事件影响深远。社会安全号码是高度敏感的身份标识，一旦流入黑市，受害者将长期面临身份盗用、金融诈骗等风险。该事件是公共部门和社会组织成为网络犯罪目标的又一例证，凸显了这些可能非以营利为目的、但存储大量成员敏感数据的机构，同样需要强健的网络安全防护体系。

WordPress房地产主题捆绑的CRM插件曝高危漏洞，允许低权限用户上传恶意文件控制网站

安全研究人员在流行的WordPress房地产主题RealHomes所捆绑的CRM插件中，发现一个高危漏洞。该漏洞允许任何拥有“订阅者”级别及以上权限的登录用户，通过插件的CSV导入功能上传任意类型文件，包括PHP等可执行脚本。由于插件未对上传文件进行类型检查或权限验证，攻击者可借此在服务器上植入后门，最终完全控制网站。

此漏洞影响了超过30，000个使用该主题和插件的房地产网站。尽管上传功能受一次性随机数保护，但该随机数对前端用户可见，无法替代真正的权限控制。攻击者通过构造请求，可轻松绕过这一屏障。成功的利用不仅会导致单个网站沦陷，还可能因为房地产网站常处理客户财产信息而引发二次数据泄露。插件开发方已在1.0.1版本中修复了漏洞，增加了权限校验和文件类型检查，所有用户必须立即更新。

攻击者利用被盗凭证与合法远程管理工具渗透企业网络，传统恶意软件检测手段失效

KnowBe4威胁实验室详细分析了一场高度隐蔽的网络攻击活动。攻击者首先通过模仿日常工作邮件（如假借活动邀请服务Greenvelope名义）进行钓鱼，窃取员工真实凭证。随后，他们并不部署传统恶意软件，而是直接使用这些凭证登录企业系统，并安装合法的远程监控与管理工具（如GoTo Resolve、LogMeIn），以此获得持久、隐蔽的远程访问权限。

这种“利用合法工具、规避恶意检测”的策略代表了攻击手法的危险转变。由于使用的是签名的商业软件和官方基础设施，网络流量与正常IT运维活动无异，极大增加了检测难度。攻击者在获得立足点后，会进一步提权、创建隐藏任务，将受控设备深度植入企业网络。防御此类威胁，需要企业安全团队将监控重点从单纯的恶意软件查杀，扩展到对内部异常使用远程管理工具、特权账户异常登录等行为模式的深度分析上。

爱尔兰计划立法授权执法部门使用间谍软件，执法需要与公民隐私权面临新的平衡挑战

爱尔兰内政与移民司法部长吉姆·奥卡拉汉宣布，政府计划起草新立法，为执法部门使用间谍软件（监控软件）和电子扫描设备提供法律依据。根据提案，使用此类技术需经法院授权，并包含保障措施以确保其使用是“必要且相称的”。法案还拟允许使用能追踪特定区域移动设备标识数据的扫描设备。

此举旨在赋予警方和情报部门应对严重犯罪与国家安全威胁的现代化手段。然而，该立法计划也必然引发关于公民隐私权与政府监控权力边界的广泛辩论。批评者担心，强大的监控能力可能被滥用或侵蚀公民自由。爱尔兰的立法动向反映了全球范围内，数字时代下执法手段升级与隐私保护之间持续存在的张力。法案的具体条款、监督机制与透明度安排，将成为平衡两者关系的关键。

美国CISA警告VMware vCenter关键RCE漏洞正被积极利用，虚拟化管理核心面临直接攻击

美国网络安全和基础设施安全局将VMware vCenter Server中的一个高危漏洞列入其“已知被利用漏洞”目录。该漏洞允许未经身份验证的远程攻击者向目标服务器发送特制数据包，从而执行任意代码，完全控制系统。由于vCenter Server是管理和配置整个VMware vSphere虚拟化环境的核心，其失陷意味着攻击者可能控制该平台上的所有虚拟机。

CISA已要求联邦机构在2026年2月13日前修复此漏洞，并对所有组织发出警告。鉴于该漏洞利用复杂度低且无需用户交互，它已成为勒索软件团伙等攻击者理想的初始入侵点。一旦攻击者通过vCenter获得立足点，便能在虚拟化基础设施内横向移动，加密数据或进行间谍活动。所有使用受影响版本的用户必须立即应用博通发布的补丁，并确保vCenter管理接口不直接暴露在互联网上。

安全专家集体警告AI时代数据保护面临多重挑战，呼吁强化验证、最小化收集并简化系统

多位网络安全与隐私专家联合发声，指出在人工智能技术广泛应用的时代，保护数据安全面临前所未有的新挑战。他们强调的主要风险包括：AI生成的虚假信息可能诱导错误决策；AI赋能的钓鱼和社会工程攻击几乎无法凭肉眼辨别；以及企业为合规而进行的手工操作负担过重，反而忽视了基础安全措施。

专家们提出了一系列应对建议：个人和组织必须对AI输出保持怀疑，关键信息需向原始信源二次核实；企业应严格遵循数据最小化原则，不收集非必要数据以降低泄露影响；在技术层面，需重点防范身份和访问令牌被盗，而非仅关注软件漏洞；同时，应简化日益复杂的安全系统，因为过度复杂性本身会引入新的风险。核心观点是，在AI重塑威胁格局的当下，回归安全基础（如多因素认证、网络分段）与培养批判性思维同等重要。

GitLab紧急修补关键双因素认证绕过漏洞，软件开发平台的安全堡垒面临直接冲击

GitLab发布紧急安全更新，修复了其社区版和企业版中的一个关键漏洞。该漏洞允许攻击者在知晓目标用户ID的情况下，完全绕过双因素认证保护，直接登录账户。2FA本是保护高权限账户（如代码库管理员）的核心防线，此漏洞使其形同虚设，对依赖GitLab进行源代码管理的企业构成严重威胁。

除该关键漏洞外，本次更新还修复了多个可导致服务拒绝的高危漏洞。鉴于互联网上暴露着数千个GitLab实例，且其存储着最具商业价值的源代码和敏感配置信息，该漏洞若被大规模利用，后果不堪设想。攻击者一旦获得访问权限，可窃取知识产权、注入恶意代码或在软件供应链中植入后门。所有自托管GitLab实例的管理员必须立即升级至已修复的版本，这是保护软件开发生命线安全的必要举措。

信息来源：人民网国家计算机网络应急技术处理协调中心国家信息安全漏洞库今日头条 360威胁情报中心中科汇能GT攻防实验室安全牛 E安全安全客 NOSEC安全讯息平台火绒安全亚信安全奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院安全帮卡巴斯基安全内参安全学习那些事安全圈黑客新闻蚁景网安实验室 IT之家IT资讯黑客新闻国外天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全《黑客利用“rn”拼写手法仿冒万豪与微软官网，同形钓鱼攻击严重依赖视觉欺骗》