文章总结： 本周安全快报汇总了2026年4月2日至8日全球重大网络安全事件，包括伊朗黑客攻击美国关键基础设施PLC系统、朝鲜黑客利用GitHub针对韩国发起钓鱼攻击、伊朗相关组织对以色列和阿联酋实施密码喷洒攻击、黑客冒充乌克兰CERT-UA分发恶意软件、欧盟委员会云服务器数据泄露、俄罗斯银行系统大规模中断、俄罗斯APT28劫持路由器窃取凭证以及美国医疗公司遭攻击导致系统关闭。关键发现显示国家背景的黑客持续针对关键基础设施和政府部门，建议加强OT设备防护、多因素认证和威胁情报共享。 综合评分： 78 文章分类： 威胁情报,漏洞分析,恶意软件,应急响应,安全建设

安全快报 | 美国网安局警告称伊朗黑客针对其境内关基部门PLC系统发起网络攻击

天懋信息

2026年4月9日 14:10 广东

本周安全事件速览

04月02日-04月08日

01

美国网安局警告称伊朗黑客针对其境内关基部门PLC系统发起网络攻击

简要介绍

美国网络防御局警告称与伊朗有关联的黑客正在针对美国关键基础设施中面向互联网的OT设备，包括可编程逻辑控制器（PLC）、网络安全和情报机构发起网络入侵。根据网络安全与基础设施安全局（ESA）与联邦调查局（FBI）、国家安全局（NSA）及国防部网络部门共同发布的公告，该活动导致美国多个关键基础设施部门的PLC中断。这些攻击针对了部署在政府服务和设施、水务和污水系统（WWS）以及能源行业的Rockwell Automation和Allen-Bradley PLC。据悉，此次行动是伊朗黑客组织针对美国组织发动的网络攻击升级的一部分，这些攻击旨在应对伊朗、美以之间持续的冲突。

文章来源：The Hacker News

02

与朝鲜有关联的黑客利用GitHub针对韩国多个组织发起钓鱼攻击

简要介绍

与朝鲜相关的黑客已被观察到利用GitHub作为多阶段指挥控制（C2）基础设施，针对韩国多个组织开展网络攻击。根据Fortinet FortiGuard实验室的说法，攻击链涉及混淆的Windows快捷方式（LNK）文件作为起点，投放诱饵PDF文档和一个PowerShell脚本，为下一阶段攻击奠定基础。据评估，这些LNK文件通过钓鱼邮件传播。一旦有效载荷下载完成，受害者会看到PDF文档，而恶意的PowerShell脚本则在后台静默运行。PowerShell脚本通过扫描与虚拟机、调试器和取证工具相关的正在运行的进程，进行检测以抵抗分析。如果检测到这些进程中的任何一个，脚本会立即终止。否则，它会提取一个Visual Basic Script，并通过一个计划任务设置持久化，该任务每30分钟在隐藏窗口中启动PowerShell负载，以规避检测。这确保了每次系统重启后，PowerShell脚本都能自动执行。

文章来源：The Hacker News

03

与伊朗相关的黑客针对以色列和阿联酋数百个政府组织的Microsoft 365实施密码喷洒攻击

简要介绍

一名与伊朗相关的黑客被怀疑是针对以色列和阿联酋Microsoft 365环境的密码喷洒活动的幕后黑手。据Check Point报道，此次活动被评估分为三个波段持续进行，分别发生在2026年3月3日、3月13日和3月23日。以色列网络安全公司表示：“该运动主要聚焦以色列和阿联酋，影响以色列境内300多个组织，阿联酋超过25个组织。”“同一黑客还在欧洲、美国、英国和沙特阿拉伯的有限目标中观察到相关活动。”该活动被评估为针对该地区政府机构、市政、科技、交通、能源组织及私营企业的云环境。密码喷洒是一种暴力破解攻击形式，黑客试图在同一应用程序中使用同一通用密码对多个用户名进行攻击。这也被认为是不会触发限速防御的大规模发现薄弱凭证的更有效方式。

文章来源：The Hacker News

04

黑客组织冒充乌克兰计算机应急响应小组将AGEWHEEZE恶意软件投递至100多万封邮件账户

简要介绍

乌克兰计算机应急响应小组（CERT-UA）披露了一项新的钓鱼活动细节，该网络安全机构被冒充分发了名为AGEWHEEZE的远程管理工具。作为攻击的一部分，这些被追踪为UAC-0255的黑客组织于2026年3月26日和27日以CERT-UA名义发送电子邮件，分发托管在Files.fm上的密码保护ZIP档案，并敦促收件人安装专用软件。该运动的目标包括国家组织、医疗中心、安保公司、教育机构、金融机构和软件开发公司。ZIP文件旨在从该机构下载以安全软件形式包装的恶意软件。根据CERT-UA的说法，该恶意软件是一个代号为AGEGHEEZE的远程访问木马。AGEWHEEZE是一种基于Go的恶意软件，通过与外部服务器使用WebSockets传输，支持执行命令、执行文件操作、修改剪贴板、模拟鼠标和键盘、截图以及管理进程和服务的多种命令。

文章来源：The Hacker News

05

欧盟委员会因云端服务器遭入侵导致30多个欧盟实体数据泄露

简要介绍

CERT-EU将欧盟云端入侵归因于TeamPCP威胁组织，显示至少有30个欧盟实体的数据被泄露。该事件于3月27日公开披露，此前调查确认委员会的亚马逊云环境已被攻破。3月24日，欧盟委员会检测到一场网络攻击，影响了托管其Europa.eu网站的云基础设施。该事件很快得到控制，网站可用性未受影响。调查初步发现显示部分数据可能被访问，可能受影响的欧盟实体正在被通知。欧盟委员会发布的新闻稿中写道：“欧盟委员会正在正式通知可能受此次事件影响的欧盟实体。”欧盟已对此次安全漏洞展开调查，以确定其全面影响。然而，委员会最初指出其内部系统未受影响，限制了此次攻击的整体影响。欧盟委员会表示，将继续监控局势并加强保护措施。

文章来源：Security Affairs

06

俄罗斯多家主要银行应用和支付系统遭到严重中断

简要介绍

俄罗斯各地的银行应用和支付系统遭到严重中断，导致客户数小时内无法用卡支付、提款或使用手机银行。据《记录媒体》报道，事件影响了包括储蓄银行、VTB、阿尔法银行、T银行和俄罗斯天然气工业股份公司在内的主要银行，并波及包括莫斯科在内的多个地区。据悉，这次事件规模极其巨大，影响了俄罗斯的大部分地区，投诉数以千计。“根据在线追踪数据和客户报告，俄罗斯主要银行在4月3日面临大规模电子服务中断。”据《基辅独立报》报道。“此次中断发生之际，俄罗斯政府正在加强对该国互联网接入的控制，对热门应用实施限制，并试图打击虚拟专用网络（VPN）的使用。”当地安全专家推测，屏蔽VPN很可能促成了4月3日的银行故障。

文章来源：Security Affairs

07

英国安全局警告称俄罗斯APT28黑客正劫持路由器以窃取目标组织凭证

简要介绍

英国政府警告称，俄罗斯黑客组织APT28一直在利用易受攻击的互联网路由器，将流量重定向到攻击者控制的服务器，并窃取目标组织的凭证。英国国家网络安全中心（NCSC）于4月7日发布的新公告中表示，他们检测到两个新的恶意活动，并将其归因于APT28。这两个活动都关联到一份虚拟私人服务器（VPS）列表，这些服务器自2024年以来被APT28积极修改，作为恶意域名系统（DNS）服务器运行。NCSC公告指出：“这些VPS通常会接收大量来自路由器的DNS请求，这些请求被可能利用公共漏洞的行为者利用。”NCSC评估初步的DNS劫持行动具有随机性质，意味着APT28黑客可能利用此方法先获得大量候选人的可见性，然后在利用链的每个阶段筛选用户，以筛选可能具有情报价值的受害者。

文章来源：Info Security-Magazine

08

美国马萨诸塞州一医疗公司因遭网络攻击导致其电子健康记录和患者门户系统被迫关闭

简要介绍

美国马萨诸塞州的一个医疗系统正在转移救护车患者并实行停机程序，以应对其发现的一起网络攻击。此外，该组织还暂时取消了部分癌症治疗，关闭了电子健康记录和患者门户，并暂时终止在其零售药房配药。总部位于马萨诸塞州布罗克顿的Signature Healthcare公司周二表示其住院护理和临时急诊服务仍在开放，但癌症患者的化疗输注服务暂时取消。该组织的患者门户网站周二无法使用，电子健康记录系统也已离线。该实体的两家零售药房虽已开放咨询但无法配药。这次攻击影响了该机构的Epic电子健康记录、电话及其他IT系统，并持续了一周多。讲俄语的网络犯罪团伙Medusa在其黑暗网站上声称，在此次攻击中公开了被盗的数据，包括内部财务记录、患者和员工信息。

文章来源：Bank Info Security

往期回顾：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天懋信息 《安全快报 | 美国网安局警告称伊朗黑客针对其境内关基部门PLC系统发起网络攻击》