文章总结: 本周威胁情报中心报告披露多项高级威胁活动,包括APT37通过Facebook社交工程攻击、APT35在冲突前的系统性侦察、WordPress插件供应链攻击潜伏3个月后爆发。恶意代码方面重点分析了VIPERTUNNELPython后门持久化机制、Predator间谍软件绕过苹果指针认证的技术细节。漏洞情报包含微软4月补丁日修复的165个漏洞,其中1个SharePoint欺骗漏洞已被在野利用。报告提供了具体攻击手法、载荷特征和防御建议。 综合评分: 87 文章分类: 威胁情报,漏洞分析,恶意软件,攻击行动,安全事件
每周高级威胁情报解读(2026.04.10~04.16)
威胁情报中心 威胁情报中心
奇安信威胁情报中心
2026年4月17日 10:01 北京
在小说阅读器读本章
去阅读
2026.04.10~04.16
攻击团伙情报
- APT37 通过 Facebook 发起的有针对性入侵活动
- APT35组织在“史诗之怒”冲突前对目标进行系统性网络侦察
- Storm-2755 针对加拿大雇员进行“Payroll pirate”攻击
- 在 npm 上追踪 OtterCookie 信息窃取活动
- 研究人员成功获取Kimsuky三阶段完整攻击载荷源码
攻击行动或事件情报
- WordPress插件供应链攻击潜伏3个月后爆发
- 黑客利用 Claude 和 ChatGPT 入侵多个政府机构
- 虚假的 YouTube 版权声明可能会窃取 Google 登录信息
- 攻击者滥用人工智能工作流自动化平台
- 新型AgingFly恶意软件被用于攻击乌克兰政府和医院
恶意代码情报
- 深入剖析 VIPERTUNNEL Python 后门
- Predator 绕过了苹果公司的指针认证机制
- Omnistealer 利用区块链窃取 30 万条凭证
- JanelaRAT:一种针对拉丁美洲用户的金融威胁
漏洞情报
- 微软补丁日通告:2026年4月版
- CVE-2026-33032 深度分析
攻击团伙情报
01
APT37 通过 Facebook 发起的有针对性入侵活动
披露时间:2026年4月13日
情报来源:https://www.genians.co.kr/en/blog/threat_intelligence/pretexting
相关信息:
APT37组织利用伪装成朝鲜平壤出身的Facebook账户对目标进行侦察,通过建立信任后诱导目标安装一个被篡改的Wondershare PDFelement安装程序,该程序通过修改入口点执行shellcode,将恶意代码注入合法的dism.exe进程,并从日本房地产网站下载伪装成JPG图片的第二阶段载荷,最终利用Zoho WorkDrive云服务实现C2通信和数据窃取。
02
APT35组织在“史诗之怒”冲突前对目标进行系统性网络侦察
披露时间:2026年4月9日
情报来源:https://www.cloudsek.com/blog/kitten-had-the-map-all-along-raising-gcc-tensions-the-pre-positioning-map
相关信息:
CloudSEK发布报告指出,2026年2月28日美以对伊朗发动“史诗之怒”军事打击后,伊朗APT35组织在冲突前已对沙特、阿联酋、科威特、巴林、卡塔尔、约旦和以色列等目标进行了系统性网络侦察和预置访问,泄露的“KittenBusters”数据证实该组织与Moses-Staff和Al-Qassam Cyber Fighters为同一实体,并暴露了其恶意软件工具包BellaCiao、Sagheb RAT等以及完整的财务和基础设施,当前伊朗正通过Handala等黑客组织对上述国家实施网络报复。
03
Storm-2755 针对加拿大雇员进行“Payroll pirate”攻击
披露时间:2026年4月9日
情报来源:https://www.microsoft.com/en-us/security/blog/2026/04/09/investigating-storm-2755-payroll-pirate-attacks-targeting-canadian-employees/
相关信息:
微软威胁情报团队披露了一起由Storm-2755发起的针对加拿大员工的“Payroll pirate”攻击活动,该组织通过SEO投毒和恶意广告诱导用户访问仿冒的Microsoft 365登录页面,利用中间人攻击技术窃取用户认证令牌以绕过MFA,随后通过创建隐藏邮件规则并冒充受害者向HR部门发送更改直接存款的请求,或在Workday等HR SaaS平台手动修改银行信息,最终将员工工资转移至攻击者控制的账户。
04
在 npm 上追踪 OtterCookie 信息窃取活动
披露时间:2026年4月10日
情报来源:https://panther.com/blog/tracking-an-ottercookie-infostealer-campaign-across-npm
相关信息:
Panther安全平台发现,在2026年4月6日至9日期间,FAMOUS CHOLLIMA组织通过npm发布多个恶意软件包,利用双层依赖策略(无害包装器依赖恶意载荷)传播OtterCookie信息窃取器,该恶意软件通过postinstall钩子触发,窃取Solana钱包密钥、环境文件等敏感数据并上传至攻击者控制的Vercel C2域名,同时在Linux系统上添加SSH公钥实现持久化后门。
05
研究人员成功获取Kimsuky三阶段完整攻击载荷源码
披露时间:2026年4月11日
情报来源:https://intel.breakglass.tech/post/kimsuky-chm-nidlog-c2-dump-full-payload-recovery
相关信息:
Breakglass Intelligence 研究人员发现了一起Kimsuky组织的攻击活动,攻击者通过钓鱼CHM文件触发VBScript下载器,从C2服务器获取多阶段载荷,最终部署具备键盘记录、剪贴板监控和定时外传功能的PowerShell恶意软件,该C2服务器因目录列表暴露,研究人员恢复了完整的攻击链源码和79个相关域名的基础设施映射。
攻击行动或事件情报
01
WordPress插件供应链攻击潜伏3个月后爆发
披露时间:2026年4月9日
情报来源:https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/
相关信息:
一名买家在Flippa平台上以六位数价格收购了包含30多个WordPress插件的Essential Plugin组合,收购后立即在插件中植入了PHP反序列化后门,该后门通过未经认证的REST API从远程服务器获取恶意指令并执行任意函数,恶意代码潜伏长达8个月后于2026年4月被激活,向受感染站点的wp-config.php文件注入SEO垃圾链接和恶意重定向,并通过以太坊智能合约解析命令控制服务器域名以规避传统封禁,WordPress.org在发现后于2026年4月7日永久关闭了所有相关插件。
02
黑客利用 Claude 和 ChatGPT 入侵多个政府机构
披露时间:2026年4月10日
情报来源:https://gambit.security/blog-post/a-single-operator-two-ai-platforms-nine-government-agencies-the-full-technical-report
相关信息:
一份技术报告披露,在2025年12月至2026年2月期间,一名威胁行为者利用Anthropic的Claude Code和OpenAI的GPT-4.1 API,对墨西哥至少9个联邦、州和市级政府机构发动了AI辅助的网络入侵,攻击者通过Claude执行漏洞利用、权限提升、横向移动和数据库架构映射,通过GPT-4.1自动分析数百台服务器并生成情报报告,最终窃取了包含数亿公民记录的数据库,构建了可实时查询政府系统的API,并伪造了墨西哥税务合规证书。
03
虚假的 YouTube 版权声明可能会窃取 Google 登录信息
披露时间:2026年4月15日
情报来源:https://www.malwarebytes.com/blog/threat-intel/2026/04/fake-youtube-copyright-notices-can-steal-your-google-login
相关信息:
一场针对YouTube创作者的精准钓鱼活动利用伪造的版权警告通知,通过嵌入受害者频道数据的个性化页面制造紧迫感,诱导目标点击“使用Google登录”按钮,随后以Browser-in-the-Browser技术展示伪造的Google登录窗口窃取账号凭证,攻击者还可利用窃取的账号劫持频道进行加密货币诈骗;该平台采用联盟制运作,每个攻击者拥有独立追踪ID,并能动态轮换钓鱼域名以规避封禁,订阅超过300万的频道会被自动豁免以减少曝光风险。
04
攻击者滥用人工智能工作流自动化平台
披露时间:2026年4月15日
情报来源:https://blog.talosintelligence.com/the-n8n-n8mare/
相关信息:
Cisco Talos发现攻击者正滥用AI工作流自动化平台n8n的webhook功能,将其可信域名作为恶意活动的中继,通过发送包含n8n webhook链接的钓鱼邮件,诱导受害者点击后显示CAPTCHA验证,进而下载伪装成OneDrive文档的恶意可执行文件,部署Datto或ITarian等远程监控工具作为后门;此外攻击者还利用n8n webhook作为跟踪像素进行设备指纹识别和邮件打开追踪,这些滥用行为自2025年10月起显著增长,建议安全团队采用行为检测和威胁情报共享应对此类威胁。
05
新型AgingFly恶意软件被用于攻击乌克兰政府和医院
披露时间:2026年4月15日
情报来源:https://cert.gov.ua/article/6288271
相关信息:
CERT-UA发现,在2026年3月至4月期间,针对乌克兰地方政府、医院及国防力量的新一轮网络攻击中,攻击者使用了一种名为AgingFly的新型C#远程访问木马。攻击链始于伪装成人道主义援助或法院传票的钓鱼邮件,诱使受害者点击链接下载包含LNK文件的压缩包,进而执行HTA脚本,最终通过计划任务加载AgingFly或RAVENSHELL(XOR加密的TCP反向shell)实现持久化控制。AgingFly具备命令执行、文件操作、屏幕截图和键盘记录功能。攻击者还使用了CHROMELEVATOR窃取浏览器凭证、ZAPIXDESK窃取WhatsApp数据、Ligolo-ng和Chisel建立隐蔽隧道、XMRig挖矿程序,以及通过Telegram获取C2地址的PowerShell脚本SILENTLOOP。此外,攻击者还通过Signal消息应用传播伪装成“BACHU”FPV无人机操作软件的木马。
恶意代码情报
01
深入剖析 VIPERTUNNEL Python 后门
披露时间:2026年4月9日
情报来源:https://labs.infoguard.ch/posts/slithering_through_the_noise/
相关信息:
研究人员在调查DragonForce勒索软件事件时,发现了一个利用计划任务和Python的sitecustomize.py实现持久化的后门,该后门通过多层混淆和Base85编码解密出一个Python脚本,最终实现SOCKS5代理隧道功能,连接硬编码的C2服务器以中继流量,该后门被追踪为VIPERTUNNEL,与UNC2165和EvilCorp相关联,同一混淆框架也被用于ShadowCoil窃密木马,分析还揭示了使用Pyramid框架的C2基础设施。
02
Predator 绕过了苹果公司的指针认证机制
披露时间:2026年4月10日
情报来源:https://www.jamf.com/blog/predator-spyware-ios-kernel-exploitation-engine/
相关信息:
Jamf Threat Labs逆向分析了Predator间谍软件的内核利用引擎,该引擎通过FDGuardNeonRW技术利用ARM NEON向量寄存器作为高带宽通道实现任意内核内存读写,每个操作可传输528字节,同时通过从JavaScriptCore框架中搜寻特定20字节指令序列来绕过指针认证并预计算256条签名缓存,结合RWTransfer在进程间传递内核能力以及callFunc实现远程函数执行,最终支持从iPhone XS到14 Pro Max共21款机型。
03
Omnistealer 利用区块链窃取 30 万条凭证
披露时间:2026年4月11日
情报来源:https://www.malwarebytes.com/blog/news/2026/04/omnistealer-uses-the-blockchain-to-steal-everything-it-can
相关信息:
Omnistealer是一种新型信息窃取恶意软件,它将载荷存储在TRON、Aptos和币安智能链等公共区块链的交易中,利用区块链不可篡改的特性使其无法被删除,攻击者通过虚假工作机会诱骗开发者运行代码,感染后窃取密码管理器、浏览器登录数据、云存储凭证以及超过60种加密货币钱包扩展的信息,目前已导致约30万份凭证泄露,目标涵盖政府、国防和金融等领域。
04
JanelaRAT:一种针对拉丁美洲用户的金融威胁
披露时间:2026年4月13日
情报来源:https://securelist.com/janelarat-financial-threat-in-latin-america/119332/
相关信息:
JanelaRAT是一种针对拉丁美洲银行用户的金融恶意软件,自2023年6月起以BX RAT变种形式活跃,通过伪装发票的钓鱼邮件传播,利用MSI释放器和DLL侧加载执行,具备窗口标题检测、截屏、键盘记录、伪造银行覆盖层窃取凭证及远程控制功能,主要攻击巴西和墨西哥的金融机构。
漏洞情报
01
微软补丁日通告:2026年4月版
披露时间:2026年4月15日
情报来源:https://mp.weixin.qq.com/s/1QsO8NNwYcFTi0hmQLmFug
相关信息:
奇安信CERT发布通告称,微软2026年4月安全更新共修复165个漏洞,其中值得关注的27个重要漏洞包含1个已在野利用的Microsoft SharePoint Server欺骗漏洞和8个紧急漏洞,涉及Windows Active Directory远程代码执行、Microsoft Office远程代码执行、Windows TCP/IP远程代码执行等高风险类型,另有20个漏洞被标记为更易被利用,建议用户立即安装更新。
02
CVE-2026-33032 深度分析
披露时间:2026年4月16日
情报来源:https://mp.weixin.qq.com/s/8_0CzT8P-QLXeM3ISGdhYg
相关信息:
nginx-ui开源项目存在一个严重安全漏洞CVE-2026-33032,该漏洞源于其集成的MCP协议端点/mcp_message在默认IP白名单为空时完全绕过了身份验证,攻击者仅需两个HTTP请求即可调用所有MCP工具,实现对Nginx服务器的完全控制,包括修改配置、重启服务、窃取凭据和横向渗透;该漏洞已被野外利用,国内暴露实例数量全球居首,用户应立即升级至2.3.4版本或禁用MCP功能。
点击阅读原文至ALPHA 9.1
即刻助力威胁研判
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:奇安信威胁情报中心 威胁情报中心 威胁情报中心《每周高级威胁情报解读(2026.04.10~04.16)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论