文章总结： 本周安全资讯汇总显示网络安全威胁持续加剧，涵盖勒索软件、漏洞利用、数据泄露等多领域。英国航空遭黑客攻击导致机组隐私和AI密钥泄露，新型GhostTree攻击可致EDR工具卡死。微软Defender零日漏洞、Linux内核SSH密钥风险等关键漏洞需紧急修补。信息泄露事件涉及GitHub代码库、CISA凭证及纽约医疗数据，影响超180万人。恶意软件方面，BananaRAT针对巴西银行，OrBitRootkit窃取Linux凭据。建议企业及时更新补丁、强化身份验证并监控异常活动。 综合评分： 78 文章分类： 漏洞分析,恶意软件,数据安全,威胁情报,应急响应

赛欧思一周资讯分类汇总(2026-05-18 ~ 2026-05-23)

SOC SOC

赛欧思安全研究实验室

2026年5月23日 09:30 河南

在小说阅读器读本章

去阅读

一周资讯分类汇总：

1、勒索事件：

• 英国航空疑遭黑客灭顶式攻击：机组隐私、AI密钥、遗传病数据全网兜售

  2026年5月，黑客组织‘基础设施破坏小组’宣称成功入侵英国航空公司系统，获取机组人员隐私、AI 平台密钥及遗传病医疗数据，打包出售 1000 美元，支付方式为加密货币。攻击通过 ‘BenJones’ 账户突破 CrewPortal 管理员权限，泄露排班、病假信息及 AI 模型评分。

  来源: CN-SEC 中文网

2、攻击事件：

• 新出现的 GhostTree 攻击会导致 EDR 工具卡死，致使文件无法被扫描

  一种名为 “GhostTree” 的新披露攻击技术正引发安全防护人员的担忧，该技术可破坏终端检测与响应（EDR）工具，并绕过 Windows 系统上的文件扫描机制。利用 NTFS 连接点创建递归目录结构，从而导致安全工具无限期卡死。

  来源: GBHackers

3、漏洞情报：

• 微软警告称，攻击者正在利用 Defender 的新型 0day 漏洞

  微软发布了针对两个 Defender 漏洞的安全补丁，这两个漏洞此前已被用于 0day 攻击。第一个漏洞（编号 CVE-2026-41091）是一个权限提升安全漏洞，第二个漏洞（CVE-2026-45498）影响运行 Microsoft Defender 反恶意软件平台。

  来源: BleepingComputer

• 一个存在九年的内核漏洞使 Linux SSH 私钥面临风险

  一个新披露的 Linux 内核漏洞（编号 CVE-2026-46333）对 SSH 私钥及其他敏感凭据构成了严重威胁。该漏洞自 2016 年起便存在于内核中，允许本地攻击者在许多流行的 Linux 发行版上，从普通 shell 账户提升权限至完全的 root 权限。

  来源: GBHackers

• Four-Faith 工业路由器成为僵尸网络劫持攻击的目标

  Four-Faith 工业蜂窝路由器正成为日益猖獗的僵尸网络攻击活动的重点目标，该活动利用了一个被追踪为 CVE-2024-9643 的严重身份验证绕过漏洞。该漏洞 CVSS 评分高达 9.8，漏洞源于设备 Web 界面中硬编码的管理凭据。

  来源: GBHackers

• ChromaDB 存在最高严重级别的漏洞，可能导致 AI 应用的服务器被劫持

  ChromaDB 项目最新 Python FastAPI 版本中存在一个最高严重级别的漏洞，允许未经身份验证的攻击者在暴露的服务器上执行任意代码。漏洞的追踪编号为 CVE-2026-45829，该漏洞影响包含易受攻击的 Python API 服务器逻辑的代码库。

  来源: BleepingComputer

• Exim BDAT 严重漏洞可导致内存损坏和代码执行攻击

  Exim 邮件传输代理发布安全更新，修复了一个严重漏洞 CVE-2026-45185，该漏洞位于 BDAT 消息主体解析中的释放后使用问题，可能导致内存损坏和代码执行。漏洞影响 Exim 4.97 至 4.99.2 版本，攻击者可通过发送特定 TLS 告警实施攻击。

  来源: CN-SEC 中文网

• 100 万个 WordPress 网站因 Avada Builder 的安全漏洞而暴露

  一款广泛应用于超过一百万个网站的WordPress插件被发现存在两个严重的安全漏洞，可能导致敏感数据和服务器文件泄露。两个漏洞包括一个任意文件读取漏洞（CVE-2026-4782）和一个SQL注入漏洞（CVE-2026-4798）。

  来源: GBHackers

• FunnelKit 存在严重漏洞，导致 40000 多个 WooCommerce 网站面临风险

  FunnelKit 开发的 Funnel Builder 插件中存在一个严重的安全漏洞，目前该漏洞正被积极利用，导致超过 40000 个 WooCommerce 网站面临支付数据被盗的风险。该漏洞影响所有低于 3.15.0.3 版本的 Funnel Builder。

  来源: GBHackers

4、信息泄露：

• GitHub 将此次代码库泄露事件与 TanStack 的 npm 供应链攻击联系起来

  GitHub 表示，入侵了 3800 个内部代码库的黑客是通过一个恶意版本的 Nx Console VS Code 扩展程序获得访问权限的，该扩展程序在上周的 TanStack npm 供应链攻击中遭到入侵。此次攻击被归因于 TeamPCP 威胁组织。

  来源: BleepingComputer

• CISA 将大量密码和云密钥暴露在公开网络上

  据报道，GitGuardian 安全研究员发现大量暴露的明文凭证被列在电子表格中，这些文件曾被一名 CISA 承包商的员工上传至 GitHub 仓库并公开。暴露的明文凭证中包含访问令牌、云密钥及其他敏感文件。

  来源: TechCrunch

• 暗网泄露:美国发生 2.5 亿美元巨额泄密事件

  暗网泄露事件曝光美国 2.5 亿美元巨额数据泄密，涉及个人敏感信息如姓名、电话、住址、信用状况、收入及政治倾向等，超 2.5 亿条记录被公开，引发严重隐私与安全问题。

  来源: CN-SEC 中文网

• Grafana 称，被盗的 GitHub 令牌使黑客得以窃取代码库

  Grafana Labs 披露，黑客利用被盗的访问令牌入侵其 GitHub 环境后，下载了其源代码。一个名为 CoinbaseCartel 的相对较新的勒索团伙宣称对此次攻击负责，并将 Grafana 添加到了其数据泄露网站（DLS）上，尽管目前尚未有数据泄露。

  来源: BleepingComputer

• 纽约市健康与医院管理局表示，黑客在一次导致至少 180 万人受影响的入侵事件中窃取了医疗数据和指纹信息

  纽约公共卫生机构——纽约市健康与医院管理局（NYC Health and Hospitals）表示，一次持续数月的、导致黑客窃取个人数据、医疗记录及指纹扫描信息的数据泄露事件已影响至少 180 万人。

  来源: TechCrunch

5、诈骗事件：

• 诈骗分子寄送实体钓鱼信件以窃取 Ledger 钱包的助记词

  使用 Ledger 硬件钱包的加密货币钱包持有者正成为邮寄诈骗的目标，诈骗分子冒充该公司，企图窃取用户的恢复助记词。该骗局使用看似正式的印刷信件，信中带有 Ledger 品牌标识、参考编号，以及一份虚假的安全通知，警告收件人需进行紧急更新。

  来源: HackRead

• Android 广告欺诈活动产生了 6.59 亿次竞价请求

  据报道，网络犯罪分子利用恶意安卓应用将不知情的用户引导至一个广告欺诈骗局，该骗局每天产生的竞价请求多达 6.59 亿次。该骗局被研究人员命名为 “Trapdoor”，涉及 455 款恶意 Android 应用，并与 183 个由威胁行为者控制的命令与控制域名相关联。

  来源: Info Risk Today

6、僵尸网络：

• Void 僵尸网络利用以太坊构建弹性指挥控制系统

  一个新发现的僵尸网络 “Void” 正利用以太坊智能合约构建一个弹性强、难以破坏的指挥与控制（C2）基础设施，这标志着基于区块链的网络犯罪仍在不断演变。Void 僵尸网络采用 Rust 语言开发，并依赖以太坊区块链智能合约向受感染系统发送指令。

  来源: GBHackers

7、恶意软件：

• 伪造发票中的 “Banana RAT” 恶意软件袭击了巴西 16 家银行的客户

  一种名为 “Banana RAT” 的新型恶意软件正将巴西的银行客户作为攻击目标，利用伪造的文件和工具入侵设备并窃取资金。攻击者使用巴西葡萄牙语，以临时代号 SHADOW-WATER-063 开展活动，并针对巴西商界人士投放该恶意软件。

  来源: HackRead

• 研究人员警告称，CypherLoc 恐吓软件已将数百万用户作为攻击目标

  安全研究人员对一种新型恐吓软件发出了警告，该软件旨在锁定用户的浏览器，并诱导他们联系欺诈性的技术支持团队。Barracuda 的研究人员表示，自2026年初以来，他们已观察到约 280 万次利用名为 CypherLoc 的恐吓软件发起的攻击。

  来源: Info Security Magazine

• 黑客利用 OrBit Rootkit 从 Linux 系统中窃取 SSH 和 sudo 凭据

  OrBit 是一个基于开源 rootkit Medusa 修改而来的 Linux 后门，通过嵌入系统核心、监控 SSH 和 sudo 凭据并利用隐蔽存储与后门连接维持持久化。该工具被多个黑客组织使用，具备伪造身份验证和两阶段更新能力。

  来源: CN-SEC 中文网

• SHub macOS 信息窃取器变种伪装成苹果安全更新

  macOS 信息窃取软件 “SHub” 的新变种利用 AppleScript 显示伪造的安全更新信息，并安装后门。该变种名为 “Reaper”，能够窃取敏感浏览器数据、收集可能包含财务细节的文档和文件，并劫持加密货币钱包应用程序。

  来源: BleepingComputer

• 黑客利用 Cloudflare 存储服务窃取网络文件

  一项针对多家马来西亚组织的复杂网络间谍活动已被揭露，该活动展现出一条高度结构化的攻击链，融合了定制工具、云基础设施以及隐蔽的数据外泄手段。此次行动的核心是一台 Azure 虚拟机（IP：20.17.161.118），用于协调针对政府关联网络的攻击。

  来源: GBHackers

• Paper Werewolf APT 组织利用伪造的 Adobe 安装程序传播 EchoGather RAT

  一个名为 “Paper Werewolf” （也被追踪为 GOFFEE）的俄语威胁团伙，于2026年3月至4月期间对俄罗斯的工业、金融和交通组织发起了一波新的定向网络攻击。攻击始于一封带有 PDF 附件的钓鱼邮件。

  来源: GBHackers

• Fast16 恶意软件通过篡改数据破坏核试验模拟

  一项针对名为 “Fast16” 的网络间谍框架的最新分析揭示了一起迄今为止被发现的最为精准且隐蔽的破坏行动，该行动通过悄无声息地篡改关键测试数据，针对核武器模拟进行攻击。Fast16 的核心能力在于其高度选择性的“钩子引擎”，该引擎可实时修改应用程序的行为。

  来源: GBHackers

• 经过特殊构造的 JPEG 文件可能触发 PHP 内存漏洞，从而被利用

  PHP 作为使用最广泛的 Web 编程语言之一，其核心层级很少被视为直接的攻击面。然而，最新研究表明，PHP 的内置功能（特别是 ext/standard 扩展）在处理图像文件等不可信输入时，可能会暴露关键风险。这些漏洞表明，即使是受信任的核心函数，在特定条件下也可能被利用。

  来源: GBHackers

8、钓鱼事件：

• FlowerStorm 网络钓鱼团伙采用虚拟机混淆技术来规避电子邮件防御系统

  一个名为 “FlowerStorm” 的活跃钓鱼即服务（PhaaS）攻击活动已开始使用基于浏览器的虚拟机来隐藏凭证窃取代码。该活动主要针对 Microsoft 365、Hotmail 和 GoDaddy 等服务的凭证及多因素认证 (MFA) 代码。

  来源: CSOonline

• Tycoon2FA 通过设备代码钓鱼方式劫持微软365账户

  Tycoon2FA 钓鱼工具包现已支持设备码钓鱼攻击，并滥用 Trustifi 点击追踪链接来劫持 Microsoft 365 账户。尽管三月份国际执法行动曾扰乱 Tycoon2FA 钓鱼平台，但该恶意运营活动已在新基础设施上重建，并迅速恢复到正常活跃水平。

  来源: BleepingComputer

• Gamaredon 在网络钓鱼活动中部署了 GammaDrop 和 GammaLoad

  Gamaredon 在多阶段网络钓鱼攻击中使用 GammaDrop 和 GammaLoad 下载器。与 Gamaredon 威胁组织相关的持续性网络间谍活动正利用多阶段钓鱼攻击和不断演变的恶意软件加载器，积极针对乌克兰政府机构。

  来源: GBHackers

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛欧思安全研究实验室 SOC SOC《赛欧思一周资讯分类汇总(2026-05-18 ~ 2026-05-23)》