1、SideCopy组织针对阿富汗财政部门发起钓鱼攻击

https://www.seqrite.com/blog/operation-xenofiscal-sidecopy-deploying-persistent-xenorat-targeting-the-mof-afghanistan/

研究人员披露一起针对阿富汗财政部门及34个省级税务机构的鱼叉式网络钓鱼活动，并以中高置信度将其归因于SideCopy高级持续性威胁组织。攻击以ZIP压缩包开始，其中包含带普什图语文件名的恶意LNK文件，文件名含义与参加智力与心理战研讨会的员工名单有关。行动中投放的诱饵文件是一份省级工作人员名录，覆盖34个省份，并列出财务主管、税务主管及联系电话。已披露信息显示，攻击链最终投放XenoRAT 1.8.7植入物，该植入物具备键盘记录、屏幕截图、摄像头和麦克风监控、SOCKS5网络隧道等后渗透功能。

2、JINX-0164攻击组织针对加密行业投放定制木马

https://www.wiz.io/blog/threat-actors-target-crypto-orgs

一个新网络攻击组织JINX-0164至少自2025年中期以来针对加密货币组织开展攻击。相关活动通过职业社交资料与目标开发者建立联系，并以商业机会或工作机会为诱饵诱导其访问虚假会议平台页面。受害者点击链接后，会下载面向macOS设备的远程访问工具，并开始窃取敏感数据。研究人员称，该活动涉及两个恶意软件家族，其中一个基于Python编译，具备信息窃取和后门功能，可收集浏览器凭证、加密货币钱包扩展、SSH密钥、云API令牌和剪贴板数据。攻击者还被指通过商业VPN隐藏网络活动，并篡改代码提交元数据以冒充合法开发人员。

3、攻击者利用WP地图插件漏洞恶意创建管理员账户

https://www.wordfence.com/blog/2026/05/15000-wordpress-sites-affected-by-administrator-account-creation-vulnerability-in-wp-maps-pro-wordpress-plugin/

安全研究人员披露针对运行有存在漏洞版本WordPress地图插件的网站的攻击活动。涉及的漏洞编号为CVE-2026-8732，影响6.1.0及更早版本。该插件用于构建交互式地图和店铺定位器，常见于企业、房地产、旅游、目录和组织类网站。已披露信息显示，漏洞源于插件中的“临时访问”功能，该功能原本用于允许支持人员访问客户现场进行故障排查，但相关接口可被未经身份验证的用户访问，并依赖前端暴露的校验机制，导致保护措施无效。攻击者可发送构造请求，创建新的管理员用户并生成无密码登录入口，研究人员称，过去24小时内已拦截3600多次相关尝试。

4、CIFSwitch本地提权漏洞影响多个Linux系统发行版

https://heyitsas.im/posts/cifswitch/

Linux内核中新发现的本地权限提升漏洞被命名为CIFSwitch，可能允许攻击者伪造CIFS身份验证密钥描述，滥用内核密钥请求机制并获得root权限。该问题影响多个提供易受攻击内核CIFS组件和cifs-utils组合的发行版，其中包括6.14及更高版本，也包括部分较旧变体。已披露信息显示，当CIFS网络共享使用Kerberos认证时，内核会请求用户空间辅助程序执行身份验证，而问题在于内核CIFS子系统未验证cifs.spnego密钥请求是否确实来自内核CIFS客户端。非特权用户可创建伪造请求并触发正常认证流程，使具备root权限的辅助程序信任攻击者控制的字段，最终实现本地提权。

5、AI聊天分享链接功能被滥用投放木马传播网页

https://pushsecurity.com/blog/llmshare-malvertising-campaign

研究人员披露，黑客组织滥用某AI聊天服务的内容共享功能展示虚假的服务中断页面，并引导用户下载伪装成桌面应用程序的恶意软件。已披露信息显示，该活动通过搜索广告将查询相关服务的用户引导至托管在合法域名下的恶意共享页面。用户点击广告后，会看到一条渲染后的故障通知，声称网页版因访问量过大暂时不可用，并提示下载桌面应用继续使用。研究人员指出，虚假故障通知并非托管在攻击者基础设施上，而是通过该AI服务自身的渲染功能生成自定义HTML和CSS页面。若访问者点击下载按钮，将被引导至仿冒下载门户。

6、FortiClient终端管理服务漏洞被用于投放窃密程序

https://arcticwolf.com/resources/blog/forticlient-ems-exploited-via-cve-2026-35616-to-deliver-ekz-infostealer-disguised-as-a-fortinet-patch/

黑客组织正在利用FortiClient终端管理服务器中的身份验证绕过漏洞CVE-2026-35616，传播未公开的信息窃取程序。该漏洞属于不当访问控制问题，允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。已披露信息显示，攻击者将恶意软件伪装成端点更新，并通过受管理VPN脚本工作流执行。入侵活动始于滥用端点API，在未经认证的情况下执行管理操作，随后修改服务器配置和VPN策略，以触发恶意脚本。相关脚本会执行编码后的脚本载荷，下载并运行伪装成补丁的窃密程序，并通过HTTP向攻击者控制的服务器外传浏览器数据。该程序目标包括凭据、信用卡信息、地址、电话号码和cookie。

7、黑客利用Meta AI客服机器人重置密码并劫持Instagram账号

https://www.freebuf.com/articles/ai-security/484061.html

Meta 旗下 Instagram 的 AI 客服机器人存在关键逻辑漏洞，攻击者无需破解验证码，仅需向机器人索要访问权限即可完全绕过双重认证机制。上周末，高价值的"OG"短用户名账号、休眠机构账户及认证资料在数分钟内遭窃，被盗用户名几乎在入侵后立即被挂上 Telegram 频道转售。

8、Notepad++ 漏洞利用代码及安全漏洞细节公开

https://securityonline.info/notepad-exploit-code-vulnerabilities/

Notepad++曝三个高危漏洞（CVE-2026-48800、48778、48770），含XML文件代码执行和本地拒绝服务漏洞，CVSS最高7.8分。攻击代码已公开，用户需立即升级至v8.9.6.1修复。

9、五角大楼首次承认商业定位数据构成战场威胁

https://securityaffairs.com/192942/cyber-warfare-2/the-pentagon-finally-admits-that-location-data-is-a-battlefield-problem.html

敌对势力正利用商业定位数据追踪美军，智能手机和广告技术网络暴露战场安全风险。军方承认现有防护措施有限，商业数据可精确定位部队行动。国会质疑防护措施滞后，凸显监控经济威胁远超安全政策应对速度。

10、微软Netlogon远程代码执行漏洞遭在野利用

https://securityonline.info/netlogon-rce-vulnerability-exploited-in-the-wild/

网络犯罪分子正利用高危Netlogon漏洞(CVE-2026-41089)攻击企业，可完全控制系统。微软已发布补丁修复，IT部门须立即部署，隔离域控制器并监控异常活动，防止身份体系被控。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。