伊朗黑客组织对洛杉矶交通系统发动网络攻击
发布时间 2026-05-285月26日,安全研究人员近日披露,今年3月针对洛杉矶县大都会交通运输管理局(LACMTA)的网络攻击,其幕后黑手是伊朗支持的黑客组织。以色列初创公司Gambit Security周二发布的一份报告明确指出,这些黑客隶属于伊朗情报和国家安全部(MOIS)。一个名为“米纳布的阿巴比勒”(Ababil of Minab)的组织此前声称对此次攻击负责,称其窃取并删除了洛杉矶县交通管理局系统中的数据。然而,Gambit Security对该组织的自我描述提出了质疑,认为他们并非像宣称的那样是一个全新的、独立的黑客行动主义团体。Gambit表示,其指控基于法证证据,将这些黑客与此前已被确认与伊朗有关的网络攻击活动联系了起来。这些证据涉及以色列国家网络局认定为伊朗情报组织(MOIS)所为的恶意活动。此外,Gambit还调查了该组织针对以色列、沙特阿拉伯和土耳其公司的其他攻击事件,进一步巩固了其与伊朗政府关联的结论。如果Gambit的评估属实,那么“米纳布的阿巴比勒”将成为一系列为伊朗政府效力的虚假黑客组织中的最新成员。
https://techcrunch.com/2026/05/26/iranian-hackers-blamed-for-breach-of-los-angeles-transit-system-that-took-weeks-to-recover/
2. KnowledgeDeliver LMS零日漏洞遭黑客利用
5月26日,安全公司Mandiant近日披露,黑客利用运行KnowledgeDeliver学习管理系统(LMS)的服务器上一个严重零日漏洞,成功部署了Godzilla Web Shell。该漏洞被编号为CVE-2026-5426,本质上是一个反序列化问题,其根源在于所有KnowledgeDeliver客户部署的Web门户配置中共享了同一个硬编码的ASP.NET机器密钥。由于该漏洞无需身份验证即可利用,攻击者一旦获取了该机器密钥,便可对恶意ViewState有效载荷进行签名,从而在操作系统级别实现远程代码执行。据Mandiant透露,早在2025年末,该公司就已对KnowledgeDeliver服务器遭受的攻击进行了应急响应。研究发现,该漏洞最初被作为零日漏洞使用,攻击者向Web平台注入了恶意脚本。在2026年2月24日之前部署的KnowledgeDeliver安装版本,均依赖于供应商提供的标准化web.config文件,该文件中包含了硬编码的machineKey值,而这些值本应被用于加密和签名数据(包括ViewState负载)。实际上,该平台上的恶意代码会“诱使用户下载虚假安装程序”,进而导致计算机感染Cobalt Strike信标,植入后门。
https://www.bleepingcomputer.com/news/security/knowledgedeliver-flaw-exploited-as-a-zero-day-to-install-web-shells/
3. 多方联手摧毁“Glassworm”僵尸网络
5月27日,一场针对软件开发者的大规模供应链攻击行动“Glassworm”近日遭到重大打击。在CrowdStrike、谷歌和Shadowserver基金会联合发起的一次协调行动中,攻击者精心构建的、具备高度抗摧毁能力的命令与控制基础设施被彻底切断。该僵尸网络自2025年10月以来持续活跃,最初通过恶意的OpenVSX和Microsoft VS Code扩展程序,专门针对开发者实施加密货币钱包和登录凭证窃取。随后攻击范围扩大至GitHub仓库和npm包,仅今年3月的一次攻击就影响了超过400个软件工件。在最新一波攻击中,攻击者在OpenVSX上植入了数十个处于休眠状态的扩展程序,一旦更新便会激活恶意组件。Glassworm之所以能长期存活,关键在于其运营者设计了一套极具韧性的C2架构,将Solana区块链、BitTorrent分布式哈希表、公共日历服务与传统服务器结合,形成多层间接掩护。具体而言,C2服务器地址被编码在Solana区块链交易的备注字段中,形成无法被传统手段关闭的不可篡改死信箱;同时,恶意软件通过查询BitTorrent DHT网络获取与硬编码公钥关联的配置数据,利用全球去中心化的点对点网络消除单点故障;此外,Google日历事件标题还被用作Base64编码的C2路径死信箱。
https://www.bleepingcomputer.com/news/security/glassworm-botnet-disrupted-after-resilient-c2-infrastructure-takedown/
4. Windows与Android遭两大银行木马攻击
5月27日,近期,拉丁美洲和欧洲遭遇两起银行木马攻击,分别针对Windows和Android设备。Grandoreiro主要攻击西班牙、葡萄牙、墨西哥的企业,自2016年活跃至今,已能窃取45个国家和地区的金融机构凭证。尽管巴西当局曾试图摧毁其基础设施,该木马仍在扩展,并加入CAPTCHA对抗分析。最新攻击利用DLL侧加载和WebRTC流量隐藏行为,明确针对葡萄牙多家银行。另一波攻击通过钓鱼邮件传播伪装成Adobe Reader更新的恶意文件。此外,BTMOB安卓木马以巴西用户为目标,具备截屏、键盘记录、窃取凭证等功能,后续版本可捕获支付宝PIN码。该木马以每月700美元出售,附带APK构建器,无需编码即可生成恶意载荷,通过虚假网站诱导安装并滥用辅助功能权限。BTMOB泄露版本已在地下论坛流传,降低了犯罪门槛。
https://thehackernews.com/2026/05/grandoreiro-malware-and-btmob-rat.html
5. “无声勒索集团”重点攻击美国律师事务所
5月27日,美国联邦调查局近日发布警告称,一个与已解散的Conti勒索软件集团有关联的网络勒索组织“无声勒索集团”(Silent Ransom Group, SRG)正越来越多地以美国律师事务所为目标,通过钓鱼邮件、虚假IT支持电话,甚至派遣人员亲自上门等手段窃取敏感数据。该组织也被称为Luna Moth、Chatty Spider和UNC3753,自2023年以来持续利用社会工程手段远程访问公司系统并实施数据窃取。与传统的勒索软件不同,SRG专注于数据窃取与勒索,而非加密受害者网络。一旦得手,攻击者便威胁在泄密网站上公开数据或将其出售,迫使受害者支付赎金。在今年春季的最新攻击活动中,攻击者伪装成公司内部IT人员,通过电话或钓鱼邮件诱导员工联系虚假服务台,进而说服员工授予远程桌面访问权限,从而快速窃取文件。联邦调查局指出,如果这些手段失败,该团伙甚至可能派遣人员直接前往受害者办公室,声称需要创建备份或镜像设备以解决安全问题,随后使用外部存储设备复制数据。该组织的活动极具隐蔽性,因其严重依赖企业IT部门常用的合法远程管理和系统管理工具,被盗数据通常通过谷歌云端硬盘和微软OneDrive等可信云平台传输,使得恶意活动与正常业务运营难以区分。
https://therecord.media/fbi-warns-hackers-visit-law-firms-to-steal-data
6. CISA紧急要求四天内修复LiteSpeed高危漏洞
5月27日,美国网络安全和基础设施安全局(CISA)近日发布紧急指令,要求美国联邦机构在四天内修复一个被积极利用的严重漏洞。该漏洞编号为CVE-2026-48172,存在于LiteSpeed的cPanel用户端插件中,是一个权限提升漏洞,与Redis启用/禁用功能处理不当有关,具体位于lsws.redisAble函数中。由于权限分配错误,未授权的远程攻击者能够以root权限执行任意脚本,对服务器构成严重威胁。LiteSpeed已于周四发布紧急安全更新,强烈建议用户将cPanel用户端插件(与WHM插件捆绑)更新至最新版本,受影响版本覆盖v2.3至v2.4.4。LiteSpeed团队提供了检测命令,建议用户检查服务器日志中是否存在可疑IP地址,并评估可能造成的损害。CISA于周二将该漏洞列入“已遭攻击利用的漏洞目录”,并根据约束性操作指令BOD 22-01,要求联邦机构在5月29日午夜前完成修补。
https://www.bleepingcomputer.com/news/security/cisa-gives-feds-4-days-to-patch-actively-exploited-cpanel-plugin-flaw/
京公网安备11010802024551号