一名讲俄语的网络犯罪分子利用商业生成式人工智能工具，在55个国家入侵了600多台FortiGate设备。

亚马逊威胁情报报告称，一名讲俄语、出于经济动机的威胁行为者利用商业生成式人工智能服务攻破了55个国家的600多台FortiGate设备。这一活动发生在2026年1月11日至2月18日期间，凸显了网络犯罪分子越来越多地利用人工智能工具，在全球范围内对暴露的网络基础设施进行规模化和自动化攻击。

攻击者未利用任何FortiGate漏洞。相反，威胁行为者滥用了暴露的管理端口和薄弱的单因素凭证。

亚马逊威胁情报观察到一个讲俄语、出于财务动机的威胁行为者利用多个商业生成式人工智能服务，在2026年1月11日至2月18日期间，在55多个国家攻破了600多台FortiGate设备。“亚马逊发布的报告如是写道。“没有观察到对FortiGate漏洞的利用——相反，这次活动通过利用暴露的管理端口和带有单因素认证的弱凭证成功，这些都是AI帮助一个不成熟的行为者大规模利用的基本安全漏洞。”

研究人员发现，尽管技能有限，该行为者仍使用多种商业生成式人工智能工具来自动化和扩展熟悉的攻击技术。

在例行监控中，亚马逊专家发现了承载攻击者工具的基础设施，以及AI生成的攻击计划、受害者配置和自定义代码，为AI驱动的工作流程提供了罕见的洞察。该行为者扫描了互联网中暴露的FortiGate管理端口，滥用了弱凭证，并窃取了包含VPN、管理和网络数据的完整配置。

“在VPN访问受害者网络后，威胁行为者会部署一个定制的侦察工具，这些工具有不同版本，分别用Go和Python编写。对源代码的分析揭示了AI辅助开发的明显迹象：冗余注释仅仅重述函数名称，结构简单，过度投入格式而非功能，通过字符串匹配而非正确的反序列化进行简单的JSON解析，以及语言内置兼容性的空白文档存根。“报告继续报道。“虽然该工具在威胁行为者的具体用例中功能正常，但缺乏稳健性，且在边缘情况下失效——这些特征典型于未经过重大改进的AI生成代码。”

AI辅助脚本解析并解密战利品，使VPN访问、Active Directory被攻破、凭证泄露、横向移动以及针对Veeam备份的尝试成为可能。这一步是勒索软件攻击中常见的经典策略

定制侦察工具，看似AI生成的自动化网络地图和漏洞扫描，但深度不足，常常在打补丁或加固系统时失效。该参与者依赖多个商业大型语言模型进行规划和代码生成，创建了一个模拟整个团队输出的大型工具包。然而，当漏洞利用失败或防御坚固时，他们会转移视线，显示出AI的规模和效率被放大，而非真正的技术成熟。

一旦进入，攻击者使用常见的开源工具升级访问权限。他们攻破了Active Directory，提取了NTLM哈希值，有时甚至提取了整个凭证数据库——有时还得益于弱密码或重复使用的管理员密码。获得域名控制权后，他们通过传递哈希和NTLM中继攻击横向移动，针对Veeam备份服务器窃取凭证并削弱恢复手段。然而，当系统被打丁或加固后，他们更先进的利用尝试大多失败了。

“威胁行为者的作笔记中提到了多个针对多个目标的CVE（CVE-2019-7192、CVE-2023-27532和CVE-2024-40711等）。然而，本分析的一个关键发现是，威胁行为者在尝试利用除最直接、自动化攻击路径之外的任何东西时，基本都失败了。”

亚马逊威胁情报专家认为，攻击者是出于经济动机，讲俄语的个人或小团体，拥有低至中等技能，且在人工智能的推动下得到了大量提升。他们的“后期”技能较浅，常常在面对坚硬目标时失败，然后继续前进。运营安全不佳暴露了详细的计划、凭证和受害者数据。

亚马逊威胁情报部门对该活动进行了调查并破坏了此次活动，向合作伙伴分享了可作的攻破指标，并跨行业合作扩大可见度并协调防御措施。

报告总结道：“通过这些努力，亚马逊帮助降低了威胁行为者的运营效能，并使多个国家的组织能够采取措施破坏活动的有效性。”报告总结道，报告中包含了攻破指标（IOCs）及建议。

该案例展示了人工智能如何降低了网络犯罪的门槛。专家警告称，2026年AI驱动的攻击将会增加，敦促加强补丁、凭证隐私、分段和检测。

Anthropic推出了Claude Code Security，一款能够扫描代码漏洞并建议解决方案的AI工具。

Anthropic推出了Claude Code Security，这是一项新的AI驱动服务，旨在扫描软件代码库中的漏洞并推荐修复方案。该工具内置于 Claude Code，旨在帮助团队更快地发现和修复安全漏洞。该功能目前正在有限度地为企业和团队客户提供研究预览。

“Claude Code Security，这是Claude Code网络上新内置的功能，现已以有限的研究预览形式发布。它扫描代码库中的安全漏洞，并建议针对性的软件补丁供人工审核，使团队能够发现并修复传统方法常忽略的安全问题。“Anthropic发布的公告中如是写道。

西班牙警方逮捕了一名20岁的黑客，涉嫌仅收一分钱预订每晚价值高达1000欧元的豪华酒店房间，随后被捕。

西班牙警方在马德里逮捕了一名20岁男子，涉嫌控一家旅游和酒店预订网站的在线支付系统，以每张预订仅收0.01欧元的豪华酒店住宿。该计划允许他预订每晚最高1000欧元的房间，仅一家酒店就损失超过2万欧元。

西班牙国家警察发布的新闻稿中写道：“他纵了在线支付系统，以极低的价格预订了高端酒店，每晚最高达1000欧元。”

调查始于2月2日，当时一家旅行社在其网站上报告了可疑预订。调查人员发现嫌疑人破坏了集成支付网关，选择了一个知名的国际支付平台，发动了针对性的网络攻击，以改变交易验证流程。

“网络犯罪分子破坏了集成在酒店预订网站上的支付网关系统。为此，他通过一家知名的国际电子支付平台选择了支付选项，并利用专门设计的网络攻击改变了交易验证流程，使系统只需输入一美分即可授权作。“新闻稿继续说道。

系统批准预订为全额支付，但实际上每个预订仅转入一美分。几天后，公司只收到了最低限度的付款，披露了约2万欧元的损失，警方称这是一种此前未见的作案手法。

经过详细的技术分析，警方仅用四天就确认了嫌疑人身份，并在他入住马德里一家豪华酒店时将其逮捕。据称他预订了四晚，每晚1000欧元，甚至饮用迷你吧物品，导致部分酒店未付账单。他因涉嫌计算机欺诈被带到司法部门面前，调查仍在进行中。

美国网络安全与基础设施安全局（CISA）将RoundCube网页邮件的漏洞加入其已知被利用漏洞目录。

美国网络安全和基础设施安全局（CISA）在其已知被利用漏洞（KEV）目录中新增了两个RoundCube网页邮件漏洞。

以下是目录中新增的缺陷：

CVE-2025-49113（CVSS 评分 9.9）RoundCube 非可信数据漏洞的网页邮件反序列化
CVE-2025-68461（CVSS 评分：7.2）RoundCube 网页邮件跨站脚本漏洞
Roundcube 是一个受欢迎的网页邮件平台，多次成为高级威胁组织如 APT28 和 Winter Vivern 的攻击目标。过去，攻击者利用这些漏洞窃取登录凭证并监视敏感通信。这些活动表明未打补丁的系统依然存在严重风险，尤其是对高价值目标。

关键漏洞CVE-2025-49113是对不可信数据漏洞的反序列化。该漏洞十多年来一直未被发现，攻击者可以利用它控制受影响的系统并运行恶意代码，使用户和组织面临重大风险。FearsOff的创始人兼首席执行官基里尔·菲尔索夫发现了该漏洞。

“1.5.10 之前和 1.6.11 之前的 1.6.x 版本，允许认证用户远程执行代码，因为 URL 中的 _from 参数未在 program/actions/settings/upload.php 中验证，导致 PHP 对象反序列化。”这是NIST发布的通告。

该漏洞已在1.6.11和1.5.10 LTS中得到修复。

在发现该漏洞时，Firsov估计该漏洞影响了超过5300万台主机（以及cPanel、Plesk、ISPConfig、DirectAdmin等工具）。

Positive Technologies的研究人员宣布他们已在Roundcube中重现CVE-2025-49113条文。专家们敦促用户立即更新到最新版本的Roundcube。

第二个漏洞，作为 CVE-2025-68461 被记录，添加到 Kev 目录中，是一个跨站脚本漏洞。

“1.5.12 之前和 1.6.12 之前的 Roundcube Webmail 容易通过 SVG 文档中的 animate 标签出现跨站脚本（XSS）漏洞。”公告上写着。

根据《约束性运营指令》（BOD）22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录漏洞的攻击。

专家还建议私营组织审查目录，解决其基础设施中的漏洞。

CISA命令联邦机构在2026年3月10日前修复这些漏洞。

欧盟制裁中国和伊朗的企业和个人，针对成员国针对关键基础设施和超过65,000台设备的网络攻击。

欧盟理事会已对三家与针对欧盟国家及合作伙伴的网络攻击相关的公司和两名个人实施制裁。

新闻稿中写道：“理事会今日通过了对三个实体和两个个人实施针对欧盟成员国和欧盟伙伴的网络攻击的限制措施。”

首家受制裁的中国公司是Integrity Technology Group，该公司在2022年至2023年间支持了超过65,000台设备在六个欧盟成员国被入侵的行动。2025年1月，美国财政部因与中国支持的Flax Typhoon APT集团（又称Ethereal Panda或RedJuliett）网络攻击有关，对Integrity Tech进行了制裁。

与中国相关的APT集团自2022年夏季起利用Integrity Tech的基础设施对欧洲和美国网络发动网络攻击。Flax Typhoon是一个与中国相关的黑客组织，自2021年起活跃，针对全球关键基础设施，利用漏洞持续访问。

第二家被制裁的中国公司是安航信息科技，提供针对关键基础设施的黑客服务。两位中国联合创始人因直接参与针对欧盟成员国的网络攻击而受到制裁。2025年3月，美国因自2011年以来提供黑客雇佣服务和网络攻击而对安信信息科技（i-Soon）进行了制裁。2024年的数据泄露暴露了其内部运营和工具。

被制裁的公司是伊朗公司Emennet Pasargad，该公司入侵了一个法国用户数据库，并试图将数据在线出售。它还通过在巴黎2024奥运会期间黑入广告牌传播虚假信息，并中断瑞典的短信服务，影响了许多欧盟公民。

被制裁者面临资产冻结，欧盟公民和企业被禁止向他们提供资金或资源。个人在欧盟境内也面临旅行禁令。随着这些新增措施，欧盟网络制裁体系现已涵盖19个人和7个实体。

“此举凸显了欧盟坚决应对持续网络威胁的承诺，并与国际伙伴合作，确保网络空间安全稳定。

新闻稿总结道：“今天的决定确认了欧盟及其成员国愿意对针对欧盟、其成员国和合作伙伴的持续恶意网络活动提供强有力且持续的回应。”“欧盟及其成员国将继续与国际伙伴合作，推动一个开放、自由、稳定和安全的网络空间。”

欧盟于2017年创建了“网络外交工具箱”，旨在通过外交和限制性措施预防和应对网络威胁。2019年，欧盟新增了制裁框架，针对对欧盟及其成员构成外部威胁的网络攻击。

Bitsight报道，RondoDox僵尸网络正在加大攻击力度，针对174个漏洞，每天尝试利用次数多达15,000次，展开更具针对性和战略性的攻击行动。

Bitsight发布的报告中写道：“我们收集了所有这些利用尝试（可通过用户代理和脚本名称等指标识别），识别出2025年5月25日至2026年2月16日期间的174个不同漏洞。”“通过这些漏洞，我们能够映射出148个CVE，其中15个有公开PoC但没有CVE，11个没有发现任何公开PoC。在我们的GitHub（本文末尾链接）中，我们提供了包含所有CVE和所用漏洞的列表。”

趋势科技于2025年6月15日首次发现RondoDox活动，利用TP-Link Archer AX21路由器中的CVE-2023-1389，这一漏洞首次在Pwn2Own 2023年被揭示，至今仍被僵尸网络广泛使用。

今年七月，FortiGuard Labs 首次发现了利用 CVE-2024-3721 和 CVE-2024-12856 的 Rondox 僵尸网络。自2024年起活跃，使用自定义库并模拟游戏或VPN流量以规避检测。

去年十月，趋势科技报告称，Rondox僵尸网络利用了全球活跃的30多种设备类型中的56个已知漏洞，包括DVR、NVR、闭路电视系统和网络服务器。

去年12月，CloudSEK研究人员警告称，Rondox僵尸网络正在利用关键的React2Shell漏洞（CVE-2025-55182）在易受攻击的Next.js服务器上投放恶意软件和加密矿工。

与中国相关的APT组织CL-STA-1087自2020年以来一直利用AppleChris和MemFun攻击东南亚军队。
自2020年以来，一个疑似与中国有关的间谍活动，追踪为CL-STA-1087，利用AppleChris和MemFun恶意软件针对东南亚军事组织。

“此次活动展现了战略性的作战耐心，以及高度针对性的情报收集，而非大规模数据窃取。该集群背后的攻击者积极搜索并收集了关于军事能力、组织结构及与西方武装力量合作的高度具体文件。“帕洛阿尔托网络发布的报告如是写道。“用于恶意活动的目标导向工具集包括几个新发现的资产：AppleChris和MemFun后门，以及一个定制的Getpass凭证采集器。”

Cortex XDR检测到可疑的PowerShell活动，显示出长期入侵。网络间谍在非管理端点上保持持久化，利用脚本创建多个C2服务器的反向壳。威胁行为者潜伏数月后恢复运营，通过WMI和.NET命令将AppleChris后门传播到关键服务器、工作站和高管资产。攻击者利用DLL劫持和多种恶意软件变种来规避侦测。

据Sophos研究人员介绍，ClickFix活动正在不断演变，攻击者越来越多地针对macOS用户并部署更高级的信息窃取工具。
ClickFix 是一种不断发展的社交工程技术，通过诱骗用户手动执行恶意命令，绕过传统的保护措施。它曾主要针对Windows，现在对macOS的影响日益加剧，近期活动中部署了AMOS和MacSync等信息窃取工具。研究人员指出，这些策略正在演变，可能既受防御措施驱动，也受更广泛的科技趋势驱动。

Sophos 研究人员分析了三次针对 macOS 用户的 ClickFix 活动，使用了 MacSync 信息窃取器。

2025年11月，攻击者依赖相对“经典”的ClickFix技术。搜索ChatGPT相关工具的受害者被谷歌赞助的恶意链接诱导，这些链接指向虚假的OpenAI/ChatGPT页面。这些页面指示用户复制并执行混淆的终端命令，最终下载并运行了MacSync信息窃取器。这种方法既直接又有效，主要依赖用户的信任和欺骗。

最近针对Stryker的网络攻击导致其Microsoft环境中数万台员工设备被清除，系统仍然处于离线状态。
最近针对医疗科技巨头Stryker的一次网络攻击针对其内部Microsoft环境，远程清除了数万台员工设备，且未使用恶意软件。公司确认其医疗设备未受影响，且仍安全使用。然而，电子订购系统仍然离线，迫使客户通过销售代表手动下单。

上周，亲巴勒斯坦的黑客行动组织Handala宣称对医疗技术公司Stryker发起了一次破坏性网络攻击。

该组织声称已清除超过20万台服务器、移动设备及其他系统，迫使公司关闭了遍布79个国家的办事处。黑客行动者还声称他们从公司基础设施中窃取了约50TB的企业数据。

据《安全周刊》报道，汉达拉看似一个亲巴勒斯坦的黑客行动组织，但被广泛视为伊朗支持的虚空曼提科尔的幌子。他们以钓鱼、数据盗窃、敲诈和破坏性擦除攻击闻名，同时还参与信息行动和心理战。自伊朗冲突爆发以来，他们一直针对以色列军方服务器、情报人员和公司进行窃取或清除数据。

Stryker Corporation是一家总部位于美国的领先医疗技术公司，开发和制造医院中使用的设备和设备，包括外科工具、骨科植入物、医学影像系统和医院床位。它是全球最大的医疗器械制造商之一。Stryker 2024年全球销售额为226亿美元，员工超过53,000人。

该组织表示，这次攻击“只是网络战争新篇章的开始。”

美国网络安全与基础设施安全局（CISA）在其已知被利用漏洞目录中新增了Wing FTP服务器的一个漏洞。

美国网络安全和基础设施安全局（CISA）在其已知被利用漏洞（KEV）目录中新增了Wing FTP服务器漏洞，编号CVE-2025-47813（CVSS评分4.3）。

CVE-2025-47813 是一个信息披露漏洞，影响 Wing FTP 服务器 7.4.4 之前的版本。问题出现在网页认证过程中。loginok.html

“在 7.4.4 之前的 Wing FTP Server 中，loginok.html 在使用 UID cookie 中长值时会披露应用程序的完整本地安装路径。”公告上写着。

当攻击者发送过长的 UID cookie，触发错误的输入处理，导致服务器返回错误，暴露完整的本地安装路径时，就会出现该漏洞。虽然泄露不支持远程代码执行，但泄露了文件系统细节，有助于侦察并促进后续攻击，如基于路径的利用或文件包含尝试。

根据《约束性运营指令》（BOD）22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录漏洞的攻击。

专家还建议私营组织审查目录，解决其基础设施中的漏洞。

CISA命令联邦机构在2026年3月30日前修复该漏洞。

与俄罗斯关联的威胁行为者通过DRILLAPP后门攻击乌克兰实体，并利用Edge调试进行隐蔽。
一项新的DRILLAPP后门活动针对乌克兰组织，利用Microsoft Edge调试来规避检测。该视频于2026年2月观察到，显示与Laundry Bear APT组织（又名UAC-0190，Void Blizzard）此前与俄罗斯关联的行动有关，该组织利用PLUGGYAPE恶意软件家族针对乌克兰国防军，显示出持续的间谍活动。

“观察到与CERT-UA一月份报道的洗衣熊运动共享的某些战术，导致该活动被低信度归因于该组织。这些包括使用慈善主题的诱饵，或在公共文本共享服务上托管操作性文物。“S2集团情报团队LAB52发布的报告如是写道。

第一个DRILLAPP变体于二月初出现，通过LNK文件在临时文件夹中创建HTML文件传播，并从 pastefy.app 加载混淆脚本。诱饵从Starlink安装图片到“活着回来”慈善请求应有尽有。

前BND副总统阿恩特·弗赖塔格·冯·洛林霍芬成为Signal网络攻击的目标，这是针对德国官员和政治家的一波攻击的一部分。

针对Signal和WhatsApp用户的网络攻击袭击了包括前BND副总裁阿恩特·弗赖塔格·冯·洛林霍芬在内的德国高级官员。该官员报告称有人冒充Signal客服联系，要求提供密码。此事件凸显了针对安全机构和政治职位敏感人员的更广泛网络间谍行动。

“他远非全球针对Signal和WhatsApp用户账户攻击浪潮的唯一显著受害者。据《明镜周刊》报道，德国高级政治家已向当局报告自己是受害者，安全机构的活跃官员也遭到袭击。”这是《明镜》发表的报告。早在二月份，联邦宪法保护局（BfV）和联邦信息安全局（BSI）将此次攻击归类为“安全相关”，并敦促受影响者站出来举报。BfV表示，这一警告引起了“高度反响”，他们相信这避免了更严重的损害。”

德国当局警告Signal用户注意可疑迹象，如“配对设备”下显示的未知设备或出现意外的重新注册提示。

在前BND官员Arndt Freytag von Loringhoven的案例中，攻击者利用他被攻破的账户向联系人发送了恶意链接。他迅速警告他们不要打开，并删除了自己的账号。调查人员认为，该事件是与俄罗斯相关的持续混合行动的一部分。鉴于洛林霍芬对俄罗斯混合战争的研究以及他的著作《普京对德国的攻击》，他很可能被视为高价值目标。

“Signal表示，最近的事件是针对性的钓鱼攻击，攻击者得以劫持官员和记者的账户。公司强调其加密和基础设施未被攻破，且依然安全。”Signal在X上写道：“我们了解到最近有针对性的钓鱼攻击报告，导致部分Signal用户，包括政府官员和记者被账户接管。我们非常重视这件事。需要明确的是：Signal的加密和基础设施未被攻破，依然坚固。”

联邦调查局正在呼吁在2024年5月至2026年1月期间安装了受恶意软件感染的Steam游戏的玩家站出来，作为正在进行的调查的一部分。
联邦调查局正在寻找那些后来下载了Steam游戏并发现含有恶意软件的玩家。根据联邦调查局西雅图分局的通知，调查人员正试图识别在2024年5月至2026年1月期间，作为持续调查的一部分，在该平台上安装了八个恶意游戏之一的受害者。

“联邦调查局西雅图分局正在寻找安装嵌入恶意软件的Steam游戏的潜在受害者。联邦调查局认为，该威胁行为者主要针对的是2024年5月至2026年1月期间的用户。调查中，已确认多款游戏，包括BlockBlasters、Chemia、Dashverse/DashFPS、Lampy、Lunara、PirateFi和Tokenova。“联邦调查局发布的通知中写道。

“如果您和/或您的未成年受抚养人因安装这些游戏而受害，或掌握与本调查相关的信息，请填写这份简短表格。”

联邦调查局必须识别联邦犯罪的受害者;回应是自愿的，但有助于调查、赔偿和服务。受害者身份仍保密。

“联邦调查局依法有义务识别其调查的联邦犯罪受害者。受害者可能有资格获得某些服务、赔偿以及联邦和/或州法律下的权利。您的回复是自愿的，但可能对联邦调查和识别您为潜在受害者有所帮助。“通知继续写道。“根据所提供的回复，联邦调查局可能会联系您，要求您提供更多信息。所有受害者身份将被保密。”

FBI的问卷重点关注与隐藏在Steam游戏中的恶意软件相关的加密货币盗窃和账户劫持案件。受害者被询问账户被盗、加密货币交易和资金被盗的情况，并要求与推广这些游戏的人分享通讯截图。该局表示，法律要求确认受害者身份，可能促成赔偿，并补充说所有身份将保持保密。

Android 17 将阻止非无障碍应用在高级保护模式下使用 Accessibility API，以减少恶意软件滥用。

Android 17引入了高级保护模式（AAPM）中的一项新安全功能，阻止没有无障碍功能的应用访问无障碍API。该变更最早由Android Authority报道，并收录于Android 17 Beta 2中，旨在防止恶意软件滥用这些服务来监视用户、窃取数据或控制设备。

AccessibilityService API 允许应用深度交互 Android 界面，帮助残障人士导航和控制设备。为无障碍设计的应用可以声明该属性，并且免于某些披露要求。isAccessibilityTool

然而，这种强大的访问权限过去曾被恶意软件滥用。恶意应用利用该API读取屏幕内容、捕获键盘、自动点击按钮、自我授予权限，并窃取如银行凭证等敏感数据。由于它能控制界面，攻击者利用它进行欺诈、安装额外恶意软件并绕过安全提示。

新功能增加了更严格的安全设置，包括阻止来自未知来源的应用安装、限制USB数据访问，以及要求Google Play Protect扫描。更新还限制了无障碍服务API的使用，只允许带有该标志的经过验证的无障碍工具使用。开发者可以通过 AdvancedProtectionManager API 检测该模式是否启用，并对应用进行更强的安全控制。isAccessibilityTool="true"

“AAPM作为一种选择加入的功能，通过一个配置设置激活，用户可以随时开启，以套用一套独特的安全保护措施。这些核心配置包括阻止未知来源的应用安装（侧载）、限制USB数据信号传输，以及强制Google Play Protect扫描，从而大幅减少设备的攻击面。”谷歌的公告中写道。“开发者可以通过AdvancedProtectionManager API集成该功能，检测该模式的状态，使应用程序能够自动采用更强的安全态势，或在用户选择加入时限制高风险功能。”

据谷歌称，只有屏幕阅读器、切换输入系统、语音输入工具和盲文辅助应用等工具符合无障碍工具资格。其他应用，比如杀毒软件、自动化工具、助手、清理工具、密码管理器和启动器，则不支持。

Android 17还引入了新的联系人选择器，允许应用仅请求访问特定的联系人字段，如电话号码或电子邮件地址，或允许用户与第三方应用共享选定联系人。据谷歌介绍，这一功能通过限制数据访问提升隐私，同时内置搜索、个人资料切换和多重选择功能，无需开发者自行构建界面。

“Android联系人选择器是一个标准化、可浏览的用户界面，方便用户与你的应用共享联系人。该选择器适用于运行Android 17及更高版本的设备，提供了一种保护隐私的替代方案，替代广泛的READ_CONTACTS权限。你的应用不会请求访问用户的全部通讯录，而是指定所需的数据字段，比如电话号码或电子邮件地址，用户选择特定联系人分享。”谷歌表示。“这赋予你的应用只对所选数据的读权限，确保细致控制，同时通过内置搜索、档案切换和多选功能，提供一致的用户体验，无需构建或维护界面。”

Qualys的研究人员在Linux内核的AppArmor模块中披露了九个漏洞，统称为CrackArmor。

这些漏洞自2017年起存在，可能允许无权限用户绕过保护、升级权限以获取root权限、在内核中运行代码，或引发拒绝服务（D.S.W.）状况。

AppArmor 是一个 Linux 安全模块，通过执行严格的行为规则来保护操作系统和应用程序，以阻挡已知和未知的威胁，包括零日攻击。它为传统的Unix自由访问模式增加了强制访问控制，自2.6.36版本起成为Linux内核的一部分，Canonical自2009年起支持开发。

由于AppArmor广泛部署于企业系统、云平台、容器和物联网环境中，该问题可能影响超过1260万台Linux系统。

研究人员开发了概念验证漏洞，但未公开发布以降低风险。

目前尚未分配任何CVE标识符，但强烈建议安全团队立即对Linux内核进行修补，因为更新是降低风险的唯一可靠途径。

CrackArmor的缺陷暴露了一个混乱的副手问题，允许无权限用户操作AppArmor安全配置文件，绕过命名空间限制，并在Linux内核中运行代码。攻击者可以通过与 Sudo 和 Postfix 等工具交互，升级 root 权限，触发拒绝服务攻击，并绕过内核地址空间布局随机化保护。这些发现凸显了默认安全假设中的严重弱点，可能影响系统的机密性、完整性和可用性。

“这条'CrackArmor'公告暴露了一个混乱副手漏洞，允许无权限用户通过伪文件操控安全配置文件，绕过用户命名空间限制，并在内核内执行任意代码。”报告中写道。“这些缺陷通过与Sudo和Postfix等工具的复杂交互，促进了本地权限升级至根源，同时通过堆栈耗尽和内核地址空间布局随机化（KASLR）绕过越界读段进行的拒绝服务攻击。”

AppArmor 中的 CrackArmor 缺陷允许非特权用户通过加载“拒绝所有”配置文件或删除嵌套子配置文件触发拒绝服务，导致内核恐慌并强制重启。由于 Ubuntu、Debian 和 SUSE 默认启用了 AppArmor，云、Kubernetes 和边缘系统都面临风险。这些漏洞可能被国家支持的黑客利用，因此立即修补和监控内核变得至关重要。

Payload 勒索软件组织声称入侵了巴林皇家医院（RBH），窃取了110GB的数据。勒索软件团伙将该医疗机构添加到其Tor数据泄露网站，并发布了据称被黑系统的图像作为攻击证据。

该组织威胁如果3月23日前未支付赎金，将公开被盗数据。

星巴克披露了一起漏洞事件，此前其员工门户遭遇钓鱼攻击，导致Partner Central账户被未经授权访问，员工数据被泄露。

星巴克报告称，网络钓鱼攻击针对其Partner Central员工门户，导致数百名员工数据泄露。安全漏洞于2月6日被发现，涉及未经授权访问员工账户，可能暴露系统中存储的个人信息。

“大约在2026年2月6日，星巴克公司（”星巴克“或”我们“）获悉可能未经授权访问某些星巴克合作伙伴中心账户。星巴克得知此事后，立即展开调查，并采取措施评估并控制事件。在这些努力中，我们聘请了顶尖专家，并通知了部分执法部门。“这是与缅因州总检察长办公室分享的数据泄露通知信中写道。“调查确定，未经授权的第三方在通过冒充Partner Central的网站获取登录凭证后，访问了部分星巴克合作伙伴中心账户。根据这些账户中可查看的信息类型，您的一些个人信息可能受到了影响。”

根据泄露通知，星巴克员工账户的未经授权访问发生在1月19日至2月11日之间。该事件影响了近900名员工（889人）。

被泄露的数据包括员工信息，如姓名、社会保障号码、出生日期以及银行账户和路由号码。公司启动调查，通知执法部门，并加强了对Partner Central账户的安全控制。为支持受影响个人，星巴克通过Experian IdentityWorks提供为期24个月的身份保护和恢复服务，包括身份盗窃检测和恢复协助。

与Storm-2561相关的攻击者利用带有SEO污染的搜索结果，诱骗用户访问假冒的Ivanti、Cisco和Fortinet VPN网站，窃取企业登录凭证。

2026年1月中旬，Microsoft Defender Experts 发现了一起归因于 Storm-2561 的凭证盗窃活动。威胁行为者正在传播冒充Ivanti、Cisco和Fortinet软件的假企业VPN客户端。通过毒害搜索引擎结果，比如“Pulse Secure client”或“Pulse VPN download”，攻击者将用户重定向到可信的伪造厂商网站。

搜索合法软件的用户会被重定向到托管在GitHub上的恶意ZIP压缩包，里面包含冒充可信VPN工具并窃取登录凭证的木马化安装程序。该组织自2025年5月起活跃，经常模仿知名软件厂商以赢得信任并提高感染率。该活动中的恶意软件通过数字签名，持有合法证书，后来被撤销。

“在这场活动中，搜索合法VPN软件的用户会被重定向到伪造的网站，这些网站非常模仿可信的VPN产品，但实际上部署了旨在收集凭证和VPN数据的恶意软件。”Microsoft发布的报告如是写道。“当用户点击下载软件时，他们会被重定向到一个恶意的GitHub仓库（现已不可用），该仓库托管了虚假VPN客户端供直接下载。”