Schemata API漏洞泄露军事训练资料与用户数据
发布时间 2026-05-081. Schemata API漏洞泄露军事训练资料与用户数据
5月6日,据开源自主安全测试项目Strix发布的报告,一家与美国国防部签订了价值340万美元合同的国防技术公司Schemata,因其API端点缺乏有效的授权检查,泄露了用户记录和军事训练材料。此次安全漏洞影响了Schemata公司开发的AI驱动型虚拟训练平台,该平台主要用于军事和国防领域。Strix公司称,一个普通的低权限账户即可访问多个租户的数据,包括用户列表、组织记录、课程信息、训练元数据以及指向托管在AWS实例上的文档的直接链接。泄露的资料包括面向海军维修人员的3D虚拟训练课程、包含陆军爆炸物处理和战术部署野战手册的课程,以及数百条与基地和训练注册相关的用户记录,此外还涉及姓名、电子邮件地址及美国军人驻扎的军事基地信息。此次漏洞利用并不复杂:研究人员使用低权限账户监控正常浏览器流量,识别应用程序暴露的API端点,随后在同一会话中请求高价值数据,这些请求成功返回了该账户所在组织外部的记录,表明API未能正确执行租户边界或用户权限控制。Schemata承认受影响的端点于5月1日得到修复。
https://cyberscoop.com/schemata-dod-contractor-api-flaw-military-data-exposure/
2. ShinyHunters再袭Instructure,篡改Canvas门户
5月7日,勒索团伙ShinyHunters近期再次攻陷教育技术巨头Instructure,利用系统漏洞篡改了数百所学院和大学使用的Canvas学习管理系统登录门户。此次篡改持续约30分钟后被撤下,期间攻击者在登录页面上发布勒索信息,声称对之前的数据泄露事件负责,并威胁称若不在2026年5月12日结束前支付赎金,将公开所有被盗数据。信息中指责Instructure未主动联系解决问题,反而仅做了“安全补丁”,同时建议受影响学校通过网络安全咨询公司联系攻击者协商。据报道,约330所教育机构的Canvas门户被替换为标准勒索页面,甚至出现在Canvas应用程序中。为此,Instructure已紧急下线Canvas网站以应对攻击。此前一周,Instructure刚披露一起网络攻击,ShinyHunters声称已通过Canvas数据导出功能和API窃取了涉及8809所学校、大学和教育平台的2.8亿条学生与教职工记录,包括用户信息、私人消息及注册数据等。Instructure虽证实数据被盗,但仍在调查中。
https://www.bleepingcomputer.com/news/security/canvas-login-portals-hacked-in-mass-shinyhunters-extortion-campaign/
3. 木马TCLBanker借罗技软件蠕虫式传播
5月7日,网络安全研究人员发现了一种名为TCLBanker的新型银行木马,它以59家银行、金融科技及加密货币平台为目标,利用被植入恶意代码的Logitech AI Prompt Builder MSI安装程序进行传播。据分析,TCLBanker被认为是早期Maverick/Sorvepotel恶意软件家族的重大演变。目前,它主要针对巴西用户,通过检查时区、键盘布局和语言区域来筛选目标。在功能上,TCLBanker具备极强的抗分析与调试能力。其银行模块利用Windows UI自动化API每秒监控一次浏览器地址栏,一旦发现受害者打开59个目标平台之一,便立即与C2服务器建立WebSocket会话,并将受害者和系统信息发送出去。最值得关注的是其蠕虫式传播能力:该木马会搜索Chromium浏览器中已认证的WhatsApp Web数据,启动隐藏的Chromium实例劫持受害者账号,筛选巴西号码后向其发送恶意链接;同时,它还能通过COM自动化滥用Microsoft Outlook,从受害者邮箱向联系人发送钓鱼邮件。
https://www.bleepingcomputer.com/news/security/new-tclbanker-malware-self-spreads-over-whatsapp-and-outlook/
4. 恶意框架PCPJack:窃取凭证并清除对手
5月7日,网络安全公司SentinelLabs发现了一种名为PCPJack的新型恶意软件框架,其目标直指暴露的云基础设施,旨在大规模窃取各类凭证并可能通过金融欺诈、垃圾邮件、凭证转售或勒索获利。该框架攻击的服务包括Docker、Kubernetes、Redis、MongoDB、RayML以及存在漏洞的Web应用程序,并且在许多情况下会在网络中进行横向移动。PCPJack的一个显著特点是,在感染系统后,它会主动搜索并彻底移除另一个以云为攻击目标的威胁组织TeamPCP的工具、进程、容器、文件和持久性工件,从而确保自身对入侵系统的独占控制。该框架的核心功能围绕凭证窃取展开,目标涵盖云环境、开发者系统、即时通讯应用、金融服务、数据库、SSH密钥、Slack令牌、WordPress配置、OpenAI与Anthropic密钥、Discord、DigitalOcean等。在被入侵的环境内部,PCPJack通过收集SSH密钥和凭据、枚举Kubernetes集群与Docker守护程序,并在可访问的内部主机上自我复制来实现横向移动。
https://www.bleepingcomputer.com/news/security/new-pcpjack-worm-steals-credentials-cleans-teampcp-infections/
5. Ivanti警告EPMM高危零日漏洞正被利用
5月7日,Ivanti近日向客户发出紧急警告,要求修复Endpoint Manager Mobile(EPMM)中的一个高危远程代码执行漏洞(CVE-2026-6973),该漏洞已被有限的零日攻击所利用。此漏洞源于输入验证不当,允许具有管理员权限的远程攻击者在运行EPMM 12.8.0.0及更早版本的系统上执行任意代码。为缓解风险,Ivanti建议客户安装12.6.1.1、12.7.0.1和12.8.0.1版本,并检查具有管理员权限的账户,必要时轮换凭据。Ivanti强调,该漏洞仅影响本地部署的EPMM产品,其云解决方案及其他产品均不受影响。据Shadowserver监测,目前有超过850个Ivanti EPMM的IP地址在线暴露,主要集中在欧洲和北美,但尚不清楚有多少已得到修复。同一天,Ivanti还修复了另外四个高危EPMM漏洞(CVE-2026-5786、CVE-2026-5787、CVE-2026-5788和CVE-2026-7821),这些漏洞可能允许攻击者获得管理员权限、冒充Sentry主机获取有效证书等,但目前尚无证据表明它们已被在实际攻击中利用。
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-epmm-flaw-exploited-in-zero-day-attacks/
6. 警惕虚假Claude网站分发Beagle后门
5月7日,网络安全研究人员发现,一个假冒的Claude AI网站正在传播一种名为Beagle的此前未知的Windows后门程序。该虚假网站将恶意软件包装成“Claude-Pro Relay”服务,宣称是“专为Claude-Code开发者设计的高性能中继服务”,并通过模仿合法Claude网站的颜色和字体来欺骗用户。然而,其链接实际无法正常跳转。用户访问“claude-pro[.]com”后,会被诱导点击大型下载按钮,获取一个名为“Claude-Pro-windows-x64.zip”的505MB压缩包,其中包含一个MSI安装程序。该攻击活动最初由Malwarebytes发现,其研究人员指出,该“Pro”安装程序是Claude的木马化副本,在正常运行的同时会在后台部署PlugX恶意软件链,使攻击者能远程访问系统。Sophos公司进一步分析后发现,第一阶段的有效载荷为DonutLoader,它会加载一个相对简单的后门Beagle。Beagle支持有限的命令集,包括卸载代理、执行命令、上传和下载文件、创建和重命名目录、列出目录内容以及删除目录等功能。
https://www.bleepingcomputer.com/news/security/fake-claude-ai-website-delivers-new-beagle-windows-malware/
京公网安备11010802024551号