AryStinger僵尸网络入侵四千余台老旧路由器
发布时间 2026-06-236月21日,网络安全研究团队千信XLab近日披露了一个此前未被记录的恶意软件僵尸网络AryStinger。该恶意软件已成功入侵超过4000台过时的路由器,将其转变为远程控制的“执行器”,用于代理恶意流量、执行扫描、隧道通信及命令运行等操作。攻击者利用分布式设计,将大规模扫描任务拆分为多个小块,分发给不同执行器并行执行,从而高效完成早期“足迹收集”,为后续深入入侵奠定基础。更危险的是,AryStinger不仅能利用被控设备作为跳板,还能篡改DNS设置,劫持用户浏览活动,并静默监控甚至窃取所有入站和出站网络流量,对用户隐私和网络安全构成严重威胁。该恶意软件主要利用CVE-2013-3307、CVE-2016-5681和CVE-2025-11837等较早漏洞,重点针对D-Link DIR-850L和DIR-818LW两款已停产的路由器型号,这两款设备此前也曾是AVrecon僵尸网络的攻击目标。XLab研究人员发现了AryStinger的两个变种:基于C语言的版本主要针对老旧路由器,而基于Go语言的版本则专注于网络附加存储(NAS)系统。
https://www.bleepingcomputer.com/news/security/arystinger-botnet-infected-thousands-of-d-link-routers-worldwide/
2. 微软确认Sapphire Sleet主导Mastra AI供应链攻击
6月20日,微软近日正式将一起波及140余个npm软件包的大规模供应链攻击事件,归咎于朝鲜国家支持的黑客组织Sapphire Sleet(又名BlueNoroff)。据微软披露,攻击始于一名称作“ehindero”的npm维护者账户被攻破,该账户拥有对@mastra作用域内软件包的发布权限。攻击者利用此权限批量发布了超过140个恶意更新版本,并在其中注入了一个名为“easy-day-js”的依赖项。一旦开发者安装被感染的包,恶意依赖项便会触发安装后钩子,执行一段混淆的投递脚本,该脚本首先禁用传输层安全(TLS)证书验证,随后连接至攻击者控制的命令与控制(C2)服务器,下载并执行第二阶段的有效载荷,且以分离的隐藏进程运行以规避检测。第二阶段的有效载荷被确认为一款功能强大的跨平台信息窃取程序,专门针对Windows、Linux和macOS系统。该程序会全面收集主机信息、浏览器历史记录、已安装应用程序和正在运行的进程,并重点扫描166种加密货币钱包浏览器扩展。为实现持久驻留,恶意软件根据不同操作系统部署了相应的自启动机制。
https://www.bleepingcomputer.com/news/security/microsoft-links-mastra-ai-supply-chain-attack-to-north-korean-hackers/
3. 得州政府数据泄露波及超300万驾照持有者
6月21日,美国得克萨斯州公园与野生动物管理局(TPWD)近日披露一起重大数据泄露事件,因外部许可证系统供应商遭未授权访问,导致超过308万名狩猎及钓鱼许可证持有者的个人信息暴露。此次入侵由得州网络司令部率先发现并展开调查,确认社保号码、出生日期及信用卡等财务数据未受影响,但攻击者可能获取了多达3,087,721名客户的驾照信息、护照号码、电子邮箱、电话号码及住宅地址。TPWD强调,暂无证据表明18岁以下未成年人或特定群体被针对,但暴露的敏感身份信息仍为后续网络钓鱼、冒充诈骗及恶意软件投递提供了可乘之机。该事件源于TPWD通过外部供应商发放许可证,而漏洞发生在供应商关联的许可证系统环境中。事发后,TPWD正与供应商密切合作,实施新的安全防护措施并加强监控服务,同时为受影响个人提供为期一年的免费信用监控。官方建议用户定期核查信用报告和财务账单,考虑设置信用冻结或欺诈警报,并对钓鱼邮件和冒充行为保持警惕。
https://securityboulevard.com/2026/06/texas-government-data-breach-exposes-over-3-million-drivers-licenses/
4. Splunk Enterprise高危漏洞遭在野利用
6月19日,Splunk Enterprise近日曝出一个编号为CVE-2026-20253的严重安全漏洞,该漏洞在公开披露仅数日后便已遭在野利用。该漏洞CVSS评分为9.8分(高危),影响Splunk Enterprise 10.2.4之前的10.2版本以及10.0.7之前的10.0版本。漏洞根源在于Splunk Enterprise中PostgreSQL Sidecar Service的备份与恢复端点缺乏身份认证控制。任何能够通过网络访问该服务的未经身份验证的攻击者,均可无需凭据直接调用文件操作,创建或截断任意文件。该漏洞的威胁远不止于文件操作。网络安全公司WatchTowr在漏洞公开两天后(6月12日)发布了详细的技术分析和概念验证(PoC)代码,证实攻击者可通过链式利用实现未经身份验证的远程代码执行(RCE)。Splunk已于6月18日确认该漏洞已遭有限在野利用。美国网络安全与基础设施安全局(CISA)已于同日将该漏洞纳入已知已利用漏洞(KEV)目录,并要求联邦民用机构在6月21日前完成修复。
https://www.securityweek.com/splunk-enterprise-vulnerability-exploited-in-attacks-days-after-disclosure/
5. Icarus利用Klue漏洞,窃取多家客户Salesforce数据
6月19日,市场情报平台Klue近日公开确认了一起安全事件,攻击者窃取了用于连接客户Salesforce环境的OAuth令牌,并以此访问了多家客户环境中的数据。Klue首席执行官在声明中表示,公司于6月12日发现影响部分集成基础设施的未授权活动,随即联合网络安全专家展开调查,同时支持客户并恢复受影响的连接。调查确定,攻击者通过一个与集成服务相关的已泄露的旧凭据获得访问权限,进而获取了用于连接Klue与第三方平台(包括Salesforce)的OAuth令牌,随后访问了多个已连接客户环境中的数据。目前尚无证据表明Klue平台内部直接存储的客户内容受到影响,事件仅限于第三方集成范围。Klue已立即撤销受影响的凭据和令牌、删除未授权代码、禁用受影响的集成、启动调查并通知执法部门,同时聘请CrowdStrike协助应急响应。与此同时,Icarus组织在其数据泄露网站上公开宣称对此次攻击负责,声称已从Klue的多家合作伙伴公司中窃取了Salesforce实例数据,并威胁受影响方通过Session即时通讯平台联系,以防止数据被公开泄露。
https://www.bleepingcomputer.com/news/security/klue-oauth-breach-victim-list-grows-as-icarus-hackers-claim-attack/
6. Gravity SMTP漏洞遭大规模利用,攻击超1700万次
6月19日,WordPress安全公司Defiant近日发出警告,黑客正在积极利用Gravity SMTP插件中的一个未授权信息泄露漏洞(CVE-2026-4020)。该插件活跃于10万个网站,漏洞影响2.1.4及更早版本,已于3月17日发布的2.1.5版本中修复。该漏洞源于插件暴露的REST API端点/wp-json/gravitysmtp/v1/tests/mock-data,其permission_callback始终返回true,导致未经身份验证的攻击者可通过GET请求获取插件生成的完整JSON格式“系统报告”。虽然该漏洞被评级为“中危”,但暴露的信息极为敏感,包括:配置邮件集成的API密钥、密钥和OAuth令牌;第三方邮件服务(如Amazon SES、Google、Mailjet、Resend、Zoho)的凭据;WordPress配置详情(已安装插件、主题及版本);服务器和PHP环境信息;数据库配置(版本及表名)等。攻击者利用这些凭据可冒充受害者访问第三方邮件服务,同时通过详细的系统报告轻松掌握网站软件栈,为后续定向攻击奠定基础。Defiant旗下Wordfence防火墙已拦截超过1700万次针对受保护客户的攻击尝试。攻击活动于6月7日达到高峰,当日单日拦截请求达400万次,随后数日持续有大量攻击记录。
https://www.bleepingcomputer.com/news/security/hackers-exploit-info-disclosure-bug-in-gravity-smtp-wordpress-plugin/
京公网安备11010802024551号