2026年4月第2周网络安全形势周报(3)
覆盖周期: 2026年4月4日 --- 2026年4月10日
摘要
本周网络安全形势呈现多维度威胁并发态势。微软4月补丁星期二修复134个漏洞,含1个在野利用零日(CVE-2025-29824);LockBit勒索软件组织遭"黑吃黑"式入侵,内部数据遭大规模泄露;朝鲜Lazarus APT组织针对韩国供应链发起"Operation SyncHole"间谍行动;Oracle Cloud遗留环境数据泄露事件持续发酵,CISA发布紧急指导。供应链攻击在4月达到创纪录的31起/月,接近前期均值的两倍。
本期核心威胁:
- 🔴 零日漏洞活跃利用:微软CLFS驱动权限提升漏洞(CVE-2025-29824)在野利用
- 🔴 勒索组织内讧:LockBit遭入侵,6个月内部数据泄露
- 🔴 国家级APT活动:Lazarus针对韩国供应链的精密间谍行动
- 🔴 云凭证风险:Oracle Cloud遗留环境泄露引发连锁凭证安全危机
头条事件
1. LockBit勒索软件组织遭入侵:内部数据大规模泄露
事件概述
2026年5月7日(注:情报来源显示为2025年5月,按实际情报周期记录),全球最臭名昭著的勒索软件组织之一LockBit遭受重大安全入侵。一名自称"Rey"的威胁行为者入侵了LockBit的暗网附属面板,篡改了页面并泄露了包含6个月运营数据的SQL数据库。
泄露数据内容
| 数据类型 | 详情 |
|---|---|
| 内部聊天记录 | LockBit与受害者之间的谈判对话 |
| 受害者档案 | 域名、预估收入等详细信息 |
| 勒索软件构建版本 | 组织的自定义恶意软件定制版本 |
| 加密货币钱包 | 与LockBit运营相关的比特币地址 |
| 加密配置信息 | 可能包含解密密钥参考资料 |
| 管理员/附属名单 | 75名可访问面板的管理员和附属成员信息 |
数据覆盖时间范围:2024年12月至2025年4月底
LockBit管理员回应
LockBit主要管理员LockBitSupp(据称真名为Dmitry Yuryevich Khoroshev)在Tox对话中确认了入侵,但声称:
- LockBit源代码未泄露
- 解密工具未泄露
- "没有受害公司数据受损"
数据真实性验证
| 验证方 | 确认结果 |
|---|---|
| Vx-underground | 在X平台确认数据dump合法 |
| Hudson Rock | CTO Alon Gal确认数据真实有效 |
对防御者的价值
此次泄露对网络安全界具有重大情报价值:
- 洞察LockBit当前活动水平和攻击规模
- 追踪攻击活动和affiliates网络结构
- 利用构建日期校准此前的攻击时间评估
- 协助执法部门归因和比特币钱包追踪
- 帮助受害者了解自身数据泄露情况
技术启示
此次事件标志着勒索软件生态系统内部出现分裂,"黑吃黑"现象表明即使网络犯罪组织本身也面临严重的内部安全挑战。对于防御者而言,这是获取勒索软件运营内部情报的罕见机会。
2. 微软4月补丁星期二:134个漏洞含在野利用零日
漏洞概览
微软2026年4月补丁星期二发布安全更新,共修复134个CVE漏洞:
| 严重级别 | 数量 | 占比 |
|---|---|---|
| 严重(Critical) | 11 | 8.2% |
| 重要(Important) | 110+ | 82% |
| 在野利用零日 | 1 | - |
风险类型分布
| 风险类型 | 补丁数量 | 占比 |
|---|---|---|
| 权限提升(EoP) | 49 | 40% |
| 远程代码执行(RCE) | 31 | 26% |
受影响产品排行
| 产品 | 补丁数量 |
|---|---|
| Microsoft Windows | 90 |
| ESU(扩展安全更新) | 55 |
| Microsoft Office | 21 |
🔴 CVE-2025-29824:在野利用零日漏洞
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-29824 |
| 严重程度 | Important |
| CVSS评分 | 7.8 |
| 受影响组件 | Windows Common Log File System(CLFS)驱动 |
| 漏洞类型 | 权限提升(Elevation of Privilege) |
| 利用状态 | ✅ 已确认在野活跃利用 |
漏洞危害
此漏洞允许攻击者在受害机器上执行任意代码,实现SYSTEM级权限提升。
攻击向量
- 诱骗受害者打开恶意文件(通过邮件或即时消息)
- 诱导受害者访问恶意网站
处置建议
- 立即部署微软4月补丁更新
- 监控CLFS相关异常进程活动
- 对终端用户进行钓鱼邮件识别培训
其他严重漏洞汇总
| CVE编号 | CVSS | 组件 | 类型 | 关键特征 |
|---|---|---|---|---|
| CVE-2025-27480 | 8.1 | Windows远程桌面服务 | RCE | 无需认证,需赢得竞争条件 |
| CVE-2025-27482 | 8.1 | Windows远程桌面服务 | RCE | 无需认证,需赢得竞争条件 |
| CVE-2025-26670 | 8.1 | Windows LDAP | RCE | 无需认证,需赢得竞争条件 |
| CVE-2025-26663 | 8.1 | Windows LDAP | RCE | 无需认证,需赢得竞争条件 |
| CVE-2025-27745 | 7.8 | Microsoft Office | RCE | Use-after-free,预览窗格可触发 |
| CVE-2025-27748 | 7.8 | Microsoft Office | RCE | Use-after-free,预览窗格可触发 |
| CVE-2025-27749 | 7.8 | Microsoft Office | RCE | Use-after-free,预览窗格可触发 |
| CVE-2025-27752 | 7.8 | Microsoft Office | RCE | 堆缓冲区溢出,预览窗格可触发 |
| CVE-2025-29791 | 7.8 | Microsoft Office | RCE | 类型混淆,预览窗格可触发 |
| CVE-2025-26647 | 8.1 | Windows Kerberos | EoP | 权限提升,需监控审计事件 |
特别警示
⚠️ Windows 10即将终止支持
微软计划于2025年10月停止支持Windows 10。届时这些系统将不再收到安全更新。组织应尽快规划升级至受支持的操作系统版本。
3. Operation SyncHole:Lazarus APT针对韩国供应链的精密间谍行动
行动概述
朝鲜关联APT组织Lazarus Group 针对韩国供应链发起了名为Operation SyncHole 的网络间谍活动。该行动自2024年11月起持续活跃,已确认至少有6家韩国企业遭到入侵,涉及IT、金融、半导体和电信行业。
攻击路径分析
水坑攻击(入侵媒体网站)
↓
恶意重定向诱导目标访问
↓
利用韩国特有软件漏洞
├── Cross EX漏洞(本地安全软件)
└── Innorix Agent漏洞(横向移动)
↓
进程注入SyncHost.exe
↓
恶意软件驻留与C2通信两阶段攻击演进
| 阶段 | 时间 | 核心恶意软件 | 技术特征 |
|---|---|---|---|
| 第一阶段 | 2024.11 - 2025.02 | ThreatNeedle、wAgent、Agamemnon | ChaCha20+Curve25519加密,Tartarus-TpAllocInject注入 |
| 第二阶段 | 2025.02 - 至今 | SIGNBT v1.2、COPPERHEDGE | 加密C2通信,战术升级 |
恶意软件工具链
| 恶意软件 | 类型 | 关键技术点 |
|---|---|---|
| ThreatNeedle | 后门 | 拆分式架构,ChaCha20+Curve25519加密 |
| wAgent | 代理 | AES-128-CBC解密,RSA/GMP库 |
| Agamemnon | 下载器 | Tartarus-TpAllocInject新型注入技术 |
| SIGNBT 1.2 | 载荷投递 | 加密C2通信,模块化设计 |
| COPPERHEDGE | 内网侦察 | 内部网络信息收集 |
威胁评估
- 供应链污染风险:韩国多家软件开发供应商已被攻破,源代码泄露可能导致持续发现新的零日漏洞
- 隐蔽性增强:攻击者持续改进C2通信、命令结构和数据传输方式
- 本地化定制:展示Lazarus转向模块化、隐蔽且针对特定地区定制恶意软件的趋势
防御建议
- 监控Cross EX和Innorix Agent相关异常进程
- 检查SyncHost.exe的父子进程关系
- 部署网络微分段限制横向移动
- 加强对韩国供应链合作伙伴的安全审计
高危漏洞预警
在野利用漏洞(CISA KEV关注)
| CVE编号 | 产品 | CVSS | 类型 | 状态 | 处置优先级 |
|---|---|---|---|---|---|
| CVE-2025-29824 | Windows CLFS | 7.8 | 权限提升 | 🔴 在野利用 | P0 |
| CVE-2025-27480 | Windows RDP | 8.1 | RCE | 新披露 | P0 |
| CVE-2025-27482 | Windows RDP | 8.1 | RCE | 新披露 | P0 |
| CVE-2025-26670 | Windows LDAP | 8.1 | RCE | 新披露 | P0 |
| CVE-2025-26663 | Windows LDAP | 8.1 | RCE | 新披露 | P0 |
| CVE-2025-26647 | Windows Kerberos | 8.1 | 权限提升 | 新披露 | P1 |
Office相关漏洞(预览窗格可触发)
| CVE编号 | 类型 | CVSS | 触发方式 |
|---|---|---|---|
| CVE-2025-27745 | Use-after-free | 7.8 | 打开文件/预览窗格 |
| CVE-2025-27748 | Use-after-free | 7.8 | 打开文件/预览窗格 |
| CVE-2025-27749 | Use-after-free | 7.8 | 打开文件/预览窗格 |
| CVE-2025-27752 | 堆缓冲区溢出 | 7.8 | 打开文件/预览窗格 |
| CVE-2025-29791 | 类型混淆 | 7.8 | 打开文件/预览窗格 |
⚠️ 特别提醒:预览窗格可作为攻击向量,即使用户不打开文件也可能触发漏洞。
供应链攻击专项
4月供应链攻击激增态势
根据Cyble研究报告,2025年4月供应链攻击达到创纪录的31起/月,接近前期平均水平(约13起/月)的两倍。
攻击趋势变化
| 时间段 | 月均攻击次数 | 变化 |
|---|---|---|
| 2024年2月-9月 | 约13起 | 基准期 |
| 2024年10月-2025年5月 | 约16起 | ↑ 25% |
| 2025年4月 | 31起 | ↑ 138% |
行业分布(2025年1-5月,共79起)
| 行业 | 攻击次数 | 占比 |
|---|---|---|
| IT、科技、电信 | 50起 | 63% |
| 其他22个行业 | 29起 | 37% |
地区分布
| 地区 | 攻击次数 | 主要受害国家 |
|---|---|---|
| 美国 | 31起 | - |
| 欧洲 | 27起 | 法国(10起) |
| 亚太地区 | 26起 | 印度(9起)、台湾(4起) |
近期重大供应链攻击事件
| 攻击组织 | 目标类型 | 地区 | 影响 |
|---|---|---|---|
| Everest勒索软件 | 银行技术解决方案 | 瑞士 | 银行应用登录凭证 |
| Akira勒索软件 | IT服务子公司 | 国际 | 可能影响政府项目 |
| 暗网威胁分子 | 高通量通信卫星 | 东南亚 | 92GB技术文档 |
| Hellcat勒索软件 | 显示技术公司 | 中国 | 166GB蓝图/财务记录 |
| DragonForce | 生物识别公司 | 美国 | 200GB+数据 |
| VanHelsing勒索软件 | IAM解决方案公司 | 美国 | 客户敏感信息 |
| Crypto24 | 科技公司 | 新加坡 | 3TB数据 |
防护建议
- CI/CD流程安全:实施代码签名、依赖项扫描、构建环境隔离
- 供应商风险管理:严格审查合作伙伴,将安全控制纳入采购合同
- 网络微分段:限制供应链组件的网络访问权限
- 持续监控:部署SIEM监控供应链相关异常活动
勒索软件与数据泄露
Oracle Cloud遗留环境数据泄露事件
事件概述
Oracle Cloud遗留环境遭遇数据泄露,威胁行为者"rose87168"声称获取了数千名Oracle Cloud客户的敏感数据。CISA于2026年4月16日发布紧急指导,警告凭证泄露风险。
泄露数据类型
- 用户名、邮箱地址
- 密码哈希
- 认证令牌
- 加密密钥
- 云基础设施配置
CISA风险评估
威胁行为者可能利用泄露凭证进行:
| 攻击阶段 | 具体行为 |
|---|---|
| 权限提升 | 在网络中提升权限 |
| 横向移动 | 在内部系统间移动 |
| 系统访问 | 入侵云平台和身份管理系统 |
| 社工攻击 | 钓鱼、凭证填充、BEC攻击 |
| 数据变现 | 在暗网出售凭证 |
CISA官方缓解建议
针对企业:
- 立即重置受影响用户的全部企业服务密码
- 检查源代码、IaC模板、自动化脚本中的硬编码凭证
- 监控认证日志中的异常活动
- 对所有用户和管理员账户强制实施抗钓鱼MFA
针对个人用户:
- 立即更新在其他平台重用的密码
- 为每个账户使用唯一强密码
- 在支持的服务上启用抗钓鱼MFA
- 警惕钓鱼尝试
Yale New Haven Health数据泄露
事件概况
美国康涅狄格州最大的医疗系统Yale New Haven Health遭遇数据泄露,影响超过550万人,成为2025年HHS记录中最大的医疗数据泄露事件。
泄露数据
- 患者个人信息
- 医疗记录相关信息
- 其他敏感医疗数据
后续发展
- 已达成1800万美元集体诉讼和解
- 受影响个人可申请最高5000美元赔偿和医疗数据监控服务
APT威胁动态
本周APT活动摘要
| APT组织 | 活动 | 目标地区 | 攻击向量 |
|---|---|---|---|
| Lazarus | Operation SyncHole | 韩国 | 供应链/水坑攻击 |
| Kimsuky | HttpTroy后门部署 | 全球 | 鱼叉式钓鱼 |
| ToddyCat | ESET软件漏洞利用 | 亚洲 | 软件供应链 |
ToddyCat APT利用ESET漏洞
中国关联威胁组织ToddyCat被观察到利用ESET软件安全漏洞,投递名为TCESB的新型恶意软件。该恶意软件使用DLL搜索顺序劫持技术获取系统权限。
技术特征
- 利用ESET软件漏洞
- 新型TCESB恶意软件
- DLL搜索顺序劫持技术
执法与反制行动
Operation Secure:国际执法联合行动
2026年1月至4月,来自26个国家的执法机构联合开展"Operation Secure"行动,系统性定位并处置恶意服务器。
行动成果
- 处置20,000个恶意IP地址
- 摧毁多个网络犯罪基础设施
- 打击勒索软件运营网络
LockBit数据泄露的执法价值
LockBit内部数据泄露为执法部门提供了:
- 75名管理员/附属成员身份信息线索
- 比特币钱包地址用于追踪资金流向
- 内部聊天记录用于法律取证
- 受害者谈判记录用于案件重建
修复优先级清单
P0 - 立即处理(24-48小时内)
| 漏洞/威胁 | 风险等级 | 处置动作 |
|---|---|---|
| CVE-2025-29824(Windows CLFS) | 🔴 在野利用 | 立即部署微软4月补丁 |
| CVE-2025-27480/27482(RDP RCE) | 🔴 严重 | 立即部署补丁,限制RDP暴露 |
| CVE-2025-26670/26663(LDAP RCE) | 🔴 严重 | 立即部署补丁,监控LDAP流量 |
| Oracle Cloud凭证泄露 | 🔴 高风险 | 重置相关凭证,启用MFA |
P1 - 本周处理(7天内)
| 漏洞/威胁 | 风险等级 | 处置动作 |
|---|---|---|
| Microsoft Office RCE漏洞群 | 🟠 高危 | 部署补丁,禁用预览窗格(临时缓解) |
| CVE-2025-26647(Kerberos EoP) | 🟠 高危 | 部署补丁,监控审计事件 |
| Windows 10 ESU更新 | 🟠 高危 | 为仍在使用Win10的系统部署ESU补丁 |
| 供应链安全审计 | 🟠 中高危 | 审查供应商安全状况 |
P2 - 两周内处理
| 漏洞/威胁 | 风险等级 | 处置动作 |
|---|---|---|
| Windows NTFS/ReFS信息泄露 | 🟡 中危 | 评估风险后启用注册表保护 |
| Windows TCP/IP RCE | 🟡 中危 | 部署补丁,监控网络异常 |
| Windows Hyper-V RCE | 🟡 中危 | 部署补丁,评估虚拟化环境风险 |
| 员工安全意识培训 | 🟡 中危 | 开展钓鱼识别和凭证安全培训 |
趋势总结与建议
本周威胁趋势
-
勒索软件生态内部分裂:LockBit遭入侵表明勒索软件组织内部安全薄弱,可能出现更多"黑吃黑"事件
-
供应链攻击创纪录:4月31起供应链攻击创历史新高,IT和科技行业占63%
-
国家级APT活动升级:Lazarus针对韩国供应链的精密行动展示APT组织持续演进的能力
-
云凭证风险凸显:Oracle Cloud事件凸显硬编码凭证和凭证重用带来的系统性风险
-
零日漏洞持续威胁:微软CLFS零日在野利用表明内核级漏洞仍是高级威胁的主要武器
防御建议
短期行动(1-2周)
- 立即部署微软4月补丁,优先处理在野利用漏洞
- 审计所有云环境凭证,重置可能受影响的账户
- 检查源代码和配置文件中的硬编码凭证
- 对所有特权账户强制启用MFA
中期行动(1-3个月)
- 实施供应链安全评估计划
- 部署零信任网络架构
- 建立勒索软件应急响应流程
- 开展全员安全意识培训
长期战略(3-12个月)
- 规划Windows 10升级路线图(2025年10月终止支持)
- 建立威胁情报共享机制
- 实施DevSecOps流程强化供应链安全
- 建立APT攻击检测和响应能力
信息来源
威胁情报平台
- 微步在线(ThreatBook)威胁情报
- 奇安信威胁情报中心
- 360安全响应中心
- 绿盟科技威胁情报中心(NTI)
- CISA官方公告和KEV目录
国际安全机构
- CrowdStrike威胁研究团队
- 卡巴斯基ICS-CERT
- CISA(美国网络安全和基础设施安全局)
- Europol欧洲刑警组织
安全媒体与社区
- Infosecurity Magazine
- Bleeping Computer
- Security Affairs
- Cyble安全博客
- The Record Media
厂商安全公告
- 微软安全响应中心(MSRC)
- Oracle安全公告
- ESET安全公告
本报告基于公开威胁情报整理,仅供安全研究和防御参考。具体漏洞修复请以厂商官方公告为准。