微软粉碎恶意软件署名服务，斩断勒索软件链条

首页 > 安全钻研 > 安全传递 > 安全简讯

微软粉碎恶意软件署名服务，斩断勒索软件链条

颁布功夫 2026-05-20

1. 微软粉碎恶意软件署名服务，斩断勒索软件链条

5月19日，微软近日颁发，已成功粉碎一项被追踪为“Fox Tempest”的恶意软件署名即服务（MSaaS）犯法运营活动。微软威胁谍报汇报显示，Fox Tempest是一个以经济利益为驱动的威胁行为者，通过创建数百个Azure租户和订阅，利用微软2024年推出的Azure Artifact Signing平台天生短期有效（72幼时）的代码署名证书。这些证书被用于署名蕴含Oyster、Lumma Stealer、Vidar等恶意软件，以及Rhysida、Akira、INC、Qilin、BlackByte等勒索软件。攻击者将署名后的恶意文件假装成Microsoft Teams、AnyDesk、PuTTY、Webex等常用软件，诱骗受害者执行。一旦运行，恶意加载法式便会装置伪造署名的恶意载荷，最终部署勒索软件。由于文件占有微软的有效数字署名，Windows操作系统最初将其鉴别为合法法式，从而绕过了安全节造。2026年5月，微软数字犯罪部门结合行业合作同伴，成功粉碎了Fox Tempest的基础设施和接见模式，查封了其运营域名，下线数百台有关虚构机，并阻止了对该犯罪平台的后端接见。微软暗示，已撤销所有归因于Fox Tempest的代码署名证书。

https://www.bleepingcomputer.com/news/security/cybercrime-service-disrupted-for-abusing-microsoft-platform-to-sign-malware/

2. 微软披露Storm-2949：滥用合法职能窃取云端数据

5月19日，微软近日曝光了一路代号为Storm-2949的针对性网络攻击行动。该威胁行为者以Microsoft 365和Azure出产环境为指标，大量窃取高价值敏感数据。Storm-2949的攻击链始于社会工程学伎俩。攻击者针对拥有特权角色的用户，如IT人员或高级辅导成员，试图获取其Microsoft Entra ID凭证。他们滥用了自主密码沉置流程：先为指标账户提议密码沉置要求，而后诱骗受害者核准多沉身份验证提醒。为使圈套更具说服力，黑客假装成IT支持人员，以垂危验证账户为由要求受害者共同。一旦受害者受骗，攻击者便沉置密码、移除多沉身份验证节造，并在自己的设备上注册Microsoft Authenticator，从而成功劫持账户。进入Microsoft 365环境后，Storm-2949使用Microsoft Graph API和自界说Python剧本枚举用户、角色、利用法式和服务主体，评估持久悠久化的机遇。随后，他们接见OneDrive和SharePoint，搜索VPN配置、IT操作文件等含有远程接见信息的文档，为横向移动做筹备。攻击并未止步于Microsoft 365。Storm-2949进一步扩大至受害者的Azure基础设施，蕴含虚构机、存储账户、密钥保司库、利用服务和SQL数据库。

https://www.bleepingcomputer.com/news/security/microsoft-self-service-password-reset-abused-in-azure-data-theft-attacks/

3. 承包商严沉失职：CISA主题凭证在GitHub露出数月

5月19日，一路严沉的网络安全事务近日被曝光：为美国网络安全和基础设施安全局（CISA）工作的表部承包商Nightwing，将大量高度敏感的凭证和文件在GitHub公共存储库中露出了数月之久。该存储库名为“Private-CISA”，创建于2025年11月，直到钻研人员发现问题并奉告CISA后才被关关。GitGuardian钻研员Guillaume Valadon在扫描公共代码库时发现了这一泄露。泄露的数据涵盖了CISA及其上级机构河山安全数的海量机密信息，蕴含云密钥、明文密码、令牌、日志，以及CISA内部构建、测试和部署软件的具体文件。其中，一个名为“importantAWStokens”的文件蕴含了三个AWS GovCloud服务器的治理凭证；另一个名为“AWS-Workspace-Firefox-Passwords.csv”的文件则纪录了数十个CISA内部系统的明文用户名和密码。Valadon还发现，该存储库的提交日志显示，CISA治理员竟然禁用了GitHub默认用于阻止用户颁布SSH密钥等机密信息的安全设置。更令人震惊的是，承包商对一系列内部资源使用了极易猜到的密码，例如由平台名称和当前年份组成的单一组合。

https://securityboulevard.com/2026/05/cisa-credentials-sensitive-data-exposed-in-github-repository/

4. Shai-Hulud攻击：600余恶意包席卷npm生态系统

5月19日，一场代号为Shai-Hulud的大规模供给链攻击于5月19日席卷npm生态系统。威胁行为者在一幼时内向Node包治理器索引颁布了639个恶意软件版本，涉及323个分歧软件包。受影响的包重要集中在@antv定名空间，蕴含图表绘造、图形可视化等常用库，此表还有echarts-for-react、timeago.js、size-sensor等驰名包也遭到入侵。攻击始于对npm账户“atool”的入侵，该账户掌管颁布@antv生态下的软件包。本次攻击的有效载荷高度混合，重要面向开发人员工作站和CI/CD环境，窃取GitHub、npm、云服务、Kubernetes、Docker、数据库及SSH等各类痛处。被盗数据经过序列化、Gzip压缩、AES-256-GCM加密和RSA-OAEP封装后，通过Session P2P网络泄露，在网络层与合法Session利用流量无法分辨，极大增长了检测难度。攻击者还利用GitHub作为备用泄露机造：当获取到GitHub痛处时，恶意软件会自动在受害者账户下创建新存储库并上传窃取的数据。截至发稿，该活动已天生至少2900个GitHub恶意存储库。

https://www.bleepingcomputer.com/news/security/new-shai-hulud-malware-wave-compromises-600-npm-packages/

5. 加油站油罐系统遭入侵：工业设备隐患沉沉

5月19日，美国多个州的加油站自动油罐液位计系统近期疑似遭到黑客攻击，引发了对工业设备网络安全的宽泛忧郁。据CNN报路，美国官员以为与伊朗有关联的黑客很可能是这一系列入侵事务的幕后黑手。这些自动油罐液位计系统用于监控燃料贮存罐，但很多系统无需密码即可在线接见，攻击者能够把持操作员看到的显示读数，固然无法扭转现实燃油水平，也尚未造成物理败坏，但安全专家指出，仅凭可能篡改监控界面自身就带来了严沉的操作和安全隐患。Suzu Labs首席技术官Denis Calderone诠释称，真正的威胁在于操作员可能基于被篡改的谬误信息做出决策，例如泄漏无法被发现、过量加注被忽略或设备故障被覆盖直至问题现实产生。这一问题并非新近才被发现。早在2015年，安全公司Rapid7就发现超过5800个联网油罐计量器在没有身份验证节造的情况下运行。BitSight等机构的后续钻研也批注，大量类似系统至今仍可公开接见。Calderone指出，很多工业监控设备持续使用默认密码或底子不设密码，这是由于它们最初是为隔离环境设计的，在远程互联网接见成为常态之前并未思考网络安全防护。

https://cybernews.com/security/iran-hackers-target-us-gas-stations/

6. 德国电信誉户数据遭叫卖：护照及银行信息疑似泄露

5月19日，近日，一名黑客在地下买卖平台宣称占有德国电信的大规模用户数据集并筹备销售，引发了人们对身份偷窃和定向诓骗的宽泛忧郁。德国电信总部位于波恩，是欧洲最大的电信公司之一，在全球占有超过3亿用户，并持有美国T-Mobile 53%的股份。据钻研团队审阅的数据样本显示，攻击者宣称窃取的信息蕴含当局宣告的身份证号码、护照号码、银行账户信息、姓名、诞生日期、电话号码、地址，以及订阅ID、资费打算名称、价值和银行账号等。其中，护照号码的泄露尤其危险，将显著增长身份偷窃和定向诓骗的风险。钻研人员还发现，部门泄露的电子邮件地址曾呈此刻较早的汗青数据泄露事务中，批注至少有一部门数据可能与以往泄露的纪录存在沉叠。据称，受影响的不仅蕴含幼我用户，还涉及关联公司和从属公司。钻研人员在验证数据真实性时发现了一些相互矛盾的迹象。一方面，所披露的订阅打算和资费信息与德国电信官方网站上的产品信息相符，用户邮箱地址也看似有效；另一方面，部门地址与邮政编码存在不匹配的情况，这令人对数据的齐全性产生疑惑。

https://cybernews.com/security/deutsche-telekom-passport-data-leak/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研