安全简讯（2026.06.26）

1. 印度巨头巴贾吉汽车遭勒索软件攻击

6月24日，印度汽车制造业巨头巴贾吉汽车公司于本周二正式披露，其自身及旗下专注于技术开发、工程与研究的子公司巴贾吉汽车技术有限公司的系统遭受了勒索软件攻击，导致部分运营环节受到影响。该公司在提交给监管机构的文件中说明，该事件于周二上午被发现，管理层随即启动应急响应机制，采取了一系列预防性隔离措施以遏制事态扩散，并调动内部技术团队与外部网络安全专家协同处置。据公司声称，截至目前，所实施的缓解措施“卓有成效”，但并未就攻击是否已完全消除、具体影响范围有多大等核心问题给出详细说明。值得注意的是，巴贾吉汽车在官方声明中既未透露实施此次攻击的勒索组织身份，也未明确是否有敏感商业数据或客户信息在此次事件中被非法窃取，同时对于攻击者是否已提出赎金要求及具体金额保持缄默。

https://therecord.media/indian-auto-giant-bajaj-auto-hit-by-ransomware

2. 诈骗者正利用Shopify官方应用植入虚假订单行骗

6月25日，近期，网络安全公司Gen Digital发出警告，威胁行为者正在大规模滥用广受欢迎的电商购物助手应用Shop，通过向用户的订单历史中直接植入虚假购买收据，实施精准诈骗。作为Shopify旗下的官方应用，Shop为消费者提供了一个集中管理多平台订单、追踪物流和发现新商品的便捷渠道。诈骗者将伪造的订单混入用户真实的购买记录中，并冒用Norton、McAfee、Apple及PayPal等知名品牌，收据上还会附上一个所谓的“客服联系电话”。当用户因困惑或担忧而拨打电话时，线另一端实为精心伪装的骗子，他们会运用社会工程学技巧，步步诱导用户交出账户密码、支付卡详细信息甚至一次性验证码，部分极端案例中，受害者还被忽悠安装了可远程控制设备的恶意软件。研究人员指出，这种新型攻击手段比传统的“回拨钓鱼”邮件更具欺骗性，因为消息源自用户信赖的正规应用，而非可疑的外部邮件。虽然不少虚假收据存在明显的语法错误，但面对大额消费带来的焦虑，许多用户极易忽略这些破绽。目前，关于这些伪造订单是如何绕过安全机制被插入应用的具体技术细节仍不明确，Shop的订单同步可能涉及电子邮件解析、账户关联等多种数据源，但官方尚未确认具体的渗透渠道。

https://www.bleepingcomputer.com/news/security/order-tracking-app-shop-abused-to-push-callback-phishing-attacks/

3. 恶意软件Gaslight用虚假报错迷惑大模型

6月25日，安全公司SentinelOne近日披露了一款名为“Gaslight”的新型macOS恶意软件，其独特之处不在于传统的代码混淆或环境侦测，而是专门针对当前日益普及的AI辅助恶意软件分析工具设计了一套心理战术。该恶意软件被高度认为出自与朝鲜有关的威胁行为者之手，其本体是一个具备后门和信息窃取功能的Rust语言二进制程序，这在同类恶意软件中并不罕见。然而，其最引人注目的特征在于一个仅3.5KB大小的有效载荷，其中竟嵌入了多达38条精心构造的虚假系统消息。这些消息伪装成开发者日志、崩溃报告、调试输出和程序警报，并大量使用Markdown格式和模板占位符，使其看起来如同真实的故障排查数据。Gaslight的攻击逻辑并非针对传统杀毒软件或沙箱的执行环境，而是直指那些在自动分析过程中会读取二进制文件中可读字符串的大语言模型（LLM）辅助系统。SentinelOne的研究人员指出，这些捏造的故障信息旨在让LLM辅助的分类代理“怀疑自己的会话”，即通过向分析者灌输大量看似严重的系统错误和安全隐患，诱使AI模型误判当前分析会话本身出现了问题，或认为样本过于危险、异常而主动中止、截断分析任务，甚至拒绝继续输出结果。

https://www.bleepingcomputer.com/news/security/new-macos-malware-embeds-fake-errors-to-confuse-ai-analysis-tools/

4. 流量超9.5亿的体育盗版巨头PirloTV被捣毁

6月25日，近日，一场由创意与娱乐联盟（ACE）牵头、联合欧洲足球协会联盟（UEFA）及墨西哥等多国执法机构的大规模反盗版行动取得重大战果，成功捣毁了与非法流媒体平台PirloTV相关的庞大体育盗版网络，共计查封44个活跃域名。PirloTV本身并不直接制作或托管内容，而是一个聚合型网站网络，通过嵌入未经授权的体育赛事直播链接，主要提供足球比赛的在线观看服务，其运作模式依赖于对各大授权广播公司直播流的二次分发。该平台最为人所熟知的特点是其极强的“生命力”，在面临各国监管机构的反复下架要求后，总能迅速启用新域名以维持运营，令执法部门疲于应对。然而，本次多边协同打击彻底切断了其核心入口，据ACE官方公告披露，这些被关闭的域名每年在全球范围内产生的访问量总计超过9.5亿次，仅墨西哥一地就贡献了约2.3亿次，其受众主要集中在拉丁美洲，尤其在墨西哥和哥伦比亚拥有庞大的用户基础，同时来自西班牙和美国等市场的流量亦不容小觑。尽管主域名已被查封，截至本文发稿时，公共搜索引擎仍能发现部分残留的镜像站点或新变种域名继续提供非法流媒体服务。

https://www.bleepingcomputer.com/news/security/pirlotv-sports-piracy-network-disrupted-as-44-domains-seized/

5. AI钓鱼服务Bluekit进化，新增BitM功能窃取凭证

6月25日，网络钓鱼即服务（PhaaS）平台“Bluekit”正在以惊人的速度进化，其最新的攻击能力与基础设施扩张引发了安全领域的高度警惕。据数字风险保护公司Netcraft最新报告披露，在过去一周内，该平台已新增近70个恶意主机名，并引入了更为危险的浏览器中间人（BitM）数据窃取机制，使其攻击链条更加隐蔽和高效。Bluekit最初于今年4月由Varonis研究人员记录在案，其核心卖点在于内置了一个支持Llama、GPT-4.1、Claude、Gemini和DeepSeek等多种大语言模型的AI助手，能够自动化生成极具迷惑性的钓鱼邮件，同时向“客户”提供超过40种针对Outlook、Gmail、iCloud及GitHub等热门服务的现成模板。此次升级中，Bluekit放弃了传统的中间人攻击代理模式，转而采用基于开源JavaScript库“rrweb”的BitM方案。为进一步筛选高价值目标并规避安全分析，Bluekit植入了多层次的反检测与受害者资格认定系统。同时，该平台保留了Varonis此前记录到的实时监控面板，允许攻击操作员以5秒为间隔观察受害者在虚假登录页面上的每一步操作，甚至追踪其登录后的行为轨迹。

https://www.bleepingcomputer.com/news/security/bluekit-phishing-kit-adopts-browser-in-the-middle-for-login-theft/

6. 微软披露双重勒索：两伙黑客同时入侵同一目标

6月25日，微软事件响应团队（DART）在一次勒索软件攻击调查中发现了极为罕见的攻击场景，同一受害者的网络环境中，竟有两组互不相关的威胁行为者同时独立实施入侵。该攻击事件的起源指向受害者本地部署的SharePoint服务器，攻击者利用了已公开披露的已知漏洞作为初始入口。调查初期，微软研究人员发现恶意软件从最初受感染的环境横向传播至第二个组织，经联系确认，后者同样遭受了来自代号为Storm-2603的勒索软件团伙的攻击。然而，随着微软威胁情报部门的深入溯源，一个更为复杂的局面浮出水面：在Storm-2603活动的同时，另一名无关的攻击者也在同一受害网络中并行开展着独立的恶意操作。Storm-2603自2025年年中以来便持续以本地SharePoint服务器为突破口，系统性地利用已知漏洞；而另一名攻击者则留下了动态链接库（DLL）侧加载的技术痕迹，这种手法可将恶意代码隐藏在合法软件进程中执行，以安装后门或维持持久化访问。

https://cybernews.com/security/microsoft-ransomware-group-sharepoint-parallel-attacks/