网络安全一周要闻：ATM恶意软件、暴露的AI系统与微软Office零日漏洞

The Good, the Bad and the Ugly in Cybersecurity – Week 5

The Good | 美国当局起诉ATM黑客、捣毁暗网市场并查封“RAMP”论坛

美国联邦大陪审团已对31名被告提起诉讼，指控他们参与了一起与委内瑞拉“阿拉瓜火车”帮派相关的ATM“吐钞”行动。

起诉书详细列出了32项罪名，这些罪名与使用Ploutus恶意软件在全国范围内盗空ATM机有关。嫌疑人在物理接触机器后，安装预装了恶意软件的驱动器或USB设备以部署恶意软件，擦除法医证据，并强制机器吐出现金直至清空。

检察官表示，该行动洗钱数百万美元以资助该帮派，该帮派现已被美国当局正式认定为外国恐怖组织。此次行动之前，已于2025年10月和12月提起过两次诉讼，使被起诉总人数达到87人。

一名斯洛伐克男子已对运营“Kingdom Market”认罪，这是一个销售毒品、网络犯罪工具、假身份证和被盗数据的暗网市场。Alan Bill（化名Vend0r或KingdomOfficial）承认在2021年至2023年间运营该平台期间，共谋分销受管制物质。

在调查期间，卧底探员购买了芬太尼、甲基苯丙胺和一本伪造的美国护照，之后当局于2023年查封了该网站。调查显示该平台拥有数万名用户，使用加密货币支付，且Bill担任管理员角色。宣判定于今年五月进行，Bill将面临40年监禁和可能的500万美元罚款。

FBI已查封臭名昭著的RAMP网络犯罪论坛，该平台公开托管勒索软件广告、恶意软件和黑客服务。其Tor网络和明网域名现在都显示FBI的查封横幅，表明调查人员可能已获取到用户数据，这些数据可能会暴露该论坛的用户及所有相关的威胁行为者。

这个运行了5年的论坛被捣毁，移除了一个核心枢纽，勒索软件运营商曾在此公开打广告、交易网络访问权限、招募附属成员并进行大规模协调。

The Bad | 17.5万个AI系统暴露，毫无安全管控

SentinelLABS和Censys本周披露，一个由17.5万个开源AI系统组成的庞大网络遍布全球130个国家，并警告称，这些暴露的系统缺乏主流AI平台默认实施的基本安全保护，如身份验证和监控。

在超过293天的扫描中，研究人员识别出一个由23,000个系统组成的持续活跃核心，产生了大部分活动。其中许多系统配置为可执行代码、访问外部系统和处理图像。这些系统主要集中在云服务和住宅网络中，其IP地址看起来像合法的家庭或企业流量，使得恶意活动难以追溯到攻击者。

该研究强调了攻击者如何能够控制这些未经身份验证的系统，从受信任的网络中生成垃圾邮件、网络钓鱼电子邮件和虚假信息活动。研究人员发现至少有201个系统明确移除了安全护栏。由于这些系统缺乏身份验证，攻击者可以免费使用它们，而受害者则需支付基础设施账单。

研究人员表示，这个庞大且不受管理的大语言模型层代表了一种“治理倒置”：这些系统分散在数千个网络中，但它们都运行着相同的少数几个AI模型。如果其中一个模型存在漏洞，将同时影响数千个系统，但却没有任何单一实体负责保护所有这些部署。

按唯一主机份额排名前20的模型系列

研究人员得出结论，那些运行自托管AI系统的人，应使用与其他外部可访问基础设施相同的身份验证、监控和网络控制来保护它们。然而，该研究指出，住宅部署需要不同的方法，因为家庭用户不像在云基础设施上运行AI系统的企业那样需要遵守相同的安全要求。

The Ugly | 新修复的微软Office零日漏洞可绕过安全功能

微软已发布紧急带外安全更新，以修复Office中一个被追踪为 CVE-2026-21509（CVSS评分：7.8）的高危零日漏洞。该漏洞目前正被活跃利用，影响Office 2016、2019、LTSC 2021、LTSC 2024和Microsoft 365 Apps for Enterprise。

CVE-2026-21509 是一个安全功能绕过漏洞，允许攻击者利用Office中的COM/OLE控件。攻击者向目标发送恶意文件，并使用社会工程学技术诱骗受害者打开文档。该漏洞可利用是因为Office在处理COM/OLE控件时依赖不受信任的输入，这使得攻击复杂度低且无需身份验证。

微软的安全公告指出，Office 2021及更新版本通过服务端更新自动受到保护，但用户必须重启其应用程序。

对于Office 2016和2019，用户必须安装特定更新。微软还概述了一种基于注册表的缓解措施，要求在COM Compatibility下创建一个 {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} 子项，并添加一个值为400的Compatibility Flags DWORD。

该漏洞已被添加到CISA的已知被利用漏洞目录中，该机构要求联邦实体必须在2026年2月16日之前修补受影响的系统。

由于攻击者持续以微软的产品套件为目标以访问敏感商业数据，建议用户优先更新Office，必要时应用注册表缓解措施，并谨慎处理不受信任的Office文档以防止受损。

此次更新是在2026年1月补丁星期二之后进行的，该补丁日解决了114个漏洞，其中包括另一个在桌面窗口管理器中正被活跃利用的零日漏洞，该漏洞使攻击者能够读取与远程ALPC端口相关的内存地址。FINISHED
o9h4dVnTl0Yj6c7LuASz6bVDVH1+7MZHO31H6DXjfY+rv2vGjgnDMyh8LU7TDhBHDp45cPCbpfN26VSaGjGAzQchndX6YKchUh3ypwM5pJ/X02apGxg9eztsVP0iu2ZZ
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）