Vo1d僵尸网络新变种:大规模感染Android TV设备并用于非法活动
发布时间 2025-02-281. Vo1d僵尸网络新变种:大规模感染Android TV设备并用于非法活动
2月27日,Vo1d恶意软件僵尸网络的新变种已感染全球226个国家/地区的1,590,299台Android TV设备,并将其招募为匿名代理服务器网络的一部分。Xlab自去年11月跟踪此活动,发现该僵尸网络在2025年1月14日达到顶峰,目前拥有80万活跃机器人。新版本的Vo1d僵尸网络未受之前曝光影响,继续大规模运作,并具备先进的加密技术、有弹性的DGA基础设施及隐身能力。其规模庞大,超过Bigpanzi等僵尸网络,感染主要集中在巴西、南非、印度尼西亚等地。研究人员发现,僵尸网络感染数量存在显著激增现象,推测与“租赁-回报”周期有关,即Vo1d将僵尸网络基础设施出租给其他组织进行非法活动。此外,Vo1d还具有广告欺诈功能,通过模拟广告点击或视频观看伪造用户互动,为欺诈性广告商创造收入。鉴于感染链未知,建议Android TV用户采取整体安全方法减轻Vo1d威胁,包括从可靠供应商购买设备、安装固件和安全更新、避免下载非官方应用程序、禁用远程访问功能及离线存储等。
https://www.bleepingcomputer.com/news/security/vo1d-malware-botnet-grows-to-16-million-android-tvs-worldwide/
2. 黑客冒充台湾税务机关部署 Winos 4.0 恶意软件
2月27日,FortiGuard Labs发现了针对台湾企业的新恶意软件活动,该活动部署了一个名为Winos 4.0的高级恶意软件框架。该恶意软件通过精心设计的钓鱼电子邮件进行传播,这些邮件冒充台湾国家税务局并声称包含税务检查公司名单,诱使收件人下载包含恶意DLL的附件。Winos 4.0采用了多阶段感染过程,通过一系列可执行文件和DLL文件展开攻击,最终目的是窃取敏感信息以用于未来的恶意活动。该恶意软件具有高度的灵活性和适应性,能够绕过UAC、收集系统信息、禁用屏幕保护程序和省电功能,并主动监视和操纵用户活动,如捕获屏幕截图、记录击键和剪贴板内容等。为了保护自己免受此类恶意软件的侵害,用户需要对未经请求的电子邮件保持高度警惕,避免打开压缩文件附件,并启用实时扫描以检测和阻止威胁。专家建议采用多层次防御方法,结合用户教育和先进的威胁检测技术来阻止社会工程攻击。
https://hackread.com/hackers-impersonate-taiwans-tax-authority-winos-4-0-malware/
3. 49,000个访问管理系统配置错误暴露,危及全球隐私与物理安全
2月27日,Modat的安全研究人员发现全球范围内存在49,000个配置错误且暴露在互联网上的访问管理系统(AMS),这些系统原本用于通过生物识别、身份证或车牌控制员工对建筑物、设施和禁区的访问。然而,由于未正确配置安全身份验证,任何人都可以轻松访问这些系统,导致敏感的员工数据(如个人身份信息、生物特征数据、照片、工作时间表和访问日志)被泄露。这不仅危及了隐私安全,还可能对关键基础设施(如政府建筑、发电站和水处理设施)的物理安全构成威胁。此外,暴露的信息还可能被用于针对相关组织发起网络钓鱼和社会工程攻击。在意大利、墨西哥、越南和美国等国家,暴露的AMS系统数量尤为突出。尽管研究人员已联系系统所有者并告知风险,但尚未收到积极回应。一些供应商表示正在与受影响的客户合作解决问题。Modat为AMS用户提供了多项安全建议,包括将系统离线或置于防火墙和VPN后面、更改默认管理员凭据、实施多因素身份验证、应用最新软件和固件更新以及减少不必要的网络服务。同时,建议以加密形式存储生物特征数据和PII,并清除过去员工的数据以避免未经授权的访问。
https://www.bleepingcomputer.com/news/security/over-49-000-misconfigured-building-access-systems-exposed-online/
4. 菲律宾军方确认其网络遭受黑客攻击
2月27日,菲律宾军方确认其网络遭受了一次“非法访问企图”的攻击,据称由一个名为Exodus Security的黑客组织发起。尽管军方迅速遏制了攻击,但黑客声称已窃取10,000条现役和退役军人的记录,包括敏感的个人和军事信息。尽管数据的真实性和确切数量尚未得到核实,但黑客警告说,如果当地黑客能够实现这样的渗透,那么外国国家支持的威胁行为者可能会做得更糟。Exodus Security是该地区最活跃的黑客组织之一,今年早些时候还声称对菲律宾海军的袭击事件负责。菲律宾当局最近还发现外国试图获取情报数据,并逮捕了三名涉嫌对关键基础设施进行监视的嫌疑人。随着地区地缘政治紧张局势升级,菲律宾的网络攻击和虚假信息活动急剧增加,大部分活动归咎于试图破坏人们对政府机构信心的黑客活动团体。
https://therecord.media/philippines-army-confirms-hack
5. Angry Likho APT网络间谍组织再掀攻击浪潮,主要针对俄白组织
2月27日,网络安全研究人员发现,名为Angry Likho APT(也被称作Sticky Werewolf)的网络间谍组织再次活跃,主要针对俄罗斯和白俄罗斯的组织发起新一波网络攻击。该组织自2023年以来一直活跃,通过发送针对性极强的鱼叉式网络钓鱼电子邮件,附带恶意RAR文件,触发复杂的感染链,最终部署名为Lumma Stealer的窃取恶意软件。这些邮件和诱饵文件使用流利的俄语编写,表明攻击者可能是俄语母语人士。虽然大多数受害者都在俄罗斯和白俄罗斯,但也发现了一些其他国家的偶然目标。Lumma Stealer旨在从受感染的设备中获取敏感数据,包括系统信息、个人数据以及来自流行浏览器和加密货币钱包的数据。最近,俄罗斯网络安全公司F6报告了Angry Likho APT的新攻击,涉及包含Base64编码的恶意负载的图像文件,并发现了该组织使用的几个新命令服务器。尽管该组织每次攻击都会做出细微改变,但其方法始终如一,即有针对性的钓鱼电子邮件、自解压存档和旨在窃取敏感数据的最终有效载荷。
https://hackread.com/angry-likho-apt-lumma-stealer-attacks-on-russia/
6. CERT-UA警告UAC-0173利用DCRat危害乌克兰公证机构
2月26日,乌克兰计算机应急反应小组(CERT-UA)警告称,有组织犯罪集团UAC-0173再次发起攻击,使用DCRat(DarkCrystal RAT)远程访问木马感染计算机,最新攻击始于2025年1月中旬,针对乌克兰公证员。攻击者通过声称代表乌克兰司法部发送的网络钓鱼邮件,诱导收件人下载可执行文件,部署DCRat恶意软件,并利用RDPWRAPPER等工具实现并行RDP会话,结合BORE实用程序建立RDP连接。此外,攻击还涉及FIDDLER拦截身份验证数据、NMAP网络扫描、XWorm窃取敏感数据等。受感染系统被用作发送恶意邮件的渠道。同时,CERT-UA还归咎于Sandworm黑客组织子集群利用已修补的Microsoft Windows安全漏洞发起攻击,针对塞尔维亚、捷克共和国和乌克兰的供应商公司。StrikeReady实验室和微软已记录部分攻击,微软正在追踪代号为BadPilot的威胁组织。
https://thehackernews.com/2025/02/cert-ua-warns-of-uac-0173-attacks.html
京公网安备11010802024551号