新型Mirai变种ShadowV2僵尸网络全球攻击物联网设备
发布时间 2025-11-281. 新型Mirai变种ShadowV2僵尸网络全球攻击物联网设备
11月26日,Fortinet旗下FortiGuard Labs研究人员在10月AWS大规模服务中断期间发现名为“ShadowV2”的新型基于Mirai的僵尸网络恶意软件,该恶意软件利用D-Link、TP-Link等供应商物联网设备的至少八个已知漏洞进行传播,包括CVE-2009-2765、CVE-2020-25506等。值得注意的是,部分漏洞如CVE-2024-10914和CVE-2024-10915涉及已停产或不受支持设备,D-Link明确表示此类设备将不再获得固件更新,加剧了安全风险。ShadowV2攻击目标涵盖政府、科技、制造业、托管安全服务提供商(MSSP)、电信、教育等七个行业的路由器、NAS和DVR设备,攻击范围遍及北美洲、南美洲、欧洲、非洲、亚洲和澳大利亚六大洲。该恶意软件自称为“ShadowV2 Build v1.0.0 IoT版本”,与Mirai LZRD变种类似,通过初始访问阶段被传递给易受攻击的设备,该阶段使用下载器脚本binary.sh,并采用XOR编码配置文件系统路径、用户代理字符串、HTTP标头等,具备隐蔽性。功能上支持针对UDP、TCP和HTTP协议的多种分布式拒绝服务(DDoS)攻击类型,C2基础设施通过发送命令触发攻击。
https://www.bleepingcomputer.com/news/security/new-shadowv2-botnet-malware-used-aws-outage-as-a-test-opportunity/
2. OpenAI API用户数据因Mixpanel泄露事件受影响
11月27日,近日,OpenAI向部分ChatGPT API客户通报,因第三方分析服务商Mixpanel遭遇数据泄露,导致部分API用户身份识别信息外泄。据悉,Mixpanel为OpenAI提供事件分析功能,用于追踪API产品前端界面的用户交互行为。此次事件仅影响“与部分API用户相关的有限分析数据”,未波及ChatGPT或其他产品的普通用户。OpenAI明确表示,其核心系统未被入侵,聊天记录、API请求、支付详情、密码、凭证、API密钥及政府身份证件均未泄露。泄露内容主要包括API账户中的名称、关联邮箱、浏览器提供的粗略地理位置(城市/省/国家)、操作系统和浏览器类型、推荐来源网站以及组织或用户ID。由于未涉及敏感凭证,用户无需重置密码或API密钥。Mixpanel披露,此次攻击源于11月8日发现的短信钓鱼活动,影响范围有限。OpenAI在11月25日获悉受影响数据集详情后,已将Mixpanel从生产服务中移除,并直接通知相关组织、管理员及个人用户。
https://www.bleepingcomputer.com/news/security/openai-discloses-api-customer-data-breach-via-mixpanel-vendor-hack/
3. 朝日啤酒遭勒索软件攻击致200万客户员工数据泄露
11月27日,日本最大啤酒酿造商朝日集团控股有限公司(简称朝日)日本分公司9月29日遭遇勒索软件攻击,导致约200万客户及员工个人信息泄露,并严重扰乱其日本境内运营。此次攻击由“麒麟”勒索软件团伙实施,该组织声称对事件负责,并泄露了27GB的被盗数据,包含合同、员工信息、财务数据等9323个文件。据朝日披露,攻击者通过集团总部网络设备非法入侵数据中心网络,部署勒索软件加密多台服务器及部分员工配发PC设备的数据。泄露数据涉及152.5万名曾联系客服的人员(含姓名、地址、电话、邮箱)、11.4万名外部联系人(含姓名、地址、电话)、10.7万名员工(含出生日期、性别、联系方式)及16.8万名员工家属(含姓名、出生日期、性别)。值得庆幸的是,客户财务信息(如信用卡数据)未被窃取。此次攻击导致朝日日本分公司订单处理、发货、呼叫中心及客服台业务中断,其他国际分支未受影响。截至11月27日,公司已确认部分员工PC及数据中心服务器存储的个人信息可能泄露,但未发现数据被公开发布。
https://securityaffairs.com/185126/data-breach/asahi-says-crooks-stole-data-of-approximately-2m-customers-and-employees.html
4. Bloody Wolf APT组织利用合法远程软件发动攻击
11月28日,网络安全研究人员发现,Bloody Wolf高级持续威胁(APT)组织正通过合法远程访问软件渗透政府目标,发起范围不断扩大的网络攻击。自2023年底活跃以来,Bloody Wolf不断改进技术。2025年6月起,该组织在吉尔吉斯斯坦持续开展活动,并于10月初将范围扩大至乌兹别克斯坦。攻击者冒充司法部,通过发送逼真PDF文档、伪造域名及诱导受害者安装Java以查看“案件资料”的指令实施攻击,嵌入短信息营造合法性假象。乌兹别克斯坦的基础设施还配置了地理围栏功能,境外用户被重定向至合法政府网站,本地用户则收到恶意JAR文件。感染链中,受害者下载JAR文件后,加载器会获取其他组件并最终安装NetSupport RAT。这些加载器使用Java 8构建,仅含一个类且未混淆,可自动执行HTTP获取二进制文件、添加持久性、创建计划任务及显示虚假错误信息等任务。其内置启动限制计数器(设为3次),存储于用户配置文件目录,减少被注意风险。
https://www.infosecurity-magazine.com/news/bloody-wolf-expands-central-asia/
5. 华硕修复高危漏洞,警惕WrtHug攻击停产路由器
11月27日,华硕发布新版固件修复了9个安全漏洞,其中最严重的是编号为CVE-2025-59366的高危身份验证绕过漏洞,该漏洞影响所有启用AiCloud功能的路由器设备。AiCloud是华硕路由器内置的远程访问功能,可实现个人云服务器、远程媒体流传输和云存储服务。华硕安全公告指出,该漏洞可通过Samba功能的意外副作用触发,攻击者可能未经授权执行特定功能。此次修复涉及多个固件版本系列,包括3.0.0.4_386、3.0.0.4_388及3.0.0.6_102系列,均修复了CVE-2025-59366及其他8个漏洞。华硕强烈建议用户立即更新至2025年10月发布的最新固件。对于已停止支持的停产路由器型号,华硕提供了临时缓解建议:为路由器登录账户和WiFi设置高强度唯一密码;禁用所有面向互联网的服务,如AiCloud、广域网远程访问、端口转发、动态域名解析、VPN服务器、非军事区、端口触发和FTP等功能。近期,名为“Operation WrtHug”的新型攻击活动已影响全球数万台过时或停产的华硕路由器,华硕强调,用户应高度重视固件更新和安全配置,以防范此类攻击。
https://securityaffairs.com/185109/iot/new-asus-firmware-patches-critical-aicloud-vulnerability.html
6. 恶意Chrome扩展Crypto Copilot暗中窃取加密交易费用
11月27日,网络安全公司Socket揭露,一款名为Crypto Copilot的Chrome扩展程序实为恶意软件,在每笔加密货币交易中暗中收取0.05%或更高的隐藏费用。该扩展宣称可让用户在X平台直接交易加密货币,与界面无缝集成,但实际通过高度混淆的代码在交易中注入额外转账,将资金转移至攻击者控制的钱包。例如,交易超过2.6 SOL(约371美元)时,会收取0.0013 SOL(约0.19美元)的费用,且Chrome商店未公开披露收费逻辑。Socket研究人员指出,该扩展利用Raydium区块链交换功能,在用户签名前添加隐藏费用,通过硬编码参数计算费用并嵌入同一交易中,用户若不展开钱包指令列表则难以察觉。尽管用户基数较小,但恶意行为已持续超一年未被发现,可能存在类似模式的扩展程序。攻击者通过多个外部服务模仿合法工具,但后端网站无法运行,显示其可能仓促开发或处于测试阶段。该扩展程序由网名为sjclark76的创建者发布,上次更新时间为2024年6月18日,截至报告时仍可访问。
https://cybernews.com/security/malicious-chrome-extension-skims-crypto-with-every-trade/
京公网安备11010802024551号