GhostPoster隐写攻击:Firefox扩展暗藏危机
发布时间 2025-12-181. GhostPoster隐写攻击:Firefox扩展暗藏危机
12月16日,Koi Security研究人员揭露一项名为"GhostPoster"的新型网络攻击活动,该活动通过将JavaScript代码隐藏在下载量超5万次的Firefox恶意扩展程序图像徽标中,实现浏览器监控与后门植入。恶意代码赋予攻击者持久高权限访问能力,可劫持电商联盟链接、注入跟踪代码、实施点击及广告欺诈,并移除HTTP响应中的安全标头。该攻击采用隐蔽加载器机制:隐藏脚本每十次尝试仅获取一次有效载荷,配合48小时激活延迟及备用域名设计,大幅降低被交通监控工具检测的风险。有效载荷经大小写互换、Base64编码及异或加密处理,需使用扩展程序运行时ID派生密钥解码。最终载荷具备多重恶意功能:在所有页面注入Google Analytics跟踪代码;通过三种机制绕过验证码;注入15秒后自动删除的不可见iframe进行广告欺诈;劫持联盟链接将佣金重定向至攻击者。研究识别出17个被入侵的Firefox扩展程序,均来自热门类别如"永久免费VPN""最佳天气预报""crxmouse手势"等。
https://www.bleepingcomputer.com/news/security/ghostposter-attacks-hide-malicious-javascript-in-firefox-addon-logos/
2. 亚马逊阻断俄罗斯GRU黑客攻击
12月16日,亚马逊威胁情报团队成功阻止了俄罗斯对外军事情报机构GRU旗下黑客针对客户云基础设施的持续攻击活动。该行动自2021年起聚焦西方关键基础设施,尤其是能源领域,并呈现战术演变特征:攻击者从依赖零日漏洞与已知漏洞转向瞄准配置错误的边缘设备,如企业路由器、VPN网关、网络管理设备及云协作平台,通过暴露的管理接口实现"低投入高回报"的持续访问。亚马逊首席信息安全官CJ Moses指出,这种策略调整反映了威胁行为者的"效率优先"转向,2025年攻击者显著减少对漏洞的投资,转而利用客户网络中"唾手可得"的配置缺陷,以最小暴露风险完成凭证窃取与横向移动。尽管战术变化,攻击核心目标未变:持续渗透关键网络并获取凭证以访问在线服务。通过攻击模式与基础设施重叠分析,亚马逊高度确信该活动与GRU关联的Sandworm(APT44)、Curly Comrades组织有关。值得注意的是,攻击未利用AWS服务漏洞,而是针对客户托管在AWS EC2实例上的管理设备。
https://www.bleepingcomputer.com/news/security/amazon-disrupts-russian-gru-hackers-attacking-edge-network-devices/
3. NoName057(16)组织借DDoSia工具攻击北约
12月16日,NoName057(16),又称05716nnm或NoName05716,是俄罗斯青年环境研究与网络监控中心内孕育的秘密项目,自2022年3月起持续对北约成员国及欧洲组织发起分布式拒绝服务(DDoS)攻击。该组织在俄罗斯联邦青年事务署领导层支持下运作,明确将自身定位为反对俄罗斯地缘政治目标的西方机构主要网络威胁,其行动深度契合俄罗斯政府利益导向。其核心攻击能力依托DDoSia项目,通过Telegram频道招募志愿者,提供易用的Go语言攻击工具并辅以加密货币奖励,形成众包僵尸网络。技术层面,DDoSia采用两阶段通信协议:客户端首先向命令与控制服务器发送加密系统信息完成认证,获取200 OK响应后进入第二阶段获取目标配置。其基础设施采用弹性多层架构,第一层公众服务器平均寿命约9天,直接与客户端通信;第二层后端服务器严格通过ACL控制访问,仅允许授权第一层服务器连接,确保核心逻辑与目标列表安全。
https://cybersecuritynews.com/noname05716-hackers-using-ddosia-ddos-tool/
4. 俄黑客组织持续对乌网络邮件平台发起钓鱼攻击
12月18日,网络安全研究人员披露,由俄罗斯国家支持的黑客组织BlueDelta(别名APT28、Fancy Bear等)在2024年6月至2025年4月期间,针对乌克兰热门网络邮件及新闻服务网站UKR.NET发起了大规模网络钓鱼行动,旨在窃取用户凭证并收集敏感信息以支持俄罗斯情报目标。据Recorded Future旗下Insikt Group报告,该组织通过伪造UKR.NET身份验证门户的虚假登录页面实施攻击。受害者会收到包含PDF附件的钓鱼邮件,这些附件嵌入了指向欺诈页面的链接。研究人员指出,这种策略可有效绕过自动邮件安全过滤系统。攻击基础设施分析显示,超过20个关联PDF文件被分发至目标用户,文件内容谎称用户账户存在可疑活动,诱导其点击链接重置密码。BlueDelta长期从事网络间谍活动,十余年间针对政府机构、国防承包商、武器供应商等目标实施凭证窃取。
https://therecord.media/russian-bluedelta-hackers-ran-phishing-ukraine-webmail
5. Kimwolf感染180万设备,发动大规模DDoS攻击
12月17日,名为Kimwolf的新型分布式拒绝服务(DDoS)僵尸网络已感染至少180万台设备,包括Android电视、机顶盒及平板电脑,其可能关联臭名昭著的AISURU僵尸网络。该僵尸网络由NDK编译,具备DDoS攻击、代理转发、反向shell及文件管理功能。2025年11月19日至22日,其三天内发出17亿条攻击命令,C2域名曾超越Google位列Cloudflare前100域名榜首。Kimwolf主要感染家庭网络中的电视盒,涉及TV BOX、SuperBOX、HiDPTAndroid等型号,感染集中于巴西、印度、美国、阿根廷、南非和菲律宾,但传播途径尚不明确。该僵尸网络C2域名12月三次被关闭后,转向以太坊名称服务(ENS)强化基础设施,并采用EtherHiding技术从智能合约获取C2 IP地址,通过XOR操作解析实际IP,增强抗打击能力。研究发现,Kimwolf与AISURU存在关联,两者通过相同感染脚本传播,且共享代码签名证书,属于同一黑客组织。Kimwolf最新版本引入TLS加密通信,支持13种基于UDP、TCP和ICMP的DDoS攻击方法,攻击目标覆盖美国、中国、法国、德国和加拿大。
https://thehackernews.com/2025/12/kimwolf-botnet-hijacks-18-million.html
6. SonicWall SMA1000高危漏洞遭零日攻击利用
12月17日,网络安全厂商SonicWall近日发布紧急安全公告,披露其SMA1000设备管理控制台(AMC)存在一个中等严重程度的本地权限提升漏洞(CVE-2025-40602),该漏洞已被用于零日攻击以提升系统权限。据SonicWall产品安全事件响应团队(PSIRT)通报,该漏洞由Google威胁情报小组的Clément Lecigne和Zander Work报告,不影响SonicWall防火墙运行的SSL-VPN功能,但强烈建议用户升级至最新热修复版本以修复漏洞。攻击者可利用此漏洞与另一个严重级别的预身份验证反序列化漏洞(CVE-2025-23006,CVSS评分9.8)组合使用,实现未经身份验证的远程代码执行并获得root权限。CVE-2025-23006已在2025年1月22日发布的12.4.3-02854平台热修复版本中修复。互联网监管机构Shadowserver目前追踪到超过950台暴露在公网的SMA1000设备,尽管部分设备可能已针对此攻击链进行修补。
https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/
京公网安备11010802024551号