新型Android恶意软件借Hugging Face平台传播
发布时间 2026-01-301. 新型Android恶意软件借Hugging Face平台传播
1月29日,近期,一种新型Android恶意软件活动被曝利用Hugging Face平台作为存储库,传播数千个APK有效载荷变体,专门窃取常用金融和支付服务的用户凭据。Hugging Face作为知名人工智能、NLP及机器学习模型托管平台,因被视为“可信平台”而常绕过安全检测,此前已多次被不法分子滥用托管恶意AI模型。此次攻击始于伪装成安全工具的“TrustBastion”投放器应用。该应用通过恐吓式广告宣称设备已感染,诱导用户安装。安装后,其界面模仿Google Play强制更新,实则联系trustbastion[.]com服务器,将用户重定向至Hugging Face存储库下载恶意APK。Bitdefender研究发现,威胁行为者采用服务器端多态性技术,每15分钟生成新有效载荷变体以逃避检测。调查期间,该存储库存在29天,累计提交超6000次,后虽被关闭,但攻击者迅速以“Premium Club”新名称、新图标重启行动,保留相同恶意代码。
https://www.bleepingcomputer.com/news/security/hugging-face-abused-to-spread-thousands-of-android-malware-variants/
2. Ivanti警告EPMM漏洞已被零日攻击利用
1月29日,近日,Ivanti披露其Endpoint Manager Mobile(EPMM)产品存在两个严重零日漏洞(CVE-2026-1281、CVE-2026-1340),已被攻击者利用。这两个代码注入漏洞允许远程未授权攻击者在受影响设备上执行任意代码,CVSS评分均达9.8,属最高危级别。漏洞通过内部应用分发和Android文件传输功能触发,攻击尝试会返回404 HTTP响应码,而合法请求通常返回200。Ivanti建议管理员使用正则表达式在Apache访问日志中检测外部攻击流量。成功利用漏洞后,攻击者可获取管理员账号、用户敏感信息(如姓名、邮箱、设备标识符IMEI/MAC地址)、位置数据(若启用跟踪)及已安装应用清单,甚至通过API或Web控制台修改设备配置(如认证设置)。为掩盖行踪,攻击者可能篡改或删除日志,因此Ivanti强调需优先检查设备外部日志。Ivanti已发布RPM脚本缓解当前版本漏洞,并计划在2026年第一季度晚些时候发布的12.8.0.0版本中永久修复。
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-two-epmm-flaws-exploited-in-zero-day-attacks/
3. 谷歌联合打击全球最大住宅代理网络IPIDEA
1月29日,本周,谷歌威胁情报小组(GTIG)联合行业合作伙伴对全球最大住宅代理网络之一IPIDEA发起专项打击,关闭其域名并共享SDK情报。该网络以“加密流量、隐藏IP”为噱头,宣称拥有670万用户,实则通过木马化Android应用(嵌入Packet SDK等)和伪装成OneDriveSync/Windows Update的Windows二进制文件,在用户不知情下将设备转化为代理出口节点,形成由19家关联品牌(如360 Proxy、Luna Proxy、Door VPN等)组成的统一控制基础设施,运营者身份至今保密。谷歌披露,威胁行为者利用IPIDEA住宅代理网络实施账户接管、虚假账号创建、凭证窃取、敏感信息泄露及DDoS攻击。其两层C2架构中,第一层负责配置与时间管理,第二层由7400台服务器分配代理任务并转发流量。GTIG观测到一周内超550个威胁组织使用其出口节点,活动涵盖SaaS平台访问、密码喷洒攻击、僵尸网络控制及基础设施混淆。此前,思科Talos已关联IPIDEA与VPN/SSH暴力破解攻击。
https://www.bleepingcomputer.com/news/security/google-disrupts-ipidea-residential-proxy-networks-fueled-by-malware/
4. Match Group遭ShinyHunters钓鱼攻击
1月29日,全球在线约会巨头Match Group(旗下拥有Tinder、Hinge、Match.com、OkCupid等平台)证实发生网络安全事件,导致用户数据泄露。此次攻击由威胁组织ShinyHunters发起,该组织泄露了1.7GB压缩文件,内含约1000万条Hinge、Match和OkCupid用户信息记录及内部文件。Match Group表示,已迅速终止未经授权访问,在外部专家协助下调查显示,未泄露用户登录凭证、财务信息或私人通信,仅“有限数量”的用户数据受影响,并将酌情通知相关个人。此次事件是ShinyHunters新发起的语音网络钓鱼(vishing)活动的一部分,该活动针对Okta、Microsoft、Google等百家高价值组织的单点登录(SSO)账户。攻击者使用钓鱼域名“matchinternal.com”诱导用户访问伪造内部登录门户,通过社会工程攻破Okta SSO账户后,进一步访问Match Group的AppsFlyer营销分析实例及Google Drive、Dropbox云存储,窃取包含个人身份信息(PII)的数据,但大部分为追踪信息。
https://www.bleepingcomputer.com/news/security/match-group-breach-exposes-data-from-hinge-tinder-okcupid-and-match/
5. 俄弗拉基米尔面包厂遭网络攻击致供应链中断
1月29日,据当地媒体报道,俄罗斯弗拉基米尔州最大面包生产商之一弗拉基米尔面包厂于周日晚间遭遇严重网络攻击,导致其内部数字系统全面瘫痪。此次攻击波及办公电脑、服务器、电子文档管理工具及广泛使用的1C企业会计系统,直接冲击了订单处理与配送流程,造成当地居民、零售店及社会机构的食品供应暂时性短缺。尽管面包生产本身未受影响,工厂仍保持满负荷运转,但数字化系统的崩溃使合同履行陷入混乱。大型零售连锁店虽未出现大规模货架空置,但配送问题已引发消费者担忧。为应对危机,该公司紧急启动应急措施:所有办公室员工转为24小时轮班制,并暂时恢复人工处理订单和发货。然而,工厂尚未公布数字化系统全面恢复的具体时间表,仅就此次中断向合作伙伴和消费者致歉。
https://therecord.media/cyberattack-russian-bread-factory-supply-disruptions
6. Aisuru/Kimwolf僵尸网络创31.4Tbps DDoS攻击新纪录
1月29日,Cloudflare于去年12月19日检测并缓解了一场由Aisuru/Kimwolf僵尸网络发起的大规模DDoS攻击,该攻击以31.4Tbps的峰值流量和每秒2亿次请求(rps)刷新历史纪录,被命名为“圣诞前夜”行动。此次攻击主要针对电信服务提供商、IT组织及Cloudflare基础设施,构成“前所未有的轰炸”。攻击特征显著:超半数攻击持续1-2分钟,90%的峰值流量集中于1-5Tbps区间,94%的攻击数据包速率在每秒10亿至50亿个之间。尽管规模巨大,Cloudflare的自动防御系统成功拦截,未触发内部警报。攻击源来自被入侵的物联网设备、路由器及安卓电视,凸显物联网设备在僵尸网络中的核心作用。Cloudflare报告指出,2025年第四季度DDoS攻击环比增长31%,同比增长58%,流量超100Mpps的网络层攻击增加600%,超1Tbps的攻击环比增长65%。值得注意的是,超71.5%的HTTP DDoS攻击源自已知僵尸网络,凸显僵尸网络对网络安全的持续威胁。
https://www.bleepingcomputer.com/news/security/aisuru-botnet-sets-new-record-with-314-tbps-ddos-attack/
京公网安备11010802024551号