首頁 > 安全研究 > 安全通報 > 安全簡訊

Vo1d僵尸網絡新變種:大規模感染Android TV設備并用于非法活動

發布時間 2025-02-28

1. Vo1d僵尸網絡新變種:大規模感染Android TV設備并用于非法活動


2月27日,Vo1d惡意軟件僵尸網絡的新變種已感染全球226個國家/地區的1,590,299臺Android TV設備,并將其招募為匿名代理服務器網絡的一部分。Xlab自去年11月跟蹤此活動,發現該僵尸網絡在2025年1月14日達到頂峰,目前擁有80萬活躍機器人。新版本的Vo1d僵尸網絡未受之前曝光影響,繼續大規模運作,并具備先進的加密技術、有彈性的DGA基礎設施及隱身能力。其規模龐大,超過Bigpanzi等僵尸網絡,感染主要集中在巴西、南非、印度尼西亞等地。研究人員發現,僵尸網絡感染數量存在顯著激增現象,推測與“租賃-回報”周期有關,即Vo1d將僵尸網絡基礎設施出租給其他組織進行非法活動。此外,Vo1d還具有廣告欺詐功能,通過模擬廣告點擊或視頻觀看偽造用戶互動,為欺詐性廣告商創造收入。鑒于感染鏈未知,建議Android TV用戶采取整體安全方法減輕Vo1d威脅,包括從可靠供應商購買設備、安裝固件和安全更新、避免下載非官方應用程序、禁用遠程訪問功能及離線存儲等。


https://www.bleepingcomputer.com/news/security/vo1d-malware-botnet-grows-to-16-million-android-tvs-worldwide/


2. 黑客冒充臺灣稅務機關部署 Winos 4.0 惡意軟件


2月27日,FortiGuard Labs發現了針對臺灣企業的新惡意軟件活動,該活動部署了一個名為Winos 4.0的高級惡意軟件框架。該惡意軟件通過精心設計的釣魚電子郵件進行傳播,這些郵件冒充臺灣國家稅務局并聲稱包含稅務檢查公司名單,誘使收件人下載包含惡意DLL的附件。Winos 4.0采用了多階段感染過程,通過一系列可執行文件和DLL文件展開攻擊,最終目的是竊取敏感信息以用于未來的惡意活動。該惡意軟件具有高度的靈活性和適應性,能夠繞過UAC、收集系統信息、禁用屏幕保護程序和省電功能,并主動監視和操縱用戶活動,如捕獲屏幕截圖、記錄擊鍵和剪貼板內容等。為了保護自己免受此類惡意軟件的侵害,用戶需要對未經請求的電子郵件保持高度警惕,避免打開壓縮文件附件,并啟用實時掃描以檢測和阻止威脅。專家建議采用多層次防御方法,結合用戶教育和先進的威脅檢測技術來阻止社會工程攻擊。


https://hackread.com/hackers-impersonate-taiwans-tax-authority-winos-4-0-malware/


3. 49,000個訪問管理系統配置錯誤暴露,危及全球隱私與物理安全


2月27日,Modat的安全研究人員發現全球范圍內存在49,000個配置錯誤且暴露在互聯網上的訪問管理系統(AMS),這些系統原本用于通過生物識別、身份證或車牌控制員工對建筑物、設施和禁區的訪問。然而,由于未正確配置安全身份驗證,任何人都可以輕松訪問這些系統,導致敏感的員工數據(如個人身份信息、生物特征數據、照片、工作時間表和訪問日志)被泄露。這不僅危及了隱私安全,還可能對關鍵基礎設施(如政府建筑、發電站和水處理設施)的物理安全構成威脅。此外,暴露的信息還可能被用于針對相關組織發起網絡釣魚和社會工程攻擊。在意大利、墨西哥、越南和美國等國家,暴露的AMS系統數量尤為突出。盡管研究人員已聯系系統所有者并告知風險,但尚未收到積極回應。一些供應商表示正在與受影響的客戶合作解決問題。Modat為AMS用戶提供了多項安全建議,包括將系統離線或置于防火墻和VPN后面、更改默認管理員憑據、實施多因素身份驗證、應用最新軟件和固件更新以及減少不必要的網絡服務。同時,建議以加密形式存儲生物特征數據和PII,并清除過去員工的數據以避免未經授權的訪問。


https://www.bleepingcomputer.com/news/security/over-49-000-misconfigured-building-access-systems-exposed-online/


4. 菲律賓軍方確認其網絡遭受黑客攻擊


2月27日,菲律賓軍方確認其網絡遭受了一次“非法訪問企圖”的攻擊,據稱由一個名為Exodus Security的黑客組織發起。盡管軍方迅速遏制了攻擊,但黑客聲稱已竊取10,000條現役和退役軍人的記錄,包括敏感的個人和軍事信息。盡管數據的真實性和確切數量尚未得到核實,但黑客警告說,如果當地黑客能夠實現這樣的滲透,那么外國國家支持的威脅行為者可能會做得更糟。Exodus Security是該地區最活躍的黑客組織之一,今年早些時候還聲稱對菲律賓海軍的襲擊事件負責。菲律賓當局最近還發現外國試圖獲取情報數據,并逮捕了三名涉嫌對關鍵基礎設施進行監視的嫌疑人。隨著地區地緣政治緊張局勢升級,菲律賓的網絡攻擊和虛假信息活動急劇增加,大部分活動歸咎于試圖破壞人們對政府機構信心的黑客活動團體。


https://therecord.media/philippines-army-confirms-hack


5. Angry Likho APT網絡間諜組織再掀攻擊浪潮,主要針對俄白組織


2月27日,網絡安全研究人員發現,名為Angry Likho APT(也被稱作Sticky Werewolf)的網絡間諜組織再次活躍,主要針對俄羅斯和白俄羅斯的組織發起新一波網絡攻擊。該組織自2023年以來一直活躍,通過發送針對性極強的魚叉式網絡釣魚電子郵件,附帶惡意RAR文件,觸發復雜的感染鏈,最終部署名為Lumma Stealer的竊取惡意軟件。這些郵件和誘餌文件使用流利的俄語編寫,表明攻擊者可能是俄語母語人士。雖然大多數受害者都在俄羅斯和白俄羅斯,但也發現了一些其他國家的偶然目標。Lumma Stealer旨在從受感染的設備中獲取敏感數據,包括系統信息、個人數據以及來自流行瀏覽器和加密貨幣錢包的數據。最近,俄羅斯網絡安全公司F6報告了Angry Likho APT的新攻擊,涉及包含Base64編碼的惡意負載的圖像文件,并發現了該組織使用的幾個新命令服務器。盡管該組織每次攻擊都會做出細微改變,但其方法始終如一,即有針對性的釣魚電子郵件、自解壓存檔和旨在竊取敏感數據的最終有效載荷。


https://hackread.com/angry-likho-apt-lumma-stealer-attacks-on-russia/


6. CERT-UA警告UAC-0173利用DCRat危害烏克蘭公證機構


2月26日,烏克蘭計算機應急反應小組(CERT-UA)警告稱,有組織犯罪集團UAC-0173再次發起攻擊,使用DCRat(DarkCrystal RAT)遠程訪問木馬感染計算機,最新攻擊始于2025年1月中旬,針對烏克蘭公證員。攻擊者通過聲稱代表烏克蘭司法部發送的網絡釣魚郵件,誘導收件人下載可執行文件,部署DCRat惡意軟件,并利用RDPWRAPPER等工具實現并行RDP會話,結合BORE實用程序建立RDP連接。此外,攻擊還涉及FIDDLER攔截身份驗證數據、NMAP網絡掃描、XWorm竊取敏感數據等。受感染系統被用作發送惡意郵件的渠道。同時,CERT-UA還歸咎于Sandworm黑客組織子集群利用已修補的Microsoft Windows安全漏洞發起攻擊,針對塞爾維亞、捷克共和國和烏克蘭的供應商公司。StrikeReady實驗室和微軟已記錄部分攻擊,微軟正在追蹤代號為BadPilot的威脅組織。


https://thehackernews.com/2025/02/cert-ua-warns-of-uac-0173-attacks.html

上一篇 下一篇