Vo1d僵尸网络新变种:大规模熏染Android TV设备并用于非法活动

宣布时间 2025-02-28

1. Vo1d僵尸网络新变种:大规模熏染Android TV设备并用于非法活动


2月27日,Vo1d恶意软件僵尸网络的新变种已熏染全球226个国家/地域的1,590,299台Android TV设备,并将其招募为匿名署理服务器网络的一部门。Xlab自去年11月跟踪此活动,发现该僵尸网络在2025年1月14日到达巅峰,目前拥有80万活跃机器人。新版本的Vo1d僵尸网络未受之前曝光影响,继续大规模运作,并具备先进的加密技术、有弹性的DGA基础设施及隐身能力。其规模庞大,凌驾Bigpanzi等僵尸网络,熏染主要集中在巴西、南非、印度尼西亚等地。研究人员发现,僵尸网络熏染数量存在显著激增现象,推测与“租赁-回报”周期有关,即Vo1d将僵尸网络基础设施出租给其他组织进行非法活动。此外,Vo1d还具有广告欺诈功效,通过模拟广告点击或视频寓目伪造用户互动,为欺诈性广告商缔造收入。鉴于熏染链未知,建议Android TV用户接纳整体宁静要领减轻Vo1d威胁,包罗从可靠供应商购置设备、安装固件和宁静更新、制止下载非官方应用法式、禁用远程访问功效及离线存储等。


https://www.bleepingcomputer.com/news/security/vo1d-malware-botnet-grows-to-16-million-android-tvs-worldwide/


2. 黑客冒充台湾税务机关部署 Winos 4.0 恶意软件


2月27日,FortiGuard Labs发现了针对台湾企业的新恶意软件活动,该活动部署了一个名为Winos 4.0的高级恶意软件框架。该恶意软件通过精心设计的钓鱼电子邮件进行流传,这些邮件冒充台湾国家税务局并声称包罗税务检查公司名单,诱使收件人下载包罗恶意DLL的附件。Winos 4.0接纳了多阶段熏染过程,通过一系列可执行文件和DLL文件展开攻击,最终目的是窃取敏感信息以用于未来的恶意活动。该恶意软件具有高度的灵活性和适应性,能够绕过UAC、收集系统信息、禁用屏幕掩护法式和省电功效,并主动监视和利用用户活动,如捕捉屏幕截图、记录击键和剪贴板内容等。为了掩护自己免受此类恶意软件的侵害,用户需要对未经请求的电子邮件保持高度警惕,制止打开压缩文件附件,并启用实时扫描以检测和阻止威胁。专家建议接纳多条理防御要领,结合用户教育和先进的威胁检测技术来阻止社会工程攻击。


https://hackread.com/hackers-impersonate-taiwans-tax-authority-winos-4-0-malware/


3. 49,000个访问管理系统配置错误袒露,危及全球隐私与物理宁静


2月27日,Modat的宁静研究人员发现全球范围内存在49,000个配置错误且袒露在互联网上的访问管理系统(AMS),这些系统原本用于通过生物识别、身份证或车牌控制员工对建筑物、设施和禁区的访问。然而,由于未正确配置宁静身份验证,任何人都可以轻松访问这些系统,导致敏感的员工数据(如个人身份信息、生物特征数据、照片、事情时间表和访问日志)被泄露。这不仅危及了隐私宁静,还可能对要害基础设施(如政府建筑、发电站和水处置设施)的物理宁静组成威胁。此外,袒露的信息还可能被用于针对相关组织提倡网络钓鱼和社会工程攻击。在意大利、墨西哥、越南和美国等国家,袒露的AMS系统数量尤为突出。尽管研究人员已联系系统所有者并见告风险,但尚未收到积极回应。一些供应商体现正在与受影响的客户合作解决问题。Modat为AMS用户提供了多项宁静建议,包罗将系统离线或置于防火墙和VPN后面、更改默认管理员凭据、实施多因素身份验证、应用最新软件和固件更新以及减少不须要的网络服务。同时,建议以加密形式存储生物特征数据和PII,并清除过去员工的数据以制止未经授权的访问。


https://www.bleepingcomputer.com/news/security/over-49-000-misconfigured-building-access-systems-exposed-online/


4. 菲律宾军方确认其网络遭受黑客攻击


2月27日,菲律宾军方确认其网络遭受了一次“非法访问企图”的攻击,据称由一个名为Exodus Security的黑客组织提倡。尽管军方迅速停止了攻击,但黑客声称已窃取10,000条现役和退役军人的记录,包罗敏感的个人和军事信息。尽管数据的真实性和确切数量尚未得到核实,但黑客警告说,如果当地黑客能够实现这样的渗透,那么外国国家支持的威胁行为者可能会做得更糟。Exodus Security是该地域最活跃的黑客组织之一,今年早些时候还声称对菲律宾海军的袭击事件卖力。菲律宾政府最近还发现外国试图获取情报数据,并逮捕了三名涉嫌对要害基础设施进行监视的嫌疑人。随着地域地缘政治紧张局势升级,菲律宾的网络攻击和虚假信息活动急剧增加,大部门活动归咎于试图破坏人们对政府机构信心的黑客活动团体。


https://therecord.media/philippines-army-confirms-hack


5. Angry Likho APT网络间谍组织再掀攻击浪潮,主要针对俄白组织


2月27日,网络宁静研究人员发现,名为Angry Likho APT(也被称作Sticky Werewolf)的网络间谍组织再次活跃,主要针对俄罗斯和白俄罗斯的组织提倡新一波网络攻击。该组织自2023年以来一直活跃,通过发送针对性极强的鱼叉式网络钓鱼电子邮件,附带恶意RAR文件,触发庞大的熏染链,最终部署名为Lumma Stealer的窃取恶意软件。这些邮件和诱饵文件使用流利的俄语编写,表明攻击者可能是俄语母语人士。虽然大多数受害者都在俄罗斯和白俄罗斯,但也发现了一些其他国家的偶然目标。Lumma Stealer旨在从受熏染的设备中获取敏感数据,包罗系统信息、个人数据以及来自流行浏览器和加密货币钱包的数据。最近,俄罗斯网络宁静公司F6陈诉了Angry Likho APT的新攻击,涉及包罗Base64编码的恶意负载的图像文件,并发现了该组织使用的几个新命令服务器。尽管该组织每次攻击都市做出细微改变,但其要领始终如一,即有针对性的钓鱼电子邮件、自解压存档和旨在窃取敏感数据的最终有效载荷。


https://hackread.com/angry-likho-apt-lumma-stealer-attacks-on-russia/


6. CERT-UA警告UAC-0173利用DCRat危害乌克兰公证机构


2月26日,乌克兰计算机应急反映小组(CERT-UA)警告称,有组织犯罪集团UAC-0173再次提倡攻击,使用DCRat(DarkCrystal RAT)远程访问木马熏染计算机,最新攻击始于2025年1月中旬,针对乌克兰公证员。攻击者通过声称代表乌克兰司法部发送的网络钓鱼邮件,诱导收件人下载可执行文件,部署DCRat恶意软件,并利用RDPWRAPPER等工具实现并行RDP会话,结合BORE实用法式建立RDP连接。此外,攻击还涉及FIDDLER拦截身份验证数据、NMAP网络扫描、XWorm窃取敏感数据等。受熏染系统被用作发送恶意邮件的渠道。同时,CERT-UA还归咎于Sandworm黑客组织子集群利用已修补的Microsoft Windows宁静漏洞提倡攻击,针对塞尔维亚、捷克共和国和乌克兰的供应商公司。StrikeReady实验室和微软已记录部门攻击,微软正在追踪代号为BadPilot的威胁组织。


https://thehackernews.com/2025/02/cert-ua-warns-of-uac-0173-attacks.html