网络安全威胁周报:物联网僵尸网络、AI恶意软件与新型钓鱼攻击深度解析
威胁日报简报:AI恶意软件、语音机器人漏洞、加密货币洗钱、物联网攻击 —— 以及其他20则报道
黑客本周再度活跃。从仿冒语音通话和AI驱动的恶意软件,到大规模洗钱案件和新型骗局,网络世界事件频发。犯罪分子手段愈发狡猾——他们运用智能技巧窃取数据、模仿真人声音,并隐藏在众目睽睽之下。但他们并非唯一快速行动的一方。政府和安全团队也在反击,关停虚假网络、禁止高风险项目并加强数字防御。
以下是本周引起波澜事件的速览——最重大的攻击、新出现的威胁以及值得了解的胜利。
基于Mirai的恶意软件通过新的物联网活动重现
ShadowV2僵尸网络持续针对物联网设备
基于Mirai的ShadowV2僵尸网络背后的威胁行为者被观测到正在感染各行业和各大陆的物联网设备。据悉,该活动仅在2025年10月下旬亚马逊网络服务(AWS)中断期间活跃。根据Fortinet评估,此活动"很可能是在为未来攻击做准备的一次测试运行"。该僵尸网络利用了多个漏洞,包括CVE-2009-2765 (DDWRT)、CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915 (D-Link)、CVE-2023-52163 (DigiEver)、CVE-2024-3721 (TBK) 以及 CVE-2024-53375 (TP-Link),将易受攻击的设备招募进物联网设备的"僵尸"大军。成功利用漏洞后,会执行一个下载器shell脚本,该脚本会投递ShadowV2恶意软件用于后续的DDoS攻击。"物联网设备仍然是更广泛网络安全格局中的薄弱环节,"该公司表示。"ShadowV2的演变表明威胁行为者的目标行为正在向物联网环境进行战略转移。"不仅仅是ShadowV2。另一个同样基于Mirai、名为RondoDox的DDoS僵尸网络也武器化了十几个漏洞来针对物联网设备。"攻击者不仅有动机针对存在漏洞的物联网设备,而且还会在成功控制后,将先前受感染的设备纳入他们自己的僵尸网络,"F5表示。
新加坡收紧消息规则以打击冒充诈骗
新加坡命令苹果和谷歌屏蔽冒充政府机构的消息
新加坡已命令苹果和谷歌,在 iMessage 和安卓支持RCS的"信息"应用中,屏蔽或过滤冒充政府机构的消息。要求该公司从2025年12月开始实施新的反欺骗保护措施,作为遏制日益增长的在线诈骗努力的一部分。据《海峡时报》报道,根据《在线刑事危害法案》,苹果已收到指令,要求这家科技巨头防止iMessage账户和群聊使用模仿新加坡政府机构或"gov.sg"发件人ID的名称。
Tor通过新的加密升级增强隐私性
Tor切换至新的Counter Galois洋葱中继加密算法
Tor项目背后的开发人员正在准备一个名为Counter Galois Onion (CGO)的重大升级,它将取代整个匿名网络中长期使用的中继加密方法。"它基于一种称为坚固伪随机置换(RPRP)的构造:本质上,它是一种抵抗单向可延展性(针对加密操作,而非解密操作)的宽分组密码设计,"Tor项目表示。"如果我们部署它,使客户端始终解密、中继始终加密,那么我们就获得了一种抗标记密码,且成本低于完整的SPRP[强伪随机置换]!"这些更新旨在提高沿电路进行主动攻击(如标记和流量拦截攻击)的成本,防止不良行为者篡改加密流量,增加前向安全性,并使网络更具弹性。
报告显示2025年购物季钓鱼攻击激增
卡巴斯基标记2025年发生640万次钓鱼攻击
卡巴斯基表示,在2025年的前十个月,其识别了近640万次钓鱼攻击,这些攻击针对在线商店、支付系统和银行的用户。"多达48.2%的攻击是针对在线购物者,"该公司称,并补充说其"检测到超过200万次与在线游戏相关的钓鱼攻击",且"在11月的前两周屏蔽了超过146,000条黑色星期五主题的垃圾邮件"。
隐蔽恶意软件针对OpenFind邮件服务器
ESET发现新的QuietEnvelope恶意软件
ESET披露了一个新工具集的细节,该工具集被命名为QuietEnvelope,专门针对OpenFind邮件服务器的MailGates邮件保护系统开发。该工具集包含Perl脚本和三个隐蔽后门,以及其他杂项文件。"Perl脚本主要负责部署三个被动后门,分别作为可加载内核模块(LKM)、Apache模块和注入的shellcode,"ESET表示。"它们共同使攻击者能够远程访问受入侵的服务器。" LKM组件("smtp_backdoor")监控端口6400上的入口TCP流量,并在数据包包含魔术字符串EXEC_OPENFIND时触发以执行命令。"Apache模块期望命令(通过popen执行)位于自定义的HTTP头部OpenfindMaster中,"ESET补充道。"第三个后门被注入到正在运行的mgsmtpd进程中。它能够检索文件内容和执行命令。默认情况下,它响应250 OK,这表明后门钩入了可能负责生成SMTP响应的代码。" 鉴于其复杂性和融入环境的能力,该工具被认为是某个未知的国家级威胁行为者的作品。ESET表示发现了用简体中文编写的调试字符串,简体中文主要用于中国大陆。
俄罗斯关联黑客滥用MSC漏洞进行隐蔽感染
Water Gamayun利用MSC EvilTwin漏洞
在Bing搜索"belay"会导向网站"belaysolutions[.]com",据称该网站已被恶意JavaScript入侵,该脚本会静默重定向到"belaysolutions[.]link",该域名托管着一个伪装成PDF的双扩展名RAR有效载荷。打开初始有效载荷会利用MSC EvilTwin (CVE-2025-26633)将代码注入mmc.exe,最终导致部署一个能够安装后门或窃取程序的加载器可执行文件。"运行时,mmc.exe解析加载恶意管理单元而非合法管理单元的MUI路径,触发带有编码PowerShell有效载荷的内置TaskPad命令,"Zscaler表示。"通过-EncodedCommand解码后,此脚本下载UnRAR[.]exe和一个受密码保护的RAR,提取下一阶段,短暂等待,然后对提取的脚本执行Invoke-Expression。"第二个脚本显示一个诱饵PDF,并下载执行加载器二进制文件。由于命令与控制(C2)基础设施无响应,有效载荷的确切性质尚不清楚。该攻击链被归因于一个名为Water Gamayun(又名EncryptHub)的与俄罗斯结盟的APT组织。
英国国家犯罪局揭露与俄罗斯规避制裁相关的加密货币洗钱活动
英国揭露数十亿美元洗钱网络
英国揭露了两家公司,Smart和TGR,它们通过收取费用,为网络犯罪、毒品贸易、枪支走私和移民犯罪清洗资金,以创造俄罗斯国家随后可用于规避国际制裁的"干净"加密货币。英国国家犯罪局(NCA)表示,这两个实体收购了吉尔吉斯斯坦的一家银行,以冒充合法运营。已知该网络至少在英国的28个城镇运营。"Smart和TGR合作为涉及网络犯罪、毒品和枪支走私的跨国犯罪集团洗钱,"NCA表示。"他们还帮助他们的俄罗斯客户非法绕过金融限制,在英国投资资金,威胁我们经济的完整性。"
微软Defender更新移除残留的恶意会议邀请
微软对恶意日历邀请采取行动
微软表示已更新Microsoft Defender for Office 365,以帮助安全团队删除Outlook在邮件投递过程中自动创建的日历条目。虽然可以使用诸如"移至垃圾邮件"、"删除"、"软删除"和"硬删除"等补救操作来消除用户收件箱中的邮件威胁,但这些操作并未触及原始邀请创建的日历条目。"通过此更新,我们正朝着弥补这一漏洞迈出第一步,"该公司表示。"硬删除现在也将删除任何会议邀请邮件相关联的日历条目。这确保了威胁被完全根除——不仅从收件箱,也从日历中——降低了用户与恶意内容交互的风险。"
泰国打击Worldcoin式生物特征收集
泰国禁止世界虹膜扫描
泰国的数据监管机构已命令TIDC Worldverse(在泰国代表Sam Altman创立的初创公司Tools for Humanity)停止为换取World(前称Worldcoin)加密货币支付而收集虹膜生物特征数据。它还要求删除已从120万泰国公民那里收集的生物特征数据。该项目在巴西、菲律宾、印度尼西亚和肯尼亚也遭遇了类似的禁令。
21岁网络安全专家因批评国家被拘留
俄罗斯以叛国罪逮捕科技企业家
21岁的科技企业家兼网络安全专家Timur Kilin于上周末在莫斯科因叛国罪被捕。虽然案件细节未知,但据推测,Kilin可能是在批评国家支持的消息应用Max以及政府的反网络犯罪立法后引起了当局的注意。
中文组织将全球短信钓鱼活动范围扩展至埃及
短信钓鱼"三人组"针对埃及金融部门和邮政服务
与"短信钓鱼三人组"(Smishing Triad)相关的威胁行为者已将其目标扩展到埃及,建立了冒充主要埃及服务提供商(包括Fawry、埃及邮政和Careem)的恶意域名。"短信钓鱼三人组"是一个专门使用名为"Panda"的钓鱼工具包在全球范围内进行大规模短信钓鱼活动的中文网络犯罪团伙。"除了美国服务冒充,该短信钓鱼工具包还提供广泛的国际模板,包括模仿知名互联网服务提供商如Du(阿联酋)的模板,"Dark Atlas表示。"这些模板旨在从不同地区的受害者那里收集个人身份信息(PII),显著扩大了该活动的全球覆盖范围。"最近,谷歌向美国纽约南区联邦地区法院(SDNY)提起民事诉讼,针对一个名为"Lighthouse"的大规模"钓鱼即服务"(PhaaS)平台,该平台已在120个国家诱捕了超过100万用户。Lighthouse是"短信钓鱼三人组"使用的PhaaS服务之一。这些PhaaS工具包主要通过一个名为王多雨 (@wangduoyu8) 的威胁行为者在Telegram上分发。
隐私服务因与数据经纪公司争议关联而终止
Mozilla将关闭Monitor Plus服务
Mozilla已宣布计划关闭Monitor Plus服务,该服务允许用户从数据经纪门户中删除其数据。该服务将于2025年12月17日逐步停止。它是通过与Onerep公司合作提供的,Onerep是一家有争议的公司,其白俄罗斯籍CEO Dimitiri Shelest被发现自2010年以来运营着数十个人们搜索网站服务。"Mozilla Monitor的免费监控服务将继续提供实时警报和分步指南,以减轻数据泄露的风险,"Mozilla表示。
钓鱼活动向俄罗斯公司目标投放远程访问木马
NetMedved使用RAT针对俄罗斯公司
一个名为NetMedved的新威胁行为者正通过包含ZIP存档的钓鱼邮件针对俄罗斯公司,ZIP存档中包含一个伪装成采购请求的LNK文件以及其他诱饵文档。打开LNK文件会触发一个多阶段感染序列,最终投放NetSupport远程访问木马(RAT)。据Positive Technologies称,该活动在2025年10月中旬被观测到。这一进展正值F6详细介绍了由VasyGrek(又名Fluffy Wolf)发起的新攻击,VasyGrek是一个讲俄语的电子犯罪行为者,自2016年以来因攻击俄罗斯公司以投递远程访问木马(RAT)和窃取程序恶意软件而闻名。2025年8月至11月期间记录的最新一系列攻击涉及使用Pay2Key勒索软件,以及由PureCoder开发的恶意软件,包括PureCrypter、PureHVNC和PureLogs窃取程序。
区块链托管的有效载荷投递AMOS、Vidar、Luma窃取程序
攻击利用EtherHiding和ClickFix技术投递信息窃取程序
威胁行为者正利用被注入恶意JavaScript的合法网站,向网站访问者提供虚假的CAPTCHA检查,其中包含Base64编码的有效载荷,通过使用EtherHiding技术显示适合操作系统的ClickFix诱饵。这涉及在区块链上隐藏中间JavaScript有效载荷,并使用部署在币安智能链(BSC)上的四个智能合约来确保受害者不是机器人,并将他们引导至特定于操作系统(OS)的合约。然而,只有在调用一个响应"是"或另一个值的"门"合约之后,才会交付特定于操作系统的JavaScript。"这扇门为攻击者提供了一个远程控制的功能开关,"Censys表示。"通过改变链上状态,操作者可以选择性地为特定受害者启用或禁用交付、限制执行速度,或暂时禁用整个活动。"在整个链条中分发的有效载荷包括常见的窃取程序,如AMOS和Vidar。根据NCC Group的报告,类似的"路过式"入侵攻击也被发现会利用ClickFix策略显示假冒的CAPTCHA验证,以投递Luma窃取程序。
微软将1300万封钓鱼邮件与顶级PhaaS操作关联
Tycoon 2FA成为最活跃的PhaaS平台
微软表示,被称为Tycoon 2FA(又名Storm-1747)的"钓鱼即服务"(PhaaS)工具包已成为该公司今年观察到的最多产的平台。仅在2025年10月,Microsoft Defender for Office 365就屏蔽了超过1300万封与Tycoon 2FA相关的恶意邮件。"超过44%被微软屏蔽的带CAPTCHA验证的钓鱼攻击被归因于Tycoon 2FA,"该公司表示。"Tycoon2FA还与10月份检测到的近25%的二维码钓鱼攻击直接相关。" Tycoon 2FA于2023年首次被发现,现已演变为一个强大的工具,它利用实时"中间对手"(AitM)技术来捕获凭证、窃取会话令牌和一次性代码。"该平台提供针对Microsoft 365、Gmail和Outlook的高保真钓鱼页面,并由于其基于订阅、低门槛的运营模式,已成为威胁行为者的首选工具,"CYFIRMA表示。
恶意软件利用AI模仿行为绕过行为防御
Xillen窃取程序升级以规避AI检测
新版本的Xillen窃取程序引入了高级功能,通过模仿合法用户并调整CPU和内存使用率以模仿正常应用程序,来规避基于AI的检测系统。其主要目标是窃取浏览器、密码管理器和云环境中的凭证、加密货币和敏感数据。它在Telegram上以每月99美元至599美元不等的价格进行销售。最新版本还包括使用AI基于加权指标和字典中定义的相关关键字来检测高价值目标的代码。这些目标包括加密货币钱包、银行数据、高级账户、开发者账户和商务电子邮件,以及位置指标,包括美国、英国、德国和日本等高价值国家,以及其他对加密货币友好的国家和金融中心。虽然此功能尚未由其作者(Xillen Killers)完全实现,但Darktrace表示,该进展显示了威胁行为者如何在未来的活动中利用AI。
联邦通信委员会逆转电信网络安全政策
FCC废除电信网络安全规则
美国联邦通信委员会(FCC)已废除了一套电信网络安全规则,这些规则是在去年"盐台风"(Salt Typhoon)间谍活动曝光后引入的,旨在防止国家级黑客入侵美国运营商。该规定于2025年1月生效。这一政策逆转是在FCC所称的运营商为降低运营风险并更好地保护消费者而采取的"广泛、紧急且协调一致的努力"之后做出的。该行动是在"与通信服务提供商进行长达数月的接触之后采取的,在此期间,他们证明了在'盐台风'事件后网络安全态势得到了加强,"该机构补充说,并表示已"采取了一系列行动来强化通信网络并改善其安全态势,以加强该机构对由网络事件导致的通信网络中断的调查流程。"这包括成立一个国家安全委员会,并通过了旨在解决关键通信基础设施网络安全风险的规定,且"不施加僵化和模糊的要求"。然而,FCC的公告没有详细说明将如何监控或执行这些改进措施。
青少年嫌疑人否认伦敦交通局黑客攻击指控
英国青少年对TfL攻击表示不认罪
两名英国青少年因去年对伦敦交通局(TfL)的网络攻击被指控违反《计算机滥用法案》,他们在上周的法庭听证会上表示不认罪。19岁的Thalha Jubair和18岁的Owen Flowers分别于2025年9月在伦敦东部和沃尔索尔的家中被英国国家犯罪局(NCA)的官员逮捕。
未修复漏洞让AI语音代理能够实现大规模诈骗
Retell AI API中的安全漏洞
Retell AI API中被披露存在一个安全漏洞,该API创建具有过多权限和功能的AI语音代理。这源于缺乏足够的防护措施,导致其大语言模型(LLM)产生非预期的输出。攻击者可以利用此行为策划大规模的社会工程、钓鱼和虚假信息活动。"该漏洞针对Retell AI易于部署和可定制的特性,以执行可扩展的钓鱼/社会工程攻击,"CERT协调中心(CERT/CC)表示。"攻击者可以向Retell AI的API提供公开可用的资源以及一些指令,以生成大量自动化的虚假电话。这些虚假电话可能导致未授权操作、安全漏洞、数据泄露和其他形式的操纵。" 该问题目前仍未修复。
研究显示网络犯罪就业市场反映现实世界经济
暗网就业市场是怎样的?
卡巴斯基的一项新分析显示,暗网继续作为一个平行的劳动力市场,拥有自己的规则、招聘实践和薪资期望,同时也受到当前经济力量的影响。"大多数求职者没有指定专业领域,69%的人表示愿意接受任何可用的工作,"该公司表示。"与此同时,市场上也存在着广泛的职位,特别是在IT领域。开发人员、渗透测试员和洗钱者仍然是最受欢迎的专业人士,逆向工程师的平均薪资最高。我们还观察到青少年在该市场中的显著存在,许多人寻求快速的小额收入,并且通常已经熟悉欺诈方案。"
Android恶意软件利用被入侵的合法网站隐藏流量
恶意应用程序使用被入侵的合法网站作为C2
AhnLab表示,发现了一个Android APK恶意软件("com.golfpang.golfpanggolfpang")冒充韩国知名配送服务,同时采取混淆和打包技术来逃避安全控制。该恶意软件窃取的数据被外泄至一个被入侵的、用作命令与控制(C2)的合法网站。"当应用程序启动时,它会向用户请求执行恶意行为所需的权限,"AhnLab表示。在类似的事件中,一个伪装成SteamCleaner的恶意程序正通过宣传破解软件的网站传播,以投递一个能够定期与C2服务器通信并执行攻击者下发命令的Node.js脚本。虽然尚不清楚通过C2通道发送了什么命令,但AhnLab表示该活动可能导致代理软件和其他有效载荷的安装。这些假冒安装程序托管在由威胁行为者管理的GitHub代码库中。
澳大利亚情报机构负责人警告针对关键系统的国家级网络威胁
澳大利亚间谍主管警告网络破坏威胁
澳大利亚安全情报组织(ASIO)总干事Mike Burgess披露,代表中国政府和军方行事的威胁行为者探查了该国的电信网络和关键基础设施。Burgess警告称,专制政权"越来越愿意使用网络破坏手段来干扰或摧毁关键基础设施"。据估计,间谍活动在2024年给该国造成了125亿澳元(81亿美元)的损失。然而,中国驳斥了这些言论,称其"传播虚假叙事,蓄意挑起对抗"。
假冒市长因运营大规模网络诈骗集团被判终身监禁
菲律宾判处运营诈骗园区的中国女子监禁
35岁的中国女子Alice Guo曾冒充当地人并于2022年当选为Bamban市市长,因在运营一个大型网络诈骗园区(该园区以在线赌场形式运营,当地称为菲律宾离岸博彩运营[Pogo])中所扮演的角色,被判犯有人口贩运罪,现被判处终身监禁。Guo与其他三人一起被判处终身监禁,并罚款200万比索(33,832美元)。
旧的Windows协议仍是凭证窃取的主要目标
威胁行为者继续滥用NTLM协议
威胁行为者利用微软Windows中的多个漏洞泄露NTLM哈希值并增强其入侵后攻击能力。这些漏洞包括被BlindEagle和Head Mare滥用的CVE-2024-43451,在针对俄罗斯的钓鱼攻击中被用于投递Warzone RAT的CVE-2025-24054,以及在一个针对乌兹别克斯坦金融部门未具名目标的"可疑活动"中被滥用的CVE-2025-33073。在此次攻击中,威胁行为者利用该漏洞检查其是否拥有足够权限来使用运行侦察命令、建立持久性、转储LSASS内存以及尝试(但未成功)横向移动到另一台主机管理共享的批处理文件执行代码。未检测到进一步活动。"尽管微软已宣布计划逐步淘汰它,但该协议在遗留系统和企业网络中的普遍存在使其仍然具有相关性和脆弱性,"卡巴斯基表示。"威胁行为者正积极利用新披露的漏洞来改进凭证中继攻击、提升权限并在网络内横向移动,这突显了NTLM仍然是一个重大的安全风险。"
这就是本周威胁日报的全部内容。大局是什么?网络犯罪正变得更快、更智能、更难以察觉——但保持警惕仍然胜过恐慌。请保持软件更新,对任何感觉不对劲的事物保持警觉,不要匆忙点击。我们所有人越保持敏锐,攻击者就越难得逞。
MYEMpdC9hms06DwNF82knO3Pc2ZfqgJeqi2bt3nCCr1rtzYrlD+PvPJP1xovueePx/m5yqR2bandoOD7fUfwmcPK7a3nh9F03c/0fmP8leM=
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号