HackerNews 编译，转载请注明出处： 周四，美国司法部（DoJ）宣布，在一项获得法庭授权的执法行动中，成功捣毁了多个物联网（IoT）僵尸网络（如 AISURU、Kimwolf、JackSkid 和 Mossad）所使用的命令与控制（C2）基础设施。 此次行动中，加拿大和德国的相关部门也对这些僵尸网络背后的操控者展开了打击。同时，包括阿卡迈（Akamai）、亚马逊网络服务（Amazon Web Services）、Cloudflare、DigitalOcean、谷歌、Lumen、诺基亚（Nokia）、奥克塔（Okta）、甲骨文（Oracle）、贝宝（PayPal）、SpyCloud、Synthient、Team Cymru、Unit 221B 在内的多家私营企业，也协助参与了调查工作。 美国司法部表示：“这四个僵尸网络针对全球范围内的受害者发动了分布式拒绝服务（DDoS）攻击。其中一些攻击流量高达约 30 太比特每秒，堪称破纪录的攻击。” 上个月，Cloudflare 在一份报告中将 2025 年 11 月发生的一次规模达 31.4 Tbps 且仅持续 35 秒的大规模 DDoS 攻击归因于 AISURU/Kimwolf。截至去年年底，据评估，该僵尸网络还发动了超大规模的 DDoS 攻击，平均每秒可达 30 亿数据包（Bpps）、4 Tbps 流量以及每秒 5400 万请求（Mrps）。 独立安全记者布莱恩・克雷布斯（Brian Krebs）还追踪到 Kimwolf 的管理员是来自加拿大渥太华的 23 岁男子雅各布・巴特勒（又名多特）。巴特勒告诉克雷布斯，自 2021 年起他就不再使用 “多特” 这个身份，并称在自己的旧账户遭入侵后，有人一直在冒充他。 巴特勒还称：“由于患有自闭症，在社交方面存在困难，他大多时候都待在家里帮母亲做家务。” 据克雷布斯透露，另一名主要嫌疑人是一名居住在德国的 15 岁少年。目前尚未有逮捕行动的相关消息公布。 该僵尸网络已将超 200 万台安卓设备纳入其网络，其中大部分是受感染的杂牌安卓电视。总体而言，这四个僵尸网络估计在全球范围内感染了不少于 300 万台设备，包括数字视频录像机、网络摄像头或无线路由器等，其中在美国就有数十万台。 美国司法部指出：“Kimwolf 和 JackSkid 僵尸网络被指控针对并感染那些通常与互联网其他部分隔离‘防火墙保护’的设备。受感染的设备被僵尸网络操控者控制。随后，操控者采用‘网络犯罪即服务’模式，将受感染设备的访问权限出售给其他网络犯罪分子。” 这些受感染的设备随后被用于对全球范围内的目标发动 DDoS 攻击。法庭文件指控，这四个 Mirai 僵尸网络变种已发出数十万条 DDoS 攻击指令： AISURU：超 20 万条 DDoS 攻击指令 Kimwolf：超 2.5 万条 DDoS 攻击指令 JackSkid：超 9 万条 DDoS 攻击指令 Mossad：超 1000 条 DDoS 攻击指令 亚马逊网络服务（AWS）副总裁兼杰出工程师汤姆・肖尔（Tom Scholl）在领英（LinkedIn）上发布的一篇文章中表示：“Kimwolf 代表了僵尸网络运作和扩展方式的根本性转变。与传统僵尸网络在开放互联网中扫描易受攻击设备不同，Kimwolf 利用了一种全新的攻击途径：住宅代理网络。通过受感染设备（包括流媒体电视盒和其他物联网设备）渗透家庭网络，该僵尸网络得以访问通常由家用路由器保护免受外部威胁的本地网络。” 阿卡迈表示，这些超大规模的僵尸网络发动的攻击流量超过 30 Tbps、每秒 140 亿个数据包以及每秒 300 万个请求，并补充说，网络犯罪分子利用这些僵尸网络发动了数十万次攻击，在某些情况下还向受害者索要勒索款项。 这家网络基础设施公司称：“这些攻击可能会严重破坏核心互联网基础设施，导致互联网服务提供商（ISP）及其下游客户的服务严重降级，甚至使高容量的基于云的缓解服务不堪重负。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 BitSight 报告，朗多克斯（RondoDox）僵尸网络的开发者大幅扩充了其攻击漏洞列表，且在攻击方式上更具针对性。 朗多克斯僵尸网络最早于去年下半年被详细披露，至少从 2025 年 3 月起就已活跃，当时安全研究人员观察到与之相关的首次攻击尝试。 自 2025 年 4 月起，该僵尸网络的运营者开始进行系统性的漏洞扫描，大多采用 “霰弹枪” 式的方法来入侵设备。 到 10 月时，它已针对 56 个漏洞发起攻击，其中包括一些未分配 CVE 编号的漏洞，12 月，有人发现它在攻击 React2Shell。 如今，BitSight 表示，由于其开发者密切关注漏洞披露信息，在漏洞被分配 CVE 编号之前就展开攻击，该僵尸网络的攻击漏洞列表已扩充至 174 个不同的漏洞。 此外，朗多克斯僵尸网络已将其攻击策略转变为更具针对性的方式。不再像之前观察到的 “霰弹枪” 方法那样，对同一设备发动多种攻击，而是聚焦于那些更有可能导致感染的特定漏洞。 抵御人工智能威胁 朗多克斯僵尸网络与 Mirai 有诸多相似之处，它也以瞄准弱密码和未经清理的输入来获取初始访问权限而闻名。它与 Mirai 的不同之处在于，其重点在于发动分布式拒绝服务（DDoS）攻击，而非扫描和感染更多设备。 为扩大僵尸网络规模，朗多克斯的运营者利用自身基础设施在互联网上扫描易受攻击的设备，然后部署可躲避检测的植入程序，清除其他恶意软件，找到合适的目录来放置主二进制文件并执行。 BitSight 对该僵尸网络的调查显示，它使用了二十多个 IP 地址用于设备攻击、有效载荷分发和僵尸网络管理，其中包括可能属于受感染系统的住宅 IP。 朗多克斯的运营者不断在其攻击漏洞列表中添加和删除漏洞，曾观察到他们在一天内使用多达 49 个漏洞。然而，大多数漏洞很快就被弃用。 BitSight 指出：“在研究每个漏洞的使用频率时，出现了明显的长尾趋势。虽然平均每个漏洞使用 18 天，但在已识别的 174 个漏洞中，近一半（84 个，占 48%）仅被使用一天。这表明他们尝试各种漏洞，并根据每个漏洞的成功率采取行动。” 据这家网络安全公司称，该僵尸网络的运营者似乎密切关注与漏洞相关的发布信息，至少有一次，他们在漏洞公开披露前两天就利用了该安全缺陷。 BitSight 称，尽管他们紧跟新漏洞信息，但运营者未能正确实施针对这些漏洞的可用攻击手段。 这家网络安全公司还指出，该僵尸网络似乎并未使用 “加载器即服务” 来进行分发，且之前有关朗多克斯具备 P2P 功能的报道似乎并不准确。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Aeternum C2 的新型僵尸网络加载器细节，该恶意软件采用基于区块链的命令与控制（C2）架构，使其难以被取缔。 Qrator Labs 在提交给 The Hacker News 的报告中表示：“Aeternum 不依赖传统服务器或域名实现命令与控制，而是将指令存储在公共的 Polygon 区块链上。” “该网络被包括全球最大预测市场 Polymarket 在内的去中心化应用广泛使用。这种方式使 Aeternum 的 C2 架构具备事实上的永久性，且能够抵御传统取缔手段。” 这并非首次发现僵尸网络依赖区块链实现 C2 通信。 2021 年，谷歌表示已采取行动干扰名为 Glupteba 的僵尸网络，该网络将比特币区块链用作备用 C2 机制，以获取真实 C2 服务器地址。 Aeternum C2 的相关细节最早于 2025 年 12 月曝光，Outpost24 旗下 KrakenLabs 披露，名为 LenAI 的威胁行为者在地下论坛以 200 美元的价格兜售该恶意软件，向客户提供管理面板与已配置的编译版本。 据称，支付 4000 美元即可获得完整的 C++ 源代码及后续更新。 该恶意软件为原生 C++ 加载器，提供 32 位与 64 位版本，其运行机制是将下发给受感染主机的命令写入 Polygon 区块链上的智能合约。 僵尸主机随后通过查询公共远程过程调用（RPC）端点读取这些命令。 所有操作均通过基于网页的管理面板进行，客户可在面板中选择智能合约、选择命令类型、指定载荷 URL 并进行更新。 可面向全部终端或指定终端的命令会以交易形式写入区块链，之后所有轮询该网络的受感染设备均可获取该命令。 Qrator Labs 表示：“命令一经确认，除钱包持有者外，其他任何人都无法修改或删除。” “操作者可同时管理多个智能合约，每个合约可承载不同的载荷或功能，例如剪切器、信息窃取器、远程访问木马或挖矿程序。” 根据 Ctrl Alt Intel 本月早些时候发布的两部分研究内容，该 C2 面板基于 Next.js 网页应用实现，允许操作者向 Polygon 区块链部署智能合约。智能合约中包含一个函数，当恶意软件通过 Polygon RPC 调用该函数时，合约会返回加密命令，该命令随后会在受害主机上解密并执行。 除利用区块链实现抗取缔能力外，该恶意软件还集成了多种反分析功能，以延长感染存活时间。其中包括检测虚拟化环境，同时为客户提供通过 Kleenscan 扫描其编译版本的能力，确保不被杀毒软件厂商检出。 这家捷克网络安全厂商表示：“运营成本极低：价值 1 美元的 Polygon 网络原生代币 MATIC，即可支持 100 至 150 次命令交易。操作者无需租用服务器、注册域名或维护任何基础设施，仅需一个加密货币钱包和面板的本地副本即可。” 该威胁行为者随后试图以 10000 美元的价格出售整套工具包，声称无暇提供支持且正在参与其他项目。LenAI 称：“我将把整个项目出售给一个人，允许转售和商业使用，授予全部‘权限’。我还会提供尚未实现的开发相关实用提示 / 笔记。” 值得注意的是，LenAI 还开发了另一款恶意软件工具 ErrTraffic，该工具可使威胁行为者在受攻陷网站上制造虚假故障，自动实施 ClickFix 攻击，制造虚假紧急感并诱骗用户执行恶意指令。 本次披露发布的同时，Infrawatch 也公布了一项地下服务的细节：该服务将专用笔记本硬件部署到美国家庭中，将这些设备纳入名为 DSLRoot 的住宅代理网络，用于转发恶意流量。 该硬件运行基于 Delphi 编写的 DSLPylon 程序，该程序具备枚举网络中受支持调制解调器的能力，并可通过安卓调试桥（ADB）集成功能远程控制家用网络设备与安卓设备。 Infrawatch 表示：“溯源分析确认，该服务运营者为白俄罗斯公民，常住地为明斯克和莫斯科。据估计，DSLRoot 在美国 20 多个州运营约 300 台活跃硬件设备。” 该运营者身份已确认为 Andrei Holas（别名 Andre Holas、Andrei Golas），该服务由 BlackHatWorld 上名为 GlobalSolutions 的用户推广，声称提供实体住宅 ADSL 代理，无限制使用价格为每月 190 美元。套餐价格为半年 990 美元、一年 1750 美元。 该公司指出：“DSLRoot 的定制软件可通过 ADB 对家用调制解调器（ARRIS / 摩托罗拉、贝尔金、D-Link、华硕）与安卓设备实现自动化远程管理，支持 IP 地址轮换与连接控制。” “该网络无需认证即可运行，允许客户端通过美国住宅 IP 匿名转发流量。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 SSHStalker 的新型 Linux 僵尸网络被记录在案，它使用 IRC（互联网中继聊天）通信协议进行命令与控制（C2）操作。 IRC 协议发明于 1988 年，在 20 世纪 90 年代达到普及顶峰，成为当时基于文本的群聊和私聊主流即时通信方案。技术社区至今仍认可其优势：实现简单、兼容性强、带宽需求低，且无需图形用户界面（GUI）。 SSHStalker 僵尸网络未采用现代 C2 框架，而是依赖经典 IRC 机制（如多款基于 C 语言开发的僵尸程序、多服务器 / 多频道冗余设计），优先保障弹性、规模和低成本，而非隐蔽性与技术新颖性。 威胁情报公司 Flare 的研究人员指出，该思路也体现在 SSHStalker 的其他运营特征中：例如使用易被检测的 SSH 扫描、1 分钟周期的定时任务（cron jobs），以及大量 15 年前的漏洞（CVE）利用程序。 Flare 表示：“我们实际发现的是一个‘噪音大’、拼接而成的僵尸网络工具包，融合了老式 IRC 控制、主机端编译二进制文件、大规模 SSH 攻陷、基于 cron 的持久化手段。换言之，其运营逻辑是‘规模优先’，更看重可靠性而非隐蔽性。” SSHStalker 通过自动化 SSH 扫描和暴力破解实现初始入侵，使用一个伪装成热门开源网络发现工具 nmap 的 Go 语言二进制程序。被攻陷的主机会被用于扫描更多 SSH 目标，形成类似蠕虫的僵尸网络传播机制。 Flare 发现了一个包含近7000次僵尸程序扫描结果的文件，这些扫描均发生在一月份，且主要针对 Oracle 云基础设施中的云托管提供商。 SSHStalker 感染主机后，会下载 GCC 工具在受害设备上编译载荷，以提升可移植性和规避检测能力。首批载荷为内置硬编码 C2 服务器和频道的 C 语言 IRC bot 程序，将新受害主机接入僵尸网络的 IRC 基础设施。 接着，恶意软件会获取名为 GS 和 bootbou 的压缩包，其中包含用于编排和执行序列的僵尸程序变体。持久化通过每 60 秒执行一次的 cron 任务实现，该任务启动看门狗式更新机制，检查主 bot 进程是否运行，若被终止则重新启动。 该僵尸网络还包含针对 2009-2010 年版 Linux 内核的 16 个 CVE 漏洞利用程序。这些程序用于在前期暴力破解获得低权限用户访问权限后，进行权限提升。 盈利方面，Flare 发现该僵尸网络会窃取 AWS 密钥并进行网站扫描。同时还内置加密货币挖矿工具包，例如高性能以太坊挖矿程序 PhoenixMiner。该僵尸网络还具备分布式拒绝服务（DDoS）攻击能力，但研究人员表示暂未观测到相关攻击。事实上，SSHStalker 的 bot 程序目前仅连接 C2 后进入空闲状态，表明现阶段可能处于测试或囤积访问权限阶段。 Flare 尚未将 SSHStalker 归因于特定的威胁组织，但指出其与 Outlaw/Maxlas 僵尸网络生态系统存在相似性，并关联多项罗马尼亚相关线索。 该威胁情报公司建议在生产服务器上部署针对编译器安装和执行的监控方案，并对 IRC 风格的出站连接设置警报。来自异常路径且执行周期短的 cron 任务也是重要的危险信号。 缓解建议包括禁用 SSH 密码认证、从生产环境镜像中移除编译器、实施出口过滤以及限制从“/dev/shm”目录执行文件。         消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名老牌恶意软件家族 SystemBC 的相关攻击活动，已波及全球超 1 万个受感染 IP 地址，其中包括敏感政府基础设施关联设备。 据 Silent Push 发布的最新研究显示，该发现进一步印证了业界担忧 ——SystemBC 持续被用作入侵行动的早期渗透工具，且其出现往往预示着后续勒索软件的投放。 SystemBC（亦被称为Coroxy或DroxiDat）于 2019 年首次被公开披露，是一款多平台代理恶意软件，可将受感染设备改造为 SOCKS5 代理中继。这些代理中继可让威胁行为者通过受害者设备转发恶意流量，既隐藏自身基础设施，又能持续维持对内网的访问权限。 观测显示，部分 SystemBC 感染事件中还会附带投放其他恶意软件，进一步扩大攻击影响范围。Silent Push 分析师表示，因多次观测到 SystemBC 在勒索软件攻击事件前出现，团队于 2025 年开始对其活动进行系统化追踪。 为了更有效地监测，研究团队开发了专门的SystemBC追踪指纹，得以大规模识别受感染主机及其背后的支持设施。通过这种方法，他们发现了超过1万个独特的受感染IP地址，相关活动痕迹最早可追溯到2019年。 全球传播态势与持续威胁 受感染设备呈全球分布态势，美国感染数量最多，德国、法国、新加坡、印度紧随其后。多数受感染设备部署于数据中心环境而非家用网络，这也是其感染状态往往能持续数周甚至数月的原因之一。 最值得关注的发现之一是一款此前未被记录的 SystemBC 变种，该变种基于 Perl 语言开发。该变种专门针对 Linux 系统，分析当时在 62 款杀毒引擎中均未被检出。 研究还显示，SystemBC 的命令与控制（C2）基础设施常依托抗滥用高防托管服务商搭建，包括 BTHoster 及自治系统 213790（又称 BTCloud）关联的托管环境。仅在一个托管集群中，分析师就识别出超 10340 个受害者 IP 地址，平均感染时长 38 天，部分甚至超过 100 天。 该数据集包含布基纳法索、越南两国政府官方网站的托管 IP 地址，且这些 IP 已遭攻陷。这些政府关联设备不仅是攻击受害者，还被纳入代理网络供攻击者使用，大幅提升了此次攻击的潜在危害。 为防范同类威胁，Silent Push 建议开展主动监测，并警示：SystemBC 的活动往往出现在入侵链路早期，且通常先于勒索软件投放发生。 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个在美国国土安全部内部明显发生数据泄露后成立的争议性网站，其创始人透露，该网站因遭受持续的DDoS攻击而被迫下线。 多米尼克·斯金纳告诉《每日野兽》，他的”ICE名单”网站从周二晚间开始遭受”持久且复杂”的网络攻击。截至发稿时，网站仍然处于瘫痪状态，使得相关方无法查询为美国移民和海关执法局及边境巡逻队工作的探员身份信息。 斯金纳声称，导致网站瘫痪的流量来自一个俄罗斯的僵尸网络农场。但这并不一定意味着攻击者身在俄罗斯，因为DDoS攻击活动常常使用该国的IP地址。 “这些IP地址在到达我们的服务器之前会经过代理，这意味着根本无法追踪来源，”斯金纳告诉该媒体。”不过，持续如此长时间的攻击是相当复杂的。” 斯金纳及其团队目前正试图更换服务器以恢复网站上线，尽管据报道他承认该网站将继续成为DDoS攻击者的主要目标。 数千人信息面临泄露风险 这个自称为”问责倡议”的网站，是在据报道DHS内部一名举报人向斯金纳分享了4500名ICE及边境巡逻官员的详细信息后启动的，其中包括许多”一线”探员。 据称，泄露的数据包含姓名、工作邮箱地址、电话号码、职位头衔与职责，以及简历风格的背景信息，如过往工作经历。 一旦网站恢复上线，这些数据将与现有的2000名联邦移民官员个人信息库合并。据报道，该网站托管在荷兰，使其不受美国当局的管辖。 这名DHS举报人是在明尼苏达州一名ICE探员枪杀37岁、三个孩子的母亲蕾妮·妮可·古德后，决定采取行动的。 Reddit用户评论指出，斯金纳本可以采取一种更具韧性的方法，即将这些争议数据放在种子文件中，并发布链接。这将使其更难通过DDoS攻击被关闭。另一位用户发布了该网站的存档链接，目前仍可访问。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员提醒，多起攻击行动正在利用已知安全漏洞和暴露的 Redis 服务器从事多种恶意活动，包括将受害设备变为物联网僵尸网络、住宅代理或加密货币挖矿基础设施。 第一类攻击涉及对 CVE-2024-36401（CVSS 评分：9.8）的利用，这是一种影响 OSGeo GeoServer GeoTools 的严重远程代码执行漏洞，自去年底以来已被武器化用于网络攻击。 Palo Alto Networks Unit 42 的研究人员 Zhibin Zhang、Yiheng An、Chao Lei 和 Haozhe Zhang 在技术报告中表示：“犯罪分子利用该漏洞部署合法的软件开发工具包（SDK）或修改过的应用，以通过网络共享或住宅代理获得被动收入。” “这种被动收入的方式尤其隐蔽。它模仿了一些正规应用开发者的变现策略，这些开发者选择 SDK 而不是展示传统广告。这可能是出于善意的选择，旨在保护用户体验并提升应用留存率。” 该网络安全公司表示，攻击者至少自 2025 年 3 月初起就开始探测暴露在互联网上的 GeoServer 实例，借此植入由对手控制的服务器下载的定制可执行文件。与常见的 HTTP 服务器不同，这些载荷通过一个私有文件共享服务 transfer.sh 分发。 此次行动中使用的应用程序尽量保持低调，几乎不消耗资源，同时通过隐秘的方式利用受害者的网络带宽获利，而无需分发定制恶意软件。这些二进制文件由 Dart 编写，旨在与合法的被动收入服务交互，悄悄利用设备资源进行带宽共享等活动。 这种方式对各方来说都是“双赢”：应用开发者通过集成该功能获得报酬，而网络犯罪分子则能借助看似无害的渠道，从闲置带宽中获利。 Unit 42 表示：“一旦运行，可执行文件会在后台秘密工作，监控设备资源，并在可能时非法共享受害者带宽。这为攻击者带来被动收入。” 该公司收集的遥测数据显示，全球共有 99 个国家的 7100 多个 GeoServer 实例暴露在互联网上，其中中国、美国、德国、英国和新加坡位居前五。 Unit 42 指出：“这场持续的行动展示了攻击者在变现受害系统方面的重要演进。攻击者的核心策略强调隐蔽且持久的收益，而不是对资源的激烈利用。这种方式更倾向于长期、低调的收入生成，而非容易被察觉的技术。” 与此同时，Censys 披露了一个大规模物联网僵尸网络 PolarEdge 的基础设施，该网络由企业级防火墙及路由器、网络摄像头和 VoIP 电话等消费类设备组成，通过利用已知安全漏洞形成。目前其确切用途尚不清楚，但很明显它并未被用于无差别的大规模扫描。 攻击者在获得初始访问权限后，会植入一个基于 Mbed TLS 的定制 TLS 后门，该后门可实现加密的指挥与控制、日志清理以及动态基础设施更新。该后门通常被部署在高位的非标准端口上，可能是为了绕过传统的网络扫描与防御监控范围。 PolarEdge 的特征符合“运营中继箱”（ORB）网络。攻击面管理平台指出，该行动可能最早可追溯至 2023 年 6 月，截至本月，活跃设备数量已达约 4 万台，感染设备中超过 70% 分布在韩国、美国、中国香港、瑞典和加拿大。 安全研究员 Himaja Motheram 表示：“ORB 是被攻陷的出口节点，用来转发流量，以便为威胁行为者执行更多的入侵或攻击。ORB 的价值在于，攻击者无需接管设备的核心功能，它们可以在后台安静地中继流量，而设备仍然保持正常运行，从而让设备所有者或运营商难以察觉。” 近几个月来，攻击者还利用 DrayTek、TP-Link、Raisecom 和 Cisco 等厂商产品中的漏洞入侵设备，并部署一个代号为 gayfemboy 的 Mirai 变种，表明攻击范围正在扩大。 Fortinet 表示：“gayfemboy 行动覆盖多个国家，包括巴西、墨西哥、美国、德国、法国、瑞士、以色列和越南。其目标涉及广泛行业，如制造业、科技、建筑业，以及媒体或通信。” gayfemboy 能够针对多种系统架构，包括 ARM、AArch64、MIPS R3000、PowerPC 和 Intel 80386。它具备四个主要功能： Monitor：跟踪线程和进程，并具备持久化和沙箱逃避技术 Watchdog：尝试绑定到 UDP 端口 47272 Attacker：通过 UDP、TCP 和 ICMP 协议发起 DDoS 攻击，并连接远程服务器获取命令以实现后门访问 Killer：在接收到服务器指令或检测到沙箱环境时自我终止 安全研究员 Vincent Li 表示：“虽然 gayfemboy 继承了 Mirai 的结构元素，但它引入了显著的改进，提升了复杂性和规避检测的能力。这一演变反映出现代恶意软件的日益复杂化，也凸显了主动、情报驱动防御策略的必要性。” 与此同时，另一起加密劫持行动也被曝光。威胁行为者 TA-NATALSTATUS 正在针对暴露的 Redis 服务器投放加密货币挖矿程序。 攻击方式包括扫描 6379 端口上的未认证 Redis 服务器，然后执行合法的 CONFIG、SET 和 SAVE 命令，进而创建一个恶意的定时任务，运行脚本以关闭 SELinux、规避防御、阻断 Redis 端口的外部连接（防止其他攻击者入侵），并终止竞争对手的挖矿进程（如 Kinsing）。 攻击者还会部署脚本安装 masscan 或 pnscan 等工具，随后执行类似“masscan –shard”的命令扫描互联网上的易受攻击 Redis 实例。最后一步是通过每小时的定时任务建立持久化，并启动挖矿进程。 网络安全公司 CloudSEK 表示，该活动是 Trend Micro 在 2020 年 4 月披露的一次攻击行动的演化版本，新增了类似 rootkit 的功能，以隐藏恶意进程并修改文件时间戳，从而迷惑取证分析。 研究员 Abhishek Mathew 表示：“通过将系统二进制文件 ps 和 top 重命名为 ps.original，并用恶意包装器替代，它们会在输出中过滤掉自身的恶意进程。管理员在使用标准工具寻找矿工进程时，将无法发现它的存在。他们还将 curl 和 wget 分别重命名为 cd1 和 wd1。这是一种简单但巧妙的方法，可以绕过那些专门监控 curl、wget 下载行为的安全产品。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国阿拉斯加地区检察官办公室8月19日通报，俄勒冈州一名22岁男子因运营名为Rapper Bot的DDoS租赁僵尸网络被起诉。该网络涉嫌在80多个国家发起平均规模达2-3太比特（Tb）的大规模攻击。 犯罪嫌疑人Ethan Foltz被控一项协助和教唆计算机入侵罪。若罪名成立，其将面临最高10年监禁。 该僵尸网络主要通过感染数字录像机（DVR）和WiFi路由器等设备组建，利用恶意软件大规模劫持设备。客户随后向这些受感染设备发送指令，强制其向全球目标服务器发送海量DDoS流量。 据指控，Foltz通过向付费客户提供访问权限来牟利，使对方得以操控“当前最复杂强大的DDoS租赁僵尸网络之一”。 Rapper Bot被控发起超6 Tbps攻击 刑事起诉书显示，合作方数据证实自2025年4月至今，Rapper Bot涉嫌发动超37万次攻击，波及1.8万个独立受害者。该僵尸网络操控约6.5万至9.5万台受感染设备，定期发起每秒2-3太比特（Tbps）的DDoS攻击，最大攻击规模可能超过6 Tbps。 美国阿拉斯加地区检察官迈克尔·J·海曼表示：“Rapper Bot是史上最强大的DDoS僵尸网络之一，但国防刑事调查局（DCIS）网络部门的出色工作，加上本办公室及行业伙伴的支持，已终结福尔茨的管理权限，有效瓦解了这一跨国犯罪组织的活动。” 受害者遭勒索与经济损失 法庭文件指出，强大的DDoS攻击导致受害者面临收入损失、客户流失、应急资源消耗及带宽成本增加等问题。根据起诉书，一次持续30秒的2 Tbps级DDoS攻击可造成受害者500至10,000美元不等的损失。 据指控，部分Rapper Bot客户还利用DDoS攻击实施勒索。受害者包括美国政府网络、知名社交媒体平台及多家美国科技公司。 司法部指出，2025年4月至今，“Rapper Bot”据称已发起超过37万次攻击，波及约1.8万名受害者。受影响最严重的前五个国家及地区为中国、日本、美国、爱尔兰和中国香港。 美国境内受害者包括联邦政府网络、一家大型社交媒体公司，以及多家为国防部提供服务的科技企业。调查人员还在本案起诉地阿拉斯加州发现至少5台受感染设备曾被用于参与攻击。司法部强调：“这些攻击背后存在明显的勒索意图。” 国防部监察长办公室DCIS网络分局特别探员主管肯尼思·德切利斯强调，对福尔茨的指控凸显了执法部门持续打击针对国防部及国防工业新兴网络威胁的决心：“Rapper Bot恶意软件是明确的威胁，DCIS与行业伙伴及阿拉斯加联邦检察官办公室的专注行动，向危害国防部人员、基础设施和知识产权的行为者发出了明确警告——其行径必将付出代价。”       消息来源： therecord；infosecurity-magazine 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型攻击技术可操控全球数千台公共域控制器（DC）组建恶意僵尸网络，用于发动高威力分布式拒绝服务（DDoS）攻击。该技术被SafeBreach研究人员奥尔·亚伊尔（Or Yair）和沙哈克·莫拉格（Shahak Morag）命名为Win-DDoS，并于今日在DEF CON 33安全大会上公布研究成果。 亚伊尔和莫拉格在报告中指出：“分析Windows轻量级目录访问协议（LDAP）客户端代码时，我们发现其转介流程存在重大缺陷。攻击者可操纵该流程，诱导域控制器向目标服务器发送海量请求致其瘫痪。”他们进一步解释：“由此开发的Win-DDoS技术，能让黑客无需任何成本且不留痕迹地操控全球数万台公共域控制器，组建具备巨大算力和带宽的恶意僵尸网络。” 攻击核心机制 该技术无需代码执行或凭证即可将域控制器转化为DDoS武器，使Windows平台同时成为受害者和攻击载体。攻击流程分为四步： 攻击者向域控制器发送RPC调用，触发其成为CLDAP客户端； 域控制器向攻击者的CLDAP服务器发送请求，服务器返回转介响应，指示域控制器切换至TCP协议连接攻击者的LDAP服务器； 域控制器通过TCP向攻击者的LDAP服务器发送查询； 攻击者的LDAP服务器返回包含超长转介URL列表的响应，所有URL均指向目标服务器的同一IP和端口。 研究人员说明：“当TCP连接因目标服务器过载而中断后，域控制器会继续访问列表中指向同一服务器的下一个URL。此过程循环直至遍历完整个列表，形成创新的Win-DDoS攻击链。” 技术优势与危害 Win-DDoS的核心威胁在于其具备高带宽攻击能力，且攻击者无需购买专用基础设施或入侵设备，可完美隐藏行踪。深入分析LDAP客户端转介流程还发现： 利用转介列表长度无限制及堆内存未释放的设计缺陷，发送超长列表可导致LSASS服务崩溃、系统重启或触发蓝屏死机（BSoD）； 处理客户端请求的传输无关代码中存在三个新型零点击、无需认证的拒绝服务（DoS）漏洞，可瘫痪域控制器； 另有一个漏洞允许域内任何认证用户崩溃域控制器或Windows主机。 相关漏洞清单 研究披露的四项漏洞均属“不受控资源消耗”类型： CVE-2025-26673（CVSS 7.5）：Windows LDAP服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年5月修复） CVE-2025-32724（CVSS 7.5）：Windows LSASS服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年6月修复） CVE-2025-49716（CVSS 7.5）：Windows Netlogon服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年7月修复） CVE-2025-49722（CVSS 5.7）：Windows打印后台程序漏洞，相邻网络认证攻击者可实施拒绝服务（2025年7月修复） 打破安全假设 这些发现与今年1月披露的LdapNightmare漏洞（CVE-2024-49113）共同揭示：Windows系统存在可瘫痪企业运营的盲点。研究人员强调：“这些漏洞均为零点击、无需认证型，攻击者能远程崩溃公开暴露的系统。即使仅获得内部网络最低权限，也能对私有基础设施造成同等破坏。”他们总结：“研究颠覆了企业威胁建模的两大常见假设：拒绝服务风险仅影响公共服务；内部系统在完全失陷前不会被滥用。这对企业韧性建设、风险模型和防御策略具有重大意义。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现名为PlayPraetor的新型安卓远程访问木马（RAT），已感染超11,000台设备，主要分布在葡萄牙、西班牙、法国、摩洛哥、秘鲁及中国香港地区。Cleafy研究员团队（Simone Mattia等）在分析中指出：“僵尸网络近期每周新增感染超2,000例，其快速增长源于针对西班牙语和法语使用者的定向攻击策略，标志着攻击目标已从传统受害群体转向。” PlayPraetor通过中文控制面板（C2）管理，其核心机制未脱离常见安卓木马模式：滥用无障碍服务获取远程控制权，并能在近200款银行应用及加密货币钱包上叠加伪造登录界面，以劫持用户账户。该木马最早由巴林公司CTM360于2025年3月曝光，其利用数千个伪造Google Play商店下载页面实施大规模欺诈活动，可窃取银行凭证、监控剪贴板内容并记录键盘输入。“假冒页面链接通过Meta广告及短信传播，诱使用户点击后下载恶意APK文件。”CTM360在报告中强调。 该行动被评估为全球协同攻击，包含五种变体： 渐进式网页应用（PWA）：部署欺骗性网页应用 钓鱼攻击（Phish）：基于WebView的欺诈应用 隐匿模块（Phantom）：利用无障碍服务实现持久化C2控制（即PlayPraetor本体） 伪装攻击（Veil）：通过邀请码实施钓鱼，诱骗用户购买假冒商品 远程控制（RAT）：通过EagleSpy及SpyNote工具实现完全远程操控 据意大利欺诈防护公司分析，Phantom变体具备设备端欺诈（ODF）能力，由两大主要运营团伙控制约60%的僵尸网络（约4,500台设备），重点针对葡语用户。“其核心功能依赖安卓无障碍服务实现对受害设备的实时全面控制，”Cleafy指出，“这使得攻击者能直接在受害者设备上执行欺诈操作。” 木马安装后通过HTTP/HTTPS连接C2服务器，并建立WebSocket双向指令通道，同时利用实时消息传输协议（RTMP）发起设备屏幕直播。持续新增的控制指令表明该木马处于活跃开发阶段，支持全面数据窃取。近期攻击更频繁针对西班牙语及阿拉伯语使用者，标志其恶意软件即服务（MaaS）模式正加速扩张。 中文控制面板不仅用于实时操控设备，还能生成仿冒Google Play商店的定制化恶意页面（适配桌面及移动端）。“行动成功依托成熟的运营方法，采用多级分销的MaaS模式，”Cleafy表示，“该结构支持开展广泛且精准的定向攻击。” PlayPraetor是中文威胁组织实施金融欺诈的最新工具，延续了ToxicPanda及SuperCard X等恶意软件近年的发展趋势。 关联威胁动态 ToxicPanda升级：BitSight数据显示其已感染葡萄牙约3,000台设备（西班牙/希腊/摩洛哥/秘鲁次之）。攻击链采用TAG-1241流量分发系统（TDS），通过伪造Chrome更新提示传播。新版植入域名生成算法（DGA）增强C2韧性，新增备用C2域名设置及恶意覆盖层控制指令。 DoubleTrouble浮现：Zimperium曝光的新型银行木马已突破传统覆盖攻击模式，新增屏幕录制、键盘记录及阻断特定应用启动功能。其通过Discord频道托管恶意网站传播，深度滥用无障碍服务实施欺诈。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文