最新文章
Top News
Kimwolf 僵尸网络劫持 180 万台安卓电视,发起大规模 DDoS 攻击
HackerNews 编译,转载请注明出处:
根据奇安信XLab的研究,一个名为Kimwolf的新型分布式拒绝服务僵尸网络已组建了一支由至少180万台受感染设备组成的大军,这些设备包括基于安卓系统的电视、机顶盒和平板电脑,并且可能与另一个名为 AISURU 的僵尸网络存在关联。
"Kimwolf是一个使用NDK编译的僵尸网络," 该公司在今天发布的一份报告中表示。"除了典型的DDoS攻击能力外,它还集成了代理转发、反向Shell和文件管理功能。"
据估计,这个超大规模僵尸网络在2025年11月19日至22日的三天内发出了17亿条DDoS攻击命令。大约在同一时间,其一个C2域名曾登顶Cloudflare的全球前100域名榜单,甚至一度短暂超越谷歌。
Kimwolf的主要感染目标是部署在家庭网络环境中的电视盒子。部分受影响的设备型号包括TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV和MX10。感染分布在全球,其中巴西、印度、美国、阿根廷、南非和菲律宾的感染密度较高。然而,恶意软件传播到这些设备的具体方式目前尚不清楚。
XLab表示,其调查始于2025年10月24日从一位可信的社区合作伙伴处收到Kimwolf的"第四版"样本。自那以后,上月又发现了另外八个样本。
"我们观察到,Kimwolf的C2域名至少被未知方成功关闭了三次,迫使其升级策略,转而使用ENS来强化其基础设施,这展示了其强大的进化能力," XLab研究人员说。
不仅如此,本月早些时候,XLab成功夺取了其中一个C2域名的控制权,从而得以评估该僵尸网络的规模。
Kimwolf一个有趣的方面是它与臭名昭著的AISURU僵尸网络有关联,后者是过去一年中一些破纪录DDoS攻击的幕后黑手。据推测,攻击者在早期阶段重用了AISURU的代码,后来才选择开发Kimwolf僵尸网络以规避检测。
XLab表示,其中一些攻击可能并非仅来自AISURU,Kimwolf可能参与甚至主导了这些攻击。
"这两个主要的僵尸网络在9月至11月期间通过相同的感染脚本传播,共存于同一批设备中," 该公司表示。"它们实际上属于同一个黑客组织。"
这一评估基于上传到VirusTotal平台的APK包的相似性,在某些情况下甚至使用了相同的代码签名证书。2025年12月8日发现了更确凿的证据:一个活跃的下载服务器被发现包含一个同时引用Kimwolf和AISURU APK文件的脚本。
恶意软件本身相当直接。一旦启动,它会确保在受感染设备上只运行一个进程实例,然后继续解密嵌入的C2域名,使用基于TLS的DNS获取C2 IP地址,并连接到该地址以接收和执行命令。
截至2025年12月12日检测到的最新版本僵尸网络恶意软件引入了一种名为EtherHiding的技术,该技术利用ENS域名从相关的智能合约中获取实际的C2 IP地址,旨在使其基础设施对打击行动更具弹性。
具体来说,这涉及到从事务的"lol"字段中提取IPv6地址,然后取该地址的最后四个字节,并用密钥"0x93141715"进行异或运算以得到实际的IP地址。
除了加密与C2服务器和DNS解析器相关的敏感数据外,Kimwolf还使用TLS加密进行网络通信以接收DDoS命令。总体而言,该恶意软件支持13种基于UDP、TCP和ICMP的DDoS攻击方法。根据XLab的数据,攻击目标位于美国、中国、法国、德国和加拿大。
进一步分析确定,超过96% 的命令涉及使用僵尸节点提供代理服务。这表明攻击者试图利用受感染设备的带宽并最大化利润。作为这项工作的一部分,一个基于Rust的命令客户端模块被部署以形成代理网络。
同时分发给节点的还有ByteConnect SDK,这是一个允许应用程序开发者和物联网设备所有者将其流量货币化的变现解决方案。
"巨型僵尸网络起源于2016年的Mirai,感染目标主要集中在家庭宽带路由器和摄像头等物联网设备上," XLab表示。"然而,近年来,诸如Badbox、Bigpanzi、Vo1d和Kimwolf等百万级别的巨型僵尸网络信息被披露,这表明一些攻击者已经开始将注意力转向各种智能电视和电视盒子。"
...
新型 Mirai 僵尸网络导致TVT DVR漏洞利用激增
HackerNews 编译,转载请注明出处:
...
未修复的 Edimax 摄像头漏洞自去年起遭利用进行 Mirai 僵尸网络攻击
HackerNews 编译,转载请注明出处:
自 2024 年 5 月以来,攻击者一直在利用 Edimax IC-7100 网络摄像头的一个未修复安全漏洞来分发 Mirai 僵尸网络恶意软件变种。
...
Mirai 变种 Murdoc Botnet 利用 AVTECH IP 摄像头和华为路由器的安全漏洞
...
新型 Mirai 僵尸网络利用 NVR 和 TP-Link 路由器漏洞
HackerNews 编译,转载请注明出处:
自10月起,一个基于Mirai的新型僵尸网络开始活跃利用DigiEver DS-2105 Pro NVR设备中的一个未打补丁的远程代码执行漏洞。该漏洞尚未获得正式的跟踪编号。
该僵尸网络的攻击目标不仅限于DigiEver设备,还包括多个网络视频录制机(NVR)和固件版本过时的TP-Link路由器。
TXOne研究员Ta-Lun Yen去年在罗马尼亚布加勒斯特的DefCamp安全会议上曾展示过一个影响多个DVR设备的类似漏洞。Akamai的研究员发现,尽管该僵尸网络自11月中旬才开始大规模利用这一漏洞,但相关活动迹象至少可以追溯到9月。
此外,这个新型的Mirai恶意软件变种还针对TP-Link设备上的CVE-2023-1389漏洞和Teltonika RUT9XX路由器上的CVE-2018-17532漏洞发起了攻击。
攻击DigiEver NVR
...
新型 Mirai 木马变种利用 27 个漏洞 瞄准企业设备
据外媒ZDNet报道,安全研究人员发现了一种新型的Mirai IoT恶意软件变种,针对2种设备——智能信号电视和无线演示系统。
...
新型僵尸网络 HNS 不断增长,已感染逾 2 万物联网设备
外媒 1 月 25 日消息,一个名为 Hide'N Seek( HNS )的新僵尸网络正在世界各地不断增长,对物联网设备造成重大影响(截至目前为止,受感染的物联网设备数量已达 2 万)。据研究人员介绍,HNS 僵尸网络使用定制的点对点通信来诱捕新的物联网设备并构建其基础设施,目前 HNS 主要是针对不安全的物联网设备,尤其是 IP 摄像机。
...
Mirai Okiru:首个旨在感染 ARC CPU 的新型 Linux ELF 恶意软件
外媒 1 月 14 日信息,MalwareMustDie 团队首次发现了一种用于感染 ARC CPU 的 Linux ELF 恶意软件—— Mirai Okiru,旨在针对基于 ARC 的系统。据悉,Mirai Okiru 在被发现之前几乎没有任何的反病毒引擎可以检测到,再加上目前 Linux 物联网的威胁形势迅速变化,因此研究人员认为攻击者将会利用 Mirai Okiru 瞄准基于 ARC CPU 的物联网设备,从而导致毁灭性的影响。
ARC (Argonaut RISC Core)嵌入式处理器是一系列由 ARC International 设计的32 位 CPU,其广泛用于存储、家用、移动、汽车和物联网应用的 SoC 器件。
...
2017 上半年 DDoS 攻击数量倍增,罪魁祸首竟然是它?
网络安全公司 Corero 于近期发布一份报告,宣称 2017 上半年的 DDoS 攻击数量增加一倍,起因竟是各企业及用户所使用的不安全物联网(IoT)设备。据称,只要用户设备在线联网,其拒绝服务(DDoS)攻击就将存在。倘若企业依赖互联网销售产品或协作,那么 DDoS 攻击不仅仅是一个麻烦,更将影响企业后续发展。
...
新木马以 Windows 为跳板传播恶意软件 Mirai
安全公司 Dr.Web 发现一种 Windows 木马 Trojan.Mirai.1 。黑客正在使用它传播恶意软件 Mirai 、感染物联网设备进行大规模 DDoS 攻击。
...