GhostPoster隐写攻击:Firefox扩展潜在危急

宣布时间 2025-12-18

1. GhostPoster隐写攻击:Firefox扩展潜在危急


12月16日,Koi Security研究职员揭破一项名为"GhostPoster"的新型网络攻击运动,该运动通过将JavaScript代码隐藏在下载量超5万次的Firefox恶意扩展程序图像徽标中,实现浏览器监控与后门植入。恶意代码付与攻击者长期高权限会见能力,可挟制电商同盟链接、注入跟踪代码、实验点击及广告诓骗,并移除HTTP响应中的清静标头。该攻击接纳隐藏加载器机制:隐藏剧本每十次实验仅获取一次有用载荷,配合48小时激活延迟及备用域名设计,大幅降低被交通监控工具检测的危害。有用载荷经巨细写交流、Base64编码及异或加密处置惩罚,需使用扩展程序运行时ID派生密钥解码。最终载荷具备多重恶意功效:在所有页面注入Google Analytics跟踪代码;通过三种机制绕过验证码;注入15秒后自动删除的不可见iframe举行广告诓骗;挟制同盟链接将佣金重定向至攻击者。研究识别出17个被入侵的Firefox扩展程序,均来自热门种别如"永世免费VPN""最佳天气预告""crxmouse手势"等。


https://www.bleepingcomputer.com/news/security/ghostposter-attacks-hide-malicious-javascript-in-firefox-addon-logos/


2. 亚马逊阻断俄罗斯GRU黑客攻击


12月16日,亚马逊威胁情报团队乐成阻止了俄罗斯对外军事情报机构GRU旗下黑客针对客户云基础设施的一连攻击运动。该行动自2021年起聚焦西方要害基础设施,尤其是能源领域,并泛起战术演变特征:攻击者从依赖零日误差与已知误差转向瞄准设置过失的边沿装备,如企业路由器、VPN网关、网络治理装备及云协作平台,通过袒露的治理接口实现"低投入高回报"的一连会见。亚马逊首席信息清静官CJ Moses指出,这种战略调解反应了威胁行为者的"效率优先"转向,2025年攻击者显著镌汰对误差的投资,转而使用客户网络中"唾手可得"的设置缺陷,以最小袒露危害完成凭证窃取与横向移动。只管战术转变,攻击焦点目的未变:一连渗透要害网络并获取凭证以会见在线服务。通过攻击模式与基础设施重叠剖析,亚马逊高度确信该运动与GRU关联的Sandworm(APT44)、Curly Comrades组织有关。值得注重的是,攻击未使用AWS服务误差,而是针对客户托管在AWS EC2实例上的治理装备。


https://www.bleepingcomputer.com/news/security/amazon-disrupts-russian-gru-hackers-attacking-edge-network-devices/


3. NoName057(16)组织借DDoSia工具攻击北约


12月16日,NoName057(16),又称05716nnm或NoName05716,是俄罗斯青年情形研究与网络监控中心内孕育的神秘项目,自2022年3月起一连对北约成员国及欧洲组织提倡漫衍式拒绝服务(DDoS)攻击。该组织在俄罗斯联邦青年岁务署向导层支持下运作,明确将自身定位为阻挡俄罗斯地缘政治目的的西方机构主要网络威胁,其行动深度契合俄罗斯政府利益导向。其焦点攻击能力依托DDoSia项目,通过Telegram频道招募自愿者,提供易用的Go语言攻击工具并辅以加密钱币奖励,形成众包僵尸网络。手艺层面,DDoSia接纳两阶段通讯协议:客户端首先向下令与控制服务器发送加密系统信息完成认证,获取200 OK响应后进入第二阶段获取目的设置。其基础设施接纳弹性多层架构,第一层公众服务器平均寿命约9天,直接与客户端通讯;第二层后端服务器严酷通过ACL控制会见,仅允许授权第一层服务器毗连,确保焦点逻辑与目的列表清静。


https://cybersecuritynews.com/noname05716-hackers-using-ddosia-ddos-tool/


4. 俄黑客组织一连对乌网络邮件平台提倡垂纶攻击


12月18日,网络清静研究职员披露,由俄罗斯国家支持的黑客组织BlueDelta(又名APT28、Fancy Bear等)在2024年6月至2025年4月时代,针对乌克兰热门网络邮件及新闻服务网站UKR.NET提倡了大规模网络垂纶行动,旨在窃取用户凭证并网络敏感信息以支持俄罗斯情报目的。据Recorded Future旗下Insikt Group报告,该组织通过伪造UKR.NET身份验证门户的虚伪登录页面实验攻击。受害者会收到包括PDF附件的垂纶邮件,这些附件嵌入了指向诓骗页面的链接。研究职员指出,这种战略可有用绕过自动邮件清静过滤系统。攻击基础设施剖析显示,凌驾20个关联PDF文件被分发至目的用户,文件内容谎称用户账户保存可疑运动,诱导其点击链接重置密码。BlueDelta恒久从事网络特工运动,十余年间针对政府机构、国防承包商、武器供应商等目的实验凭证窃取。


https://therecord.media/russian-bluedelta-hackers-ran-phishing-ukraine-webmail


5. Kimwolf熏染180万装备,发动大规模DDoS攻击


12月17日,名为Kimwolf的新型漫衍式拒绝服务(DDoS)僵尸网络已熏染至少180万台装备,包括Android电视、机顶盒及平板电脑,其可能关联污名昭著的AISURU僵尸网络。该僵尸网络由NDK编译,具备DDoS攻击、署理转发、反向shell及文件治理功效。2025年11月19日至22日,其三天内发出17亿条攻击下令,C2域名曾逾越Google位列Cloudflare前100域名榜首。Kimwolf主要熏染家庭网络中的电视盒,涉及TV BOX、SuperBOX、HiDPTAndroid等型号,熏染集中于巴西、印度、美国、阿根廷、南非和菲律宾,但撒播途径尚不明确。该僵尸网络C2域名12月三次被关闭后,转向以太坊名称服务(ENS)强化基础设施,并接纳EtherHiding手艺从智能合约获取C2 IP地点,通过XOR操作剖析现实IP,增强抗攻击能力。研究发明,Kimwolf与AISURU保存关联,两者通过相同熏染剧本撒播,且共享代码署名证书,属于统一黑客组织。Kimwolf最新版本引入TLS加密通讯,支持13种基于UDP、TCP和ICMP的DDoS攻击要领,攻击目的笼罩美国、中国、法国、德国和加拿大。


https://thehackernews.com/2025/12/kimwolf-botnet-hijacks-18-million.html


6. SonicWall SMA1000高危误差遭零日攻击使用


12月17日,网络清静厂商SonicWall克日宣布紧迫清静通告,披露其SMA1000装备治理控制台(AMC)保存一其中等严重水平的外地权限提升误差(CVE-2025-40602),该误差已被用于零日攻击以提升系统权限。据SonicWall产品清静事务响应团队(PSIRT)转达,该误差由Google威胁情报小组的Clément Lecigne和Zander Work报告,不影响SonicWall防火墙运行的SSL-VPN功效,但强烈建议用户升级至最新热修复版本以修复误差。攻击者可使用此误差与另一个严重级别的预身份验证反序列化误差(CVE-2025-23006,CVSS评分9.8)组合使用,实现未经身份验证的远程代码执行并获得root权限。CVE-2025-23006已在2025年1月22日宣布的12.4.3-02854平台热修复版本中修复。互联网羁系机构Shadowserver现在追踪到凌驾950台袒露在公网的SMA1000装备,只管部分装备可能已针对此攻击链举行修补。


https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/