Cloudflare披露,Aisuru/Kimwolf僵尸网络于2025年12月19日发起大规模DDoS攻击,峰值达31.4Tbps、每秒2亿请求,刷新公开披露的攻击规模纪录,该行动被命名为“圣诞前夜”,主要针对电信行业企业及Cloudflare相关基础设施。此次攻击源头为受感染安卓电视,不同于该僵尸网络常用的IoT设备和路由器,其与Kimwolf僵尸网络同属一个黑客组织、共享部分代码。Aisuru此前曾创下29.7Tbps攻击纪录,微软也曾监测到其发起15.72Tbps攻击。此次攻击被Cloudflare自动检测并缓解,未造成严重影响,同时数据显示2025年DDoS攻击量较上年激增121%,攻击趋势持续上升。
Google联合Cloudflare等伙伴,通过域名查封、SDK管控等方式,摧毁了大型住宅代理网络IPIDEA,该网络通过在多平台应用中嵌入恶意SDK,秘密将数百万用户设备变为代理出口节点。IPIDEA被大量黑客组织滥用,包括前文提及的Aisuru、Kimwolf僵尸网络,2026年1月单周就有550余个威胁组织使用其节点隐藏恶意活动。其背后团队还控制多个“独立”代理品牌,共享基础设施,此次打击不仅使其设备池锐减,还连带影响了关联代理运营商,Google同时提醒用户警惕“带宽共享”类可疑应用。
Ivanti披露其端点管理移动版(EPMM)存在两款高危代码注入漏洞CVE-2026-1281和CVE-2026-1340,均遭零日攻击利用,CVSS评分均为9.8,攻击者无需认证即可远程执行任意代码。Ivanti表示目前受影响客户数量有限,已发布对应RPM脚本缓解漏洞,应用补丁无需停机且无功能影响,但热修复程序无法跨版本保留,需在版本升级后重新应用。漏洞将在2026年一季度末发布的EPMM 12.8.0.0版本中永久修复,漏洞泄露可能导致设备信息、位置数据泄露及配置被篡改。
https://www.aikido.dev/blog/fake-clawdbot-vscode-extension-malware
2026年1月27日,安全研究人员的恶意软件检测系统标记了一款名为“ClawdBot Agent”的VS Code恶意扩展。该扩展表面是可正常使用的AI编程助手,伪装极为逼真,配备专业图标、精致界面,还集成了7家主流AI服务提供商,实则为特洛伊木马,会在VS Code启动时,向Windows设备静默植入恶意软件并安装ScreenConnect远控木马,实现远程控制。据悉,真正的Clawdbot团队从未发布过官方VS Code扩展,此次为攻击者抢注名称仿冒。研究人员发现后立即上报微软,微软迅速下架该扩展遏制影响,相关调查细节已通过专门文章披露。作为近期走红的AI助手,Clawdbot的高关注度使其成为仿冒目标,其“真功能、暗植入”的特性极具欺骗性。
研究人员曝光一款针对印度政府的精密网络间谍行动“Sheet Attack”,由与巴基斯坦关联的攻击者发起,其核心创新是利用谷歌表格作为命令与控制(C2)通信方式,依托合法云服务隐藏恶意流量、规避安全检测。该行动使用C#编写的轻量后门SHEETCREEP,还部署了FIREPOWER、MAILCREEP等专用工具,且攻击者已将生成式AI融入恶意软件开发流程。此次行动战术与已知巴基斯坦关联APT36高度相似,但在工具和技术上有明显进化,疑似APT36升级或其关联组织所为,行动时间集中在2025年11月至2026年1月。
https://www.bitdefender.com/en-us/blog/labs/android-trojan-campaign-hugging-face-hosting-rat-payload
Bitdefender研究人员发现一种安卓远控木马(RAT)活动,攻击者结合社会工程学,利用机器学习平台Hugging Face托管恶意载荷,借助无障碍服务入侵设备。该行动通过名为TrustBastion的释放器传播,以虚假系统更新提示诱骗用户安装,进而从Hugging Face获取恶意APK,每15分钟生成新载荷规避检测。木马还伪造系统及金融界面窃取凭证,通过中央C2服务器协调载荷分发与数据泄露,而Hugging Face仅用开源杀毒引擎扫描上传内容,缺乏有效过滤机制。
https://cert.pl/en/posts/2026/01/incident-report-energy-sector-2025/
波兰国家级应急响应机构CERTPolska发布能源行业事件报告,披露2025年12月29日发生的破坏性网络攻击,目标包括30余座风电与光伏发电场、一家私营制造企业以及一座为约50万用户供热的大型联合热电厂。该机构将袭击归因于名为StaticTundra的威胁组织,该组织亦被网络安全社区标记以EnergeticBear、Dragonfly、Havex等名称加以追踪,并被评估与俄罗斯联邦安全局Center16单位有关联。报告指出,涉及的所有攻击行动都具有破坏性意图,但对可再生能源发电场的攻击主要是中断基础设施与配电系统运营商之间的通信,并未实际影响电力生产,针对热电厂的攻击同样未实现中断用户供热的效果。CERTPolska同时提到,其他网络安全厂商此前曾将相关攻击活动归因于Sandworm组织。
https://www.cve.org/CVERecord?id=CVE-2026-24423
软件供应商SmarterTools已修复其SmarterMail电子邮件产品中的两项安全漏洞,其中包括一项可导致未认证远程代码执行的关键漏洞,该漏洞被分配编号CVE-2026-24423,CVSS评分为9.3高危,Build9511之前版本的SmarterMail在ConnectToHubAPI方法中存在未认证远程代码执行问题,攻击者可将SmarterMail指向恶意HTTP服务器,从而执行操作系统命令并获取结果。该漏洞由多家公司的研究员SinaKheirkhah与PiotrBazydlo、MarkusWulftange以及CaleBlack共同发现并报告。SmarterTools已在2026年1月15日发布的Build9511版本中修复该问题。同一版本还修补了另一项关键漏洞CVE-2026-23760,CVSS评分同为9.3,该漏洞随后被报告已遭到攻击团伙利用。
https://cloud.google.com/blog/topics/threat-intelligence/expansion-shinyhunters-saas-data-theft
研究人员披露近期多个威胁组织使用与已知金融黑客组织ShinyHunters以往勒索主题攻击相似的手法展开语音钓鱼攻击。攻击者利用伪造的企业身份,通过电话社工手段配合仿冒登录的网页收集登录凭证及多因素认证信息,从而未授权访问受害者网络环境。攻击最终目标是面向云环境的软件即服务(SaaS)应用,窃取敏感业务数据和内部通信以实施勒索攻击。研究人员将相关活动划分为多个跟踪集群,包括UNC6661、UNC6671和UNC6240(又称ShinyHunters),并评估这些集群可能在演化作案手法或彼此模仿。
https://www.anquanke.com/post/id/314636
面对愈演愈烈的网络攻击与无处不在的网络间谍威胁,元宇宙旗下的通讯平台标杆WhatsApp宣布,正式推出一项名为“严格账号设置”的强力防御机制。该功能灵感源自苹果的 “锁定模式”,专为记者、活动人士、政要等高风险人群精心打造。用户只需一键开启,系统便会启动一整套严密的防护协议,为用户有效抵御各类潜在的网络入侵行为。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
