新型Mirai变种ShadowV2僵尸网络全球攻击物联网装备

首页 > 清静研究 > 清静转达 > 清静简讯

新型Mirai变种ShadowV2僵尸网络全球攻击物联网装备

宣布时间 2025-11-28

1. 新型Mirai变种ShadowV2僵尸网络全球攻击物联网装备

11月26日，Fortinet旗下FortiGuard Labs研究职员在10月AWS大规模服务中止时代发明名为“ShadowV2”的新型基于Mirai的僵尸网络恶意软件，该恶意软件使用D-Link、TP-Link等供应商物联网装备的至少八个已知误差举行撒播，包括CVE-2009-2765、CVE-2020-25506等。值得注重的是，部分误差如CVE-2024-10914和CVE-2024-10915涉及已停产或不受支持装备，D-Link明确体现此类装备将不再获得固件更新，加剧了清静危害。ShadowV2攻击目的涵盖政府、科技、制造业、托管清静服务提供商（MSSP）、电信、教育等七个行业的路由器、NAS和DVR装备，攻击规模普遍北美洲、南美洲、欧洲、非洲、亚洲和澳大利亚六大洲。该恶意软件自称为“ShadowV2 Build v1.0.0 IoT版本”，与Mirai LZRD变种类似，通过初始会见阶段被转达给易受攻击的装备，该阶段使用下载器剧本binary.sh，并接纳XOR编码设置文件系统路径、用户署理字符串、HTTP标头等，具备隐藏性。功效上支持针对UDP、TCP和HTTP协议的多种漫衍式拒绝服务（DDoS）攻击类型，C2基础设施通过发送下令触发攻击。

https://www.bleepingcomputer.com/news/security/new-shadowv2-botnet-malware-used-aws-outage-as-a-test-opportunity/

2. OpenAI API用户数据因Mixpanel泄露事务受影响

11月27日，克日，OpenAI向部分ChatGPT API客户转达，因第三方剖析服务商Mixpanel遭遇数据泄露，导致部分API用户身份识别信息外泄。据悉，Mixpanel为OpenAI提供事务剖析功效，用于追踪API产品前端界面的用户交互行为。此次事务仅影响“与部分API用户相关的有限剖析数据”，未波及ChatGPT或其他产品的通俗用户。OpenAI明确体现，其焦点系统未被入侵，谈天纪录、API请求、支付详情、密码、凭证、API密钥及政府身份证件均未泄露。泄露内容主要包括API账户中的名称、关联邮箱、浏览器提供的简陋地理位置（都会/省/国家）、操作系统和浏览器类型、推荐泉源网站以及组织或用户ID。由于未涉及敏感凭证，用户无需重置密码或API密钥。Mixpanel披露，此次攻击源于11月8日发明的短信垂纶运动，影响规模有限。OpenAI在11月25日获悉受影响数据集详情后，已将Mixpanel从生产服务中移除，并直接通知相关组织、治理员及小我私家用户。

https://www.bleepingcomputer.com/news/security/openai-discloses-api-customer-data-breach-via-mixpanel-vendor-hack/

3. 朝日啤酒遭勒索软件攻击致200万客户员工数据泄露

11月27日，日本最大啤酒酿造商朝日集团控股有限公司（简称朝日）日天职公司9月29日遭遇勒索软件攻击，导致约200万客户及员工小我私家信息泄露，并严重扰乱其日本境内运营。此次攻击由“麒麟”勒索软件团伙实验，该组织声称对事务认真，并泄露了27GB的被盗数据，包括条约、员工信息、财务数据等9323个文件。据朝日披露，攻击者通过集团总部网络装备不法入侵数据中心网络，安排勒索软件加密多台服务器及部分员工配发PC装备的数据。泄露数据涉及152.5万名曾联系客服的职员（含姓名、地点、电话、邮箱）、11.4万名外部联系人（含姓名、地点、电话）、10.7万名员工（含出生日期、性别、联系方法）及16.8万名员工眷属（含姓名、出生日期、性别）。值得庆幸的是，客户财务信息（如信用卡数据）未被窃取。此次攻击导致朝日日天职公司订单处置惩罚、发货、呼叫中心及客服台营业中止，其他国际分支未受影响。阻止11月27日，公司已确认部分员工PC及数据中心折务器存储的小我私家信息可能泄露，但未发明数据被果真宣布。

https://securityaffairs.com/185126/data-breach/asahi-says-crooks-stole-data-of-approximately-2m-customers-and-employees.html

4. Bloody Wolf APT组织使用正当远程软件发动攻击

11月28日，网络清静研究职员发明，Bloody Wolf高级一连威胁（APT）组织正通过正当远程会见软件渗透政府目的，提倡规模一直扩大的网络攻击。自2023年底活跃以来，Bloody Wolf一直刷新手艺。2025年6月起，该组织在吉尔吉斯斯坦一连开展运动，并于10月初将规模扩大至乌兹别克斯坦。攻击者冒充司法部，通过发送逼真PDF文档、伪造域名及诱导受害者装置Java以审查“案件资料”的指令实验攻击，嵌入短信息营造正当性假象。乌兹别克斯坦的基础设施还设置了地理围栏功效，境外用户被重定向至正当政府网站，外地用户则收到恶意JAR文件。熏染链中，受害者下载JAR文件后，加载器会获取其他组件并最终装置NetSupport RAT。这些加载器使用Java 8构建，仅含一个类且未混淆，可自动执行HTTP获取二进制文件、添加长期性、建设妄想使命及显示虚伪过失信息等使命。其内置启动限制计数器（设为3次），存储于用户设置文件目录，镌汰被注重危害。

https://www.infosecurity-magazine.com/news/bloody-wolf-expands-central-asia/

5. 华硕修复高危误差，小心WrtHug攻击停产路由器

11月27日，华硕宣布新版固件修复了9个清静误差，其中最严重的是编号为CVE-2025-59366的高危身份验证绕过误差，该误差影响所有启用AiCloud功效的路由器装备。AiCloud是华硕路由器内置的远程会见功效，可实现小我私家云服务器、远程媒体撒播输和云存储服务�；肚寰餐ǜ嬷赋�，该误差可通过Samba功效的意外副作用触发，攻击者可能未经授权执行特定功效。此次修复涉及多个固件版本系列，包括3.0.0.4_386、3.0.0.4_388及3.0.0.6_102系列，均修复了CVE-2025-59366及其他8个误差�；肚苛医ㄒ橛没ЯΩ轮�2025年10月宣布的最新固件。关于已阻止支持的停产路由器型号，华硕提供了暂时缓解建议：为路由器登录账户和WiFi设置高强度唯一密码；禁用所有面向互联网的服务，如AiCloud、广域网远程会见、端口转发、动态域名剖析、VPN服务器、非军事区、端口触发和FTP等功效。近期，名为“Operation WrtHug”的新型攻击运动已影响全球数万台过时或停产的华硕路由器，华硕强调，用户应高度重视固件更新和清静设置，以提防此类攻击。

https://securityaffairs.com/185109/iot/new-asus-firmware-patches-critical-aicloud-vulnerability.html

6. 恶意Chrome扩展Crypto Copilot漆黑窃取加密生意用度

11月27日，网络清静公司Socket揭破，一款名为Crypto Copilot的Chrome扩展程序实为恶意软件，在每笔加密钱币生意中漆黑收取0.05%或更高的隐藏用度。该扩展宣称可让用户在X平台直接生意加密钱币，与界面无缝集成，但现实通过高度混淆的代码在生意中注入特殊转账，将资金转移至攻击者控制的钱包。例如，生意凌驾2.6 SOL（约371美元）时，会收取0.0013 SOL（约0.19美元）的用度，且Chrome市肆未果真披露收费逻辑。Socket研究职员指出，该扩展使用Raydium区块链交流功效，在用户署名前添加隐藏用度，通过硬编码参数盘算用度并嵌入统一生意中，用户若不睁开钱包指令列表则难以察觉。只管用户基数较小，但恶意行为已一连超一年未被发明，可能保存类似模式的扩展程序。攻击者通过多个外部服务模拟正当工具，但后端网站无法运行，显示其可能急遽开发或处于测试阶段。该扩展程序由网名为sjclark76的建设者宣布，上次更新时间为2024年6月18日，阻止报告时仍可会见。

https://cybernews.com/security/malicious-chrome-extension-skims-crypto-with-every-trade/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究