僵尸网络SSHStalker使用传统的IRC进行C2通信
发布时间 2026-02-111. 僵尸网络SSHStalker使用传统的IRC进行C2通信
2月10日,威胁情报公司Flare披露了一个名为SSHStalker的新型Linux僵尸网络,其通过经典的互联网中继聊天(IRC)协议实现命令与控制(C2)操作。攻击流程方面,SSHStalker通过伪装成nmap开源工具的Go二进制文件发起自动SSH扫描与暴力破解,实现初始访问后,利用被入侵主机扫描其他SSH目标,形成蠕虫式传播。感染主机后,它会下载GCC工具链在本地编译有效载荷,提升可移植性与规避能力。首批有效载荷为含硬编码C2服务器和频道的C语言IRC机器人,用于注册新受害者至僵尸网络基础设施。随后,恶意软件会获取包含编排变种的GS和bootbou归档文件,并通过每分钟运行的cron作业实现持久化。为提升权限,攻击者利用2009-2010年Linux内核的16个CVE漏洞,在暴力破解获得的低权限用户基础上进一步提权。盈利模式包括AWS密钥窃取、网站扫描及搭载PhoenixMiner等加密货币挖矿工具包,虽具备DDoS能力但尚未观察到实际攻击,推测可能处于测试或囤积访问阶段。
https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/
2. 沃尔沃北美客户数据因Conduent攻击泄露
2月10日,沃尔沃集团近期接连曝出多起由第三方服务商引发的数据泄露事件,引发行业关注。据披露,沃尔沃集团北美公司因美国商业服务巨头Conduent的IT系统遭入侵,导致近17,000名客户及员工个人信息泄露,涉及全名、社保号码、出生日期、健康保险详情等敏感数据。Conduent作为业务流程外包服务商,在2024年10月至2025年1月期间遭遇安全漏洞,影响范围涵盖俄勒冈州1050万人、德克萨斯州1550万人,目前受影响总人数尚未完全确定。另一起事件由IT服务商Miljödata的系统漏洞引发,2025年8月泄露150万条信息,涉及瑞典、美国沃尔沃集团员工姓名及社保号码。针对Conduent事件,沃尔沃集团北美公司已启动应对措施:为受影响方提供至少一年的免费身份监控、信用及暗网监控服务,并建议用户设置信用报告欺诈警报或安全冻结。而Milj?data事件的具体应对措施尚未公开披露。
https://www.bleepingcomputer.com/news/security/volvo-group-north-america-customer-data-exposed-in-conduent-hack/
3. 跨平台商业间谍软件ZeroDayRAT威胁个人与组织安全
2月10日,安全机构iVerify披露一款名为ZeroDayRAT的新型商业移动间谍软件工具包,其功能之全面、性能之强大堪比国家级开发工具,且已在Telegram平台公开销售。该恶意软件支持安卓与iOS双平台,攻击者可完全控制受感染设备,实现实时摄像头访问、键盘记录、GPS定位追踪及金融数据窃取等核心功能。ZeroDayRAT通过短信/邮件钓鱼、虚假应用或即时通讯平台分享的恶意链接传播,攻击者需自行搭建服务器并生成恶意应用感染受害者。其配套控制面板提供设备全维度概览,包括手机型号、操作系统、电池状态、SIM卡信息、应用使用记录、短信预览及近期活动轨迹,使攻击者能精准分析用户习惯与社交关系。实时监控模块支持前置/后置摄像头画面直播、屏幕录制、麦克风监听及GPS历史轨迹追踪,结合账户选项卡列出的Google、WhatsApp、Instagram等平台注册账号,可发起针对性社交工程攻击或账户盗用。金融盗窃模块分为加密货币与银行两大分支:前者扫描设备钱包应用记录ID、余额,并劫持剪贴板替换钱包地址;后者针对移动银行、UPI服务及PayPal等支付平台,通过覆盖层窃取登录凭证。
https://securityaffairs.com/187820/malware/zerodayrat-spyware-grants-attackers-total-access-to-mobile-devices.html
4. 假冒7-Zip网站散布木马构建住宅代理网络
2月10日,网络安全公司Malwarebytes披露一起利用假冒7-Zip网站散布木马安装程序的攻击活动,该恶意软件将用户计算机转化为住宅代理节点,用于执行凭证填充、网络钓鱼、恶意软件传播等恶意活动。攻击者注册域名7zip[.]com,通过复制合法7-Zip网站的结构及文本,诱骗用户下载恶意安装程序,这一漏洞因用户通过YouTube电脑组装教程引导至该网站而广为人知。恶意安装程序使用已吊销的Jozeal Network Technology Co., Limited证书签名,虽包含7-Zip常规功能,但会释放三个恶意文件:Uphero.exe、hero.exe、hero.dll。这些文件存放于“C:\Windows\SysWOW64\hero\”,并创建以SYSTEM身份运行的自动启动Windows服务,同时修改防火墙规则允许入站/出站连接。通过微软WMI及Windows API,恶意软件收集主机硬件、内存、CPU、磁盘、网络特性,数据发送至iplogger[.]org。
https://www.bleepingcomputer.com/news/security/malicious-7-zip-site-distributes-installer-laced-with-proxy-tool/
5. 朝鲜UNC1069黑客AI视频与多恶意软件攻击加密货币
2月10日,谷歌Mandiant研究团队近日披露,朝鲜黑客组织UNC1069自2018年起持续进化,自2023年起将目标转向Web3及加密货币行业,通过AI生成视频与ClickFix技术发起定制化攻击,向金融科技公司投放macOS及Windows恶意软件以窃取加密货币并推动社会工程攻击。攻击链以社会工程学为核心:黑客通过Telegram盗用加密货币公司高管账户联系受害者,建立信任后分享伪装成Calendly链接的伪造Zoom会议页面。在“会议”中,黑客播放另一加密公司CEO的深度伪造视频,谎称受害者遭遇音频问题,诱导其执行网页命令启动感染链。Huntress研究人员2025年中期记录的类似手法显示,此类攻击由朝鲜BlueNoroff(别名Sapphire Sleet/TA44)实施,针对macOS系统使用不同载荷。感染链启动后,攻击者通过AppleScript执行恶意Mach-O二进制文件,部署七个macOS恶意软件家族:WAVESHAPER、HYPERCALL、HIDDENCALL、SILENCELIFT、DEEPBREATH、SUGARLOADER及CHROMEPUSH。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-macos-malware-in-crypto-theft-attacks/
6. Claude Opus 4.6 主流开源库发现500+高危漏洞
2月6日,人工智能公司Anthropic近日发布其最新大语言模型Claude Opus 4.6,该模型在代码审查与调试能力上实现显著升级,并在金融分析、研究、文档生成等任务中表现优化。尤为重要的是,Opus 4.6在无需专用工具、自定义框架或特定提示词的情况下,自主发现了Ghostscript、OpenSC、CGIF等开源库中500余个此前未知的高危安全漏洞,目前已被用于开源软件漏洞的发现与修复辅助工作。Anthropic强调,Opus 4.6具备类似人类研究员的代码推理能力,通过分析过往修复记录识别同类未解决漏洞,定位易引发问题的代码模式,并深入理解程序逻辑以精准判断异常输入触发条件。在正式发布前,该模型经前沿红队在虚拟化环境中测试,配备调试器、模糊测试器等工具,全程未提供工具使用指导或额外漏洞识别信息,验证了其开箱即用的漏洞发现能力。
https://thehackernews.com/2026/02/claude-opus-46-finds-500-high-severity.html
京公网安备11010802024551号