江蘇
關鍵詞
黑客
Huntress 的研究人員在看似普通廣告軟件中,發現了一個復雜的潛在威脅。研究顯示,只需 10 美元就能買到的一個未注冊域名,竟可讓惡意行為者悄然控制全球超過 2.5 萬個受感染終端。
此次調查的核心軟件由 Dragon Boss Solutions 簽名,該公司自稱是一家位于阿聯酋的搜索盈利化研究公司。
長期以來,這款軟件被歸類為具有瀏覽器劫持能力的潛在不受歡迎程序(PUP)。但 Huntress 研究人員分析發現,它已悄然演變成一種更為危險的程序。
從 2025 年 3 月開始,Huntress 分析師觀察到,該軟件會部署基于 PowerShell 的有效載荷,以提升的權限運行,禁用網絡安全產品,封鎖其更新服務器,并阻止重新安裝。
這款惡意軟件通過五項計劃任務和 WMI 事件訂閱實現持久化,即便系統重啟也能留存。它還會為未來用于部署有效載荷(可能包括加密貨幣挖礦程序、勒索軟件或信息竊取程序)的目錄添加 Windows Defender 排除項。
最令人擔憂的發現來自該軟件的更新配置。用于交付有效載荷更新的主域名(chromsterabrowser [.] com)未注冊。由于受感染機器上的殺毒保護已被禁用,任何人購買該域名,都能向每個受影響主機發送任意代碼,無需進行額外的漏洞利用。
Huntress 趕在其他人之前注冊了該域名,并將其指向一個陷阱域名,然后監測結果。大約有 2.5 萬個獨特 IP 地址(代表生產環境中正在尋求更新指令的真實終端)試圖連接該域名。
感染范圍覆蓋 124 個國家,其中美國受感染主機超過 1.2 萬臺,其次是法國、加拿大、英國和德國,各有約 2000 臺。
高價值目標的受感染規模尤其令人擔憂。在觀察到的受感染主機中,有 324 臺屬于敏感網絡,包括 221 所高校、41 個運營技術(OT)網絡、35 個政府機構和 3 家醫療保健組織。
被識別出的 OT 網絡涉及電力公用事業公司、運輸供應商、電力合作社及關鍵基礎設施。受影響網絡中還包括多家財富 500 強公司。
Huntress 敦促各組織搜尋入侵指標(IoCs),以檢測此次攻擊活動可能帶來的潛在影響。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
