新型Mirai变种ShadowV2僵尸网络全球攻击物联网设备

首页 > 安全钻研 > 安全传递 > 安全简讯

新型Mirai变种ShadowV2僵尸网络全球攻击物联网设备

颁布功夫 2025-11-28

1. 新型Mirai变种ShadowV2僵尸网络全球攻击物联网设备

11月26日，Fortinet旗下FortiGuard Labs钻研人员在10月AWS大规模服务中断期间发现名为“ShadowV2”的新型基于Mirai的僵尸网络恶意软件，该恶意软件利用D-Link、TP-Link等供给商物联网设备的至少八个已知缝隙进行传布，蕴含CVE-2009-2765、CVE-2020-25506等。值妥贴心的是，部门缝隙如CVE-2024-10914和CVE-2024-10915涉及已停产或不受支持设备，D-Link明确暗示此类设备将不再获得固件更新，加剧了安全风险。ShadowV2攻击指标涵盖当局、科技、造作业、托管安全服务提供商（MSSP）、电信、教育等七个行业的路由器、NAS和DVR设备，攻击领域遍及北美洲、南美洲、欧洲、非洲、亚洲和澳大利亚六大洲。该恶意软件自称为“ShadowV2 Build v1.0.0 IoT版本”，与Mirai LZRD变种类似，通过初始接见阶段被传递给易受攻击的设备，该阶段使用下载器剧本binary.sh，并选取XOR编码配置文件系统蹊径、用户代理字符串、HTTP标优等，具备荫蔽性。职能上支持针对UDP、TCP和HTTP和谈的多种散布式回绝服务（DDoS）攻击类型，C2基础设施通过发送号令触发攻击。

https://www.bleepingcomputer.com/news/security/new-shadowv2-botnet-malware-used-aws-outage-as-a-test-opportunity/

2. OpenAI API用户数据因Mixpanel泄露事务受影响

11月27日，近日，OpenAI向部门ChatGPT API客户传递，因第三方分析服务商Mixpanel遭逢数据泄露，导致部门API用户身份鉴别信息表泄。据悉，Mixpanel为OpenAI提供事务分析职能，用于追踪API产品前端界面的用户交互行为。这次事务仅影响“与部门API用户有关的有限分析数据”，未波及ChatGPT或其他产品的通常用户。OpenAI明确暗示，其主题系统未被入侵，谈天纪录、API要求、支付详情、密码、凭证、API密钥及当局身份证件均未泄露。泄露内容重要蕴含API账户中的名称、关联邮箱、浏览器提供的粗略地理地位（城市/省/国度）、操作系统和浏览器类型、推荐起源网站以及组织或用户ID。由于未涉及敏感凭证，用户无需沉置密码或API密钥。Mixpanel披露，这次攻击源于11月8日发现的短信垂钓活动，影响领域有限。OpenAI在11月25日获悉受影响数据集详情后，已将Mixpanel从出产服务中移除，并直接通知有关组织、治理员及幼我用户。

https://www.bleepingcomputer.com/news/security/openai-discloses-api-customer-data-breach-via-mixpanel-vendor-hack/

3. 朝日啤酒遭勒索软件攻击致200万客户员工数据泄露

11月27日，日本最大啤酒酿造商朝日集团控股有限公司（简称朝日）日本分公司9月29日遭逢勒索软件攻击，导致约200万客户及员工幼我信息泄露，并严沉侵扰其日本境内运营。这次攻击由“麒麟”勒索软件团伙执行，该组织宣称对事务掌管，并泄露了27GB的被盗数据，蕴含合同、员工信息、财政数据等9323个文件。据朝日披露，攻击者通过集团总部网络设备犯法入侵数据中心网络，部署勒索软件加密多台服务器及部门员工配发PC设备的数据。泄露数据涉及152.5万名曾联系客服的人员（含姓名、地址、电话、邮箱）、11.4万名表部联系人（含姓名、地址、电话）、10.7万名员工（含诞生日期、性别、联系方式）及16.8万名员工眷属（含姓名、诞生日期、性别）。值得庆幸的是，客户财政信息（如信誉卡数据）未被窃取。这次攻击导致朝日日本分公司订单处置、发货、呼叫中心及客服台业务中断，其他国际分支未受影响。截至11月27日，公司已确认部门员工PC及数据中心服务器存储的幼我信息可能泄露，但未发现数据被公开颁布。

https://securityaffairs.com/185126/data-breach/asahi-says-crooks-stole-data-of-approximately-2m-customers-and-employees.html

4. Bloody Wolf APT组织利用合法远程软件发起攻击

11月28日，网络安全钻研人员发现，Bloody Wolf高级持续威胁（APT）组织正通过合法远程接见软件渗入当局指标，提议领域不休扩大的网络攻击。自2023年底活跃以来，Bloody Wolf不休改进技术。2025年6月起，该组织在吉尔吉斯斯坦持续发展活动，并于10月初将领域扩大至乌兹别克斯坦。攻击者假意司法部，通过发送真切PDF文档、伪造域名及诱导受害者装置Java以查看“案件资料”的指令执行攻击，嵌入短信息营造合法性假象。乌兹别克斯坦的基础设施还配置了地理围栏职能，境表用户被沉定向至合法当局网站，本地用户则收到恶意JAR文件。习染链中，受害者下载JAR文件后，加载器会获取其他组件并最终装置NetSupport RAT。这些加载器使用Java 8构建，仅含一个类且未混合，可自动执行HTTP获取二进造文件、增长悠久性、创建打算工作及显示虚伪谬误信息等工作。其内置启动限度计数器（设为3次），存储于用户配置文件目录，削减被把稳风险。

https://www.infosecurity-magazine.com/news/bloody-wolf-expands-central-asia/

5. 华硕建复高危缝隙，警惕WrtHug攻击停产路由器

11月27日，华硕颁布新版固件建复了9个安全缝隙，其中最严沉的是编号为CVE-2025-59366的高危身份验证绕过缝隙，该缝隙影响所有启用AiCloud职能的路由器设备。AiCloud是华硕路由器内置的远程接见职能，可实现幼我云服务器、远程媒体流传输和云存储服务�；栋踩几嬷赋�，该缝隙可通过Samba职能的意表副作用触发，攻击者可能未经授权执行特定职能。这次建复涉及多个固件版本系列，蕴含3.0.0.4_386、3.0.0.4_388及3.0.0.6_102系列，均建复了CVE-2025-59366及其他8个缝隙�；肚苛医ㄒ橛没У奔锤轮�2025年10月颁布的最新固件。对于已终场支持的停产路由器型号，华硕提供了一时缓解建议：为路由器登录账户和WiFi设置高强度唯一密码；禁用所有面向互联网的服务，如AiCloud、广域网远程接见、端口转发、动态域名解析、VPN服务器、非军事区、端口触发和FTP等职能。近期，名为“Operation WrtHug”的新型攻击活动已影响全球数万台过期或停产的华硕路由器，华硕强调，用户应高度器沉固件更新和安全配置，以防备此类攻击。

https://securityaffairs.com/185109/iot/new-asus-firmware-patches-critical-aicloud-vulnerability.html

6. 恶意Chrome扩大Crypto Copilot暗中窃取加密买卖用度

11月27日，网络安全公司Socket告发，一款名为Crypto Copilot的Chrome扩大法式实为恶意软件，在每笔加密钱币买卖中暗中收取0.05%或更高的暗藏用度。该扩大宣称可让用户在X平台直接买卖加密钱币，与界面无缝集成，但现实通过高度混合的代码在买卖中注入额表转账，将资金转移至攻击者节造的钱包。例如，买卖超过2.6 SOL（约371美元）时，会收取0.0013 SOL（约0.19美元）的用度，且Chrome商店未公开披露收费逻辑。Socket钻研人员指出，该扩大利用Raydium区块链互换职能，在用户署名前增长暗藏用度，通过硬编码参数推算用度并嵌入统一买卖中，用户若不发展钱包指令列表则难以觉察。只管用户基数较幼，但恶意行为已持续超一年未被发现，可能存在类似模式的扩大法式。攻击者通过多个表部服务仿照合法工具，但后端网站无法运行，显示其可能仓皇开发或处于测试阶段。该扩大法式由网名为sjclark76的创建者颁布，上次更新功夫为2024年6月18日，截至汇报时仍可接见。

https://cybernews.com/security/malicious-chrome-extension-skims-crypto-with-every-trade/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研