僵尸网络SSHStalker使用传统的IRC进行C2通讯

首页 > 安全钻研 > 安全传递 > 安全简讯

僵尸网络SSHStalker使用传统的IRC进行C2通讯

颁布功夫 2026-02-11

1. 僵尸网络SSHStalker使用传统的IRC进行C2通讯

2月10日，威胁谍报公司Flare披露了一个名为SSHStalker的新型Linux僵尸网络，其通过经典的互联网中继谈天（IRC）和谈实现号令与节造（C2）操作。攻击流程方面，SSHStalker通过假装成nmap开源工具的Go二进造文件提议自动SSH扫描与暴力破解，实现初始接见后，利用被入侵主机扫描其他SSH指标，形成蠕虫式传布。习染主机后，它会下载GCC工具链在本地编译有效载荷，提升可移植性与躲避能力。首批有效载荷为含硬编码C2服务器和频路的C说话IRC机械人，用于注册新受害者至僵尸网络基础设施。随后，恶意软件会获取蕴含编排变种的GS和bootbou归档文件，并通过每分钟运行的cron作业实现悠久化。为提升权限，攻击者利用2009-2010年Linux内核的16个CVE缝隙，在暴力破解获得的低权限用户基础上进一步提权。盈利模式蕴含AWS密钥窃取、网站扫描及搭载PhoenixMiner等加密钱币挖矿工具包，虽具备DDoS能力但尚未观察到现实攻击，揣摩可能处于测试或囤积接见阶段。

https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/

2. 沃尔沃北美客户数据因Conduent攻击泄露

2月10日，沃尔沃集团近期接连曝出多起由第三方服务商引发的数据泄露事务，引刊行业关注。据披露，沃尔沃集团北美公司因美国贸易服务巨头Conduent的IT系统遭入侵，导致近17,000名客户及员工幼我信息泄露，涉及全名、社保号码、诞生日期、健全保险详情等敏感数据。Conduent作为业务流程表包服务商，在2024年10月至2025年1月期间遭逢安全缝隙，影响领域涵盖俄勒冈州1050万人、德克萨斯州1550万人，目前受影响总人数尚未齐全确定。另一路事务由IT服务商Milj?data的系统缝隙引发，2025年8月泄露150万条信息，涉及瑞典、美国沃尔沃集团员工姓名及社保号码。针对Conduent事务，沃尔沃集团北美公司已启动应对措施：为受影响方提供至少一年的免费身份监控、信誉及暗网监控服务，并建议用户设相信誉汇报诓骗警报或安全冻结。而Milj?data事务的具体应对措施尚未公开披露。

https://www.bleepingcomputer.com/news/security/volvo-group-north-america-customer-data-exposed-in-conduent-hack/

3. 跨平台贸易间谍软件ZeroDayRAT威胁幼我与组织安全

2月10日，安全机构iVerify披露一款名为ZeroDayRAT的新型贸易移动间谍软件工具包，其职能之全面、机能之壮大堪比国度级开发工具，且已在Telegram平台公开销售。该恶意软件支持安卓与iOS双平台，攻击者可齐全节造受习染设备，实现实时摄像头接见、键盘纪录、GPS定位追踪及金融数据窃取等主题职能。ZeroDayRAT通过短信/邮件垂钓、虚伪利用或即时通讯平台分享的恶意链接传布，攻击者需自行搭建服务器并天生恶意利用习染受害者。其配套节造面板提供设备全维度概览，蕴含手机型号、操作系统、电池状态、SIM卡信息、利用使用纪录、短信预览及近期活动轨迹，使攻击者能精准分析用户习惯与社交关系。实时监控�？橹С智爸�/后置摄像头画面直播、屏幕录造、麦克风监听及GPS汗青轨迹追踪，结合账户选项卡列出的Google、WhatsApp、Instagram等平台注册账号，可提议针对性社交工程攻击或账户盗用。金融偷窃�？榉治用芮矣胍辛酱蠓种В呵罢呱枭璞盖眉吐糏D、余额，并劫持剪贴板代替钱包地址；后者针对移动银杏注UPI服务及PayPal等支付平台，通过覆盖层窃取登录凭证。

https://securityaffairs.com/187820/malware/zerodayrat-spyware-grants-attackers-total-access-to-mobile-devices.html

4. 假冒7-Zip网站散布木马构建住宅代理网络

2月10日，网络安全公司Malwarebytes披露一路利用假冒7-Zip网站散布木马装置法式的攻击活动，该恶意软件将用户推算机转化为住宅代理节点，用于执行凭证填充、网络垂钓、恶意软件传布等恶意活动。攻击者注册域名7zip[.]com，通过复造合法7-Zip网站的结构及文本，诱骗用户下载恶意装置法式，这一缝隙因用户通过YouTube电脑组装教程疏导至该网站而广为人知。恶意装置法式使用已撤除的Jozeal Network Technology Co., Limited证书署名，虽蕴含7-Zip通例职能，但会开释三个恶意文件：Uphero.exe、hero.exe、hero.dll。这些文件存放于“C:\Windows\SysWOW64\hero\”，并创建以SYSTEM身份运行的自动启动Windows服务，同时批改防火墙规定允许入站/出站衔接。通过微软WMI及Windows API，恶意软件网络主机硬件、内存、CPU、磁盘、网络个性，数据发送至iplogger[.]org。

https://www.bleepingcomputer.com/news/security/malicious-7-zip-site-distributes-installer-laced-with-proxy-tool/

5. 朝鲜UNC1069黑客AI视频与多恶意软件攻击加密钱币

2月10日，谷歌Mandiant钻研团队近日披露，朝鲜黑客组织UNC1069自2018年起持续进化，自2023年起将指标转向Web3及加密钱币行业，通过AI天生视频与ClickFix技术提议定造化攻击，向金融科技公司投放macOS及Windows恶意软件以窃取加密钱币并推动社会工程攻击。攻击链以社会工程学为主题：黑客通过Telegram盗用加密钱币公司高管账户联系受害者，成立信赖后分享假装成Calendly链接的伪造Zoom会议页面。在“会议”中，黑客播放另一加密公司CEO的深度伪造视频，谎称受害者遭逢音频问题，诱导其执行网页号令启动习染链。Huntress钻研人员2025年中期纪录的类似手法显示，此类攻击由朝鲜BlueNoroff（别号Sapphire Sleet/TA44）执行，针对macOS系统使用分歧载荷。习染链启动后，攻击者通过AppleScript执行恶意Mach-O二进造文件，部署七个macOS恶意软件家族：WAVESHAPER、HYPERCALL、HIDDENCALL、SILENCELIFT、DEEPBREATH、SUGARLOADER及CHROMEPUSH。

https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-macos-malware-in-crypto-theft-attacks/

6. Claude Opus 4.6 主流开源库发现500+高危缝隙

2月6日，人为智能公司Anthropic近日颁布其最新大说话模型Claude Opus 4.6，该模型在代码审查与调试能力上实现显著升级，并在金融分析、钻延注文档天生等工作中阐发优化。尤为沉要的是，Opus 4.6在无需专用工具、自界说框架或特定提醒词的情况下，自主发现了Ghostscript、OpenSC、CGIF等开源库中500余个此前未知的高危安全缝隙，目前已被用于开源软件缝隙的发现与建复辅助工作。Anthropic强调，Opus 4.6具备类似人类钻研员的代码推理能力，通过度析过往建复纪录鉴别同类未解决缝隙，定位易引发问题的代码模式，并深刻理解法式逻辑以精准判断异常输入触发前提。在正式颁布前，该模型经前沿红队在虚构化环境中测试，建设调试器、吞吐测试器等工具，全程未提供工具使用领导或额表缝隙鉴别信息，验证了其开箱即用的缝隙发现能力。

https://thehackernews.com/2026/02/claude-opus-46-finds-500-high-severity.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研