GhostPoster隐写攻击：Firefox扩大暗藏�；�

首页 > 安全钻研 > 安全传递 > 安全简讯

GhostPoster隐写攻击：Firefox扩大暗藏�；�

颁布功夫 2025-12-18

1. GhostPoster隐写攻击：Firefox扩大暗藏�；�

12月16日，Koi Security钻研人员告发一项名为"GhostPoster"的新型网络攻击活动，该活动通过将JavaScript代码暗藏鄙人载量超5万次的Firefox恶意扩大法式图像徽标中，实现浏览器监控与后门植入。恶意代码赋予攻击者悠久高权限接见能力，可劫持电商同盟链接、注入跟踪代码、执行点击及告白诓骗，并移除HTTP响应中的安全标头。该攻击选取荫蔽加载器机造：暗藏剧本每十次尝试仅获取一次有效载荷，共同48幼时激活延长及备用域名设计，大幅降低被交通监控工具检测的风险。有效载荷经大幼写互换、Base64编码及异或加密处置，需使用扩大法式运行时ID派生密钥解码。最终载荷具备多沉恶意职能：在所有页面注入Google Analytics跟踪代码；通过三种机造绕过验证码；注入15秒后自动删除的不私见iframe进行告白诓骗；劫持同盟链接将佣金沉定向至攻击者。钻研鉴别出17个被入侵的Firefox扩大法式，均来自热点类别如"永约费VPN""最佳气象预报""crxmouse手势"等。

https://www.bleepingcomputer.com/news/security/ghostposter-attacks-hide-malicious-javascript-in-firefox-addon-logos/

2. 亚马逊阻断俄罗斯GRU黑客攻击

12月16日，亚马逊威胁谍报团队成功阻止了俄罗斯对表军事谍报机构GRU旗下黑客针对客户云基础设施的持续攻击活动。该行动自2021年起聚焦西方关键基础设施，尤其是能源领域，并出现战术演变特点：攻击者从依赖零日缝隙与已知缝隙转向对准配置谬误的边缘设备，如企业路由器、VPN网关、网络治理设备及云合作平台，通过露出的治理接话柄现"低投入高回报"的持续接见。亚马逊首席信息安全官CJ Moses指出，这种战术调整反映了威胁行为者的"效能优先"转向，2025年攻击者显著削减对缝隙的投资，转而利用客户网络中"唾手可得"的配置缺点，以最幼露出风险实现凭证窃取与横向移动。只管战术变动，攻击主题指标未变：持续渗入关键网络并获取凭证以接见在线服务。通过攻击模式与基础设施沉叠分析，亚马逊高度确信该活动与GRU关联的Sandworm（APT44）、Curly Comrades组织有关。值妥贴心的是，攻击未利用AWS服务缝隙，而是针对客户托管在AWS EC2事俘上的治理设备。

https://www.bleepingcomputer.com/news/security/amazon-disrupts-russian-gru-hackers-attacking-edge-network-devices/

3. NoName057(16)组织借DDoSia工具攻击北约

12月16日，NoName057(16)，又称05716nnm或NoName05716，是俄罗斯青年环境钻研与网络监控中心内生长的奥秘项目，自2022年3月起持续对北约成员国及欧洲组织提议散布式回绝服务（DDoS）攻击。该组织在俄罗斯联国青年龄务署辅导层支持下运作，明确将自身定位为否决俄罗斯地缘政治指标的西方机构重要网络威胁，其行动深度符合俄罗斯当局利益导向。其主题攻击能力依附DDoSia项目，通过Telegram频路招募自愿者，提供易用的Go说话攻击工具并辅以加密钱币嘉奖，形成多包僵尸网络。技术层面，DDoSia选取两阶段通讯和谈：客户端首先向号令与节造服务器发送加密系统信息实现认证，获取200 OK响应后进入第二阶段获取指标配置。其基础设施选取弹性多层架构，第一层公家服务器均匀寿命约9天，直接与客户端通讯；第二层后端服务器严格通过ACL节造接见，仅允许授权第一层服务器衔接，确保主题逻辑与指标列表安全。

https://cybersecuritynews.com/noname05716-hackers-using-ddosia-ddos-tool/

4. 俄黑客组织持续对乌网络邮件平台提议垂钓攻击

12月18日，网络安全钻研人员披露，由俄罗斯国度支持的黑客组织BlueDelta（别号APT28、Fancy Bear等）在2024年6月至2025年4月期间，针对乌克兰热点网络邮件及新闻服务网站UKR.NET提议了大规模网络垂钓行动，旨在窃取用户凭证并网络敏感信息以支持俄罗斯谍报指标。据Recorded Future旗下Insikt Group汇报，该组织通过伪造UKR.NET身份验证门户的虚伪登录页面执行攻击。受害者会收到蕴含PDF附件的垂钓邮件，这些附件嵌入了指向诓骗页面的链接。钻研人员指出，这种战术可有效绕过自动邮件安全过滤系统。攻击基础设施分析显示，超过20个关联PDF文件被分发至指标用户，文件内容谎称用户账户存在可疑活动，诱导其点击链接沉置密码。BlueDelta持久从事网络间谍活动，十余年间针对当局机构、国防承包商、兵器供给商等指标执行凭证窃取。

https://therecord.media/russian-bluedelta-hackers-ran-phishing-ukraine-webmail

5. Kimwolf习染180万设备，发起大规模DDoS攻击

12月17日，名为Kimwolf的新型散布式回绝服务（DDoS）僵尸网络已习染至少180万台设备，蕴含Android电视、机顶盒及平板电脑，其可能关联臭名远扬的AISURU僵尸网络。该僵尸网络由NDK编译，具备DDoS攻击、代理转发、反向shell及文件治理职能。2025年11月19日至22日，其三天内发出17亿条攻击号令，C2域名曾超过Google位列Cloudflare前100域名榜首。Kimwolf重要习染家庭网络中的电视盒，涉及TV BOX、SuperBOX、HiDPTAndroid等型号，习染集中于巴西、印度、美国、阿根廷、南非和菲律宾，但传布蹊径尚不明确。该僵尸网络C2域名12月三次被关关后，转向以太坊名称服务（ENS）强化基础设施，并选取EtherHiding技术从智能合约获取C2 IP地址，通过XOR操作解析现实IP，加强抗进攻能力。钻研发现，Kimwolf与AISURU存在关联，两者通过一样习染剧本传布，且共享代码署名证书，属于统一黑客组织。Kimwolf最新版本引入TLS加密通讯，支持13种基于UDP、TCP和ICMP的DDoS攻击步骤，攻击指标覆盖美国、中国、法国、德国和加拿大。

https://thehackernews.com/2025/12/kimwolf-botnet-hijacks-18-million.html

6. SonicWall SMA1000高危缝隙遭零日攻击利用

12月17日，网络安全厂商SonicWall近日颁布垂危安全布告，披露其SMA1000设备治理节造台（AMC）存在一个中等严沉水平的本地权限提升缝隙（CVE-2025-40602），该缝隙已被用于零日攻击以提升系统权限。据SonicWall产品安全事务响应团队（PSIRT）传递，该缝隙由Google威胁谍报幼组的Clément Lecigne和Zander Work汇报，不影响SonicWall防火墙运行的SSL-VPN职能，但强烈建议用户升级至最新热建复版本以建复缝隙。攻击者可利用此缝隙与另一个严沉级此外预身份验证反序列化缝隙（CVE-2025-23006，CVSS评分9.8）组合使用，实现未经身份验证的远程代码执行并获得root权限。CVE-2025-23006已在2025年1月22日颁布的12.4.3-02854平台热建复版本中建复�；チ喙芑筍hadowserver目前追踪到超过950台露出在公网的SMA1000设备，只管部门设备可能已针对此攻击链进行建补。

https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研