四名黑客因利用老旧路由器构建恶意代理网络被指控

美国司法部近日公布了针对四名外国公民的指控，他们被控运营一个全球网络犯罪计划，该计划劫持过时的无线路由器，创建恶意代理网络，非法获利超过4600万美元。

被告包括三名俄罗斯公民和一名哈萨克斯坦公民。他们通过运营Anyproxy.net和5socks.net两个域名相关的僵尸网络，出售受感染设备的访问权限获利。根据指控，这些黑客利用安全漏洞感染老旧路由器，安装恶意固件，将其转变为非法互联网流量的代理。5socks.net域名据称提供了全球超过7000个被入侵的代理，月订阅价格在9.95美元至110美元之间。这些僵尸网络将被感染的路由器转换为匿名化非法网络活动的中介，包括欺诈、数据盗窃和凭证填充攻击。一旦路由器被入侵，就会被添加到"住宅代理"池中，向寻求隐藏位置的网络犯罪分子出售。

此次行动由FBI俄克拉荷马城网络任务组牵头，与荷兰和泰国当局合作，成功瓦解了僵尸网络基础设施。所有被告目前均不在美国境内，引渡程序正在进行中。如果罪名成立，他们将面临最高20年联邦监禁。

近日，vpnMentor网络安全研究员Jeremiah Fowler发现并报告了一起重大数据泄露事件，涉及超过300万希望获得大学奖学金的年轻运动员及其教练的个人信息。这个未受保护的数据库属于芝加哥公司PrepHero，该公司由EXACT Sports运营，主要帮助高中运动员创建招募档案以申请大学体育项目。

据Fowler调查，该数据库包含了惊人的315万条记录（约135GB），且未设置密码或任何形式的加密保护。泄露的敏感信息包括学生运动员的姓名、电话号码、电子邮件地址、家庭住址和护照信息，以及家长和教练的联系方式。更严重的是，数据库中还包含未受保护的学生运动员护照图像链接。此外，数据库还包含一个标记为"mail cache"的文件夹，其中存储了10GB的电子邮件信息，时间跨度从2017年到2025年。这些邮件包含指向公开可访问页面的个性化网络链接，显示姓名、出生日期、电子邮件地址、家庭住址和薪酬详情。一些邮件甚至包含临时密码。

英国零售巨头玛莎百货确认，在持续超过三周的网络攻击中，客户个人信息遭到泄露。这次始于复活节周末的事件已导致其数字业务瘫痪，包括在线服务暂停和实体店商品供应问题。

玛莎百货透露，攻击者窃取了多种类型的客户信息，包括姓名、家庭和电子邮件地址、电话号码、出生日期以及在线订单历史，但强调没有证据表明这些信息已被分享。据BBC报道，此次攻击归因于DragonForce勒索软件组织，该组织近期还针对英国其他零售商如Co-op和Harrods发动了类似攻击。

此次网络攻击造成严重财务后果，玛莎百货股价下跌约11%，市值蒸发超过10亿英镑。公司已通知全部940万活跃在线客户关于此次数据泄露事件，并正与国家犯罪局、国家网络安全中心和伦敦警察厅合作调查。

美国网络安全和基础设施安全局(CISA)宣布，将不再在其"网络安全警报与建议"网页上发布标准网络安全更新公告。取而代之的是，这些更新将仅通过CISA的电子邮件订阅服务和社交媒体平台（包括在X平台上的CISACyber账号）进行分发。

根据新策略，CISA的公共网页将专注于与重大网络活动或新兴威胁相关的时效性警报。该机构表示，此举旨在提高关键信息的可访问性，确保这些信息获得应有的关注。CISA建议相关方通过CISA.gov上的GovDelivery订阅相关电子邮件主题。那些通过RSS源跟踪已知漏洞利用(KEV)目录的用户也应更新其首选项至KEV订阅主题，以继续接收通知。

据网络安全公司Guardz报告，3月18日至4月7日期间，攻击者利用Microsoft Entra ID中的遗留登录漏洞，成功绕过多因素认证(MFA)，针对金融、医疗和技术等关键行业的管理员账户发起了大规模攻击。

     攻击者利用过时的BAV2ROPC协议，该协议允许通过基本凭证进行非交互式登录，从而绕过MFA和现代安全保护机制。攻击活动迅速升级，每日登录尝试从约2700次增加到超过6400次，最终在Exchange Online和Microsoft Authentication Library端点上超过9000次。管理员账户成为重点攻击目标，其中一个案例显示，在短短8小时内，来自432个IP地址的近1万次登录尝试针对同一账户。大多数攻击尝试来自东欧和亚太地区。

尽管此次攻击活动已经减弱，但Guardz警告称，像BAV2ROPC这样的遗留协议继续使组织面临风险。Guardz敦促企业淘汰过时的登录方法，并强制实施现代身份验证实践。

近日，一组安全专家宣布为Mythic框架引入新型代理，旨在提高检测规避能力和操作效率，为渗透测试工具带来重大进步。

这款新型代理采用三阶段载荷结构，解决了现有工具如Cobalt Strike和Metasploit的Meterpreter面临的局限性：第0阶段负责创建并执行载荷，从零开始设计以绕过安全措施；第1阶段专注于侦察和建立隐蔽持久性，利用Beacon Object Files (BOFs)实现模块化；第2阶段执行横向移动和数据窃取等高级任务，结合开源组件和自定义调整以最小化检测风险。

在技术集成方面，该代理采用自定义的内存执行实现，利用Cobalt Strike开发者推广的Common Object File Format (COFF)。根据SecureList报告，这种技术允许动态更新功能，无需进程注入，从而减少被安全系统发现的可能性。代理体积优化至200KB以下，确保系统影响最小化。

欧洲网络与信息安全局(ENISA)5月13日宣布正式启动欧洲漏洞数据库(EUVD)，这一举措在美国CVE体系面临动荡之际，为全球网络防御人员提供了新的选择。在CISA最近被迫临时延长非营利组织MITRE合同11个月后，许多机构对CVE项目的长期前景表示担忧，EUVD的启动可谓恰逢其时。

EUVD为用户提供三个仪表板：关键漏洞、已被利用的漏洞，以及由欧洲CSIRTs支持的欧盟协调漏洞。每个漏洞都被赋予"EUVD"标识符，同时列出CVE ID和其他可能的标识，如云安全联盟的全球安全数据库(GSD)或GitHub安全公告(GHSA)。EUVD数据记录包括：漏洞描述、受影响的IT产品或服务及版本、漏洞严重性及利用方式、可用补丁信息或来自CSIRTs和其他机构的缓解指南。

网络安全公司FortiGuard Labs近日披露，专针对拉丁美洲西班牙语用户的Horabot恶意软件正通过商业发票钓鱼邮件传播。攻击者冒充墨西哥企业发送含ZIP附件的邮件，内藏恶意HTML文件，利用**Base64编码混淆+多阶段脚本(VBScript/AutoIt/PowerShell)**绕过检测：

反分析机制：脚本会检测虚拟机环境或Avast杀毒软件，若存在则终止运行。

信息收集：窃取系统信息、网络配置，并通过POST请求回传至C2服务器。

载荷解密：使用硬编码密钥99521487解密恶意DLL，通过合法工具AutoIt3.exe隐蔽执行。

核心危害：盗密+自动化横向渗透

浏览器数据窃取：针对Chromium内核浏览器（Chrome/Edge/Brave/Opera），窃取保存的密码、Cookie及金融凭证。

通过DLL内嵌的RCData资源注入虚假登录弹窗，进一步钓鱼骗取账户信息。

Outlook邮件自动传播：利用Outlook COM接口从受害者邮箱自动发送钓鱼邮件，过滤Gmail/Hotmail/.edu等非目标域名，集中攻击企业联系人。

微软于本月**Patch Tuesday（2025年5月）**发布了72个安全漏洞的修复补丁，其中包括：5个已被主动利用的零日漏洞，2个公开披露但尚未被利用的漏洞，6个“严重”（Critical）漏洞。

重点关注：4个正被利用的零日漏洞

1. CVE-2025-30400

类型：Windows DWM核心库权限提升漏洞

风险：本地攻击者利用**释放后重用（UAF）**漏洞获取SYSTEM权限。

2. CVE-2025-32701 & CVE-2025-32706

类型：Windows通用日志文件系统驱动（CLFS）权限提升漏洞

风险：通过UAF或输入验证缺陷获取SYSTEM权限。

3. CVE-2025-32709

类型：Windows WinSock辅助功能驱动权限提升漏洞

风险：利用UAF实现本地特权升级。

4. CVE-2025-30397

类型：脚本引擎内存损坏漏洞（影响Edge/IE）

风险：诱骗用户点击恶意链接，实现远程代码执行（RCE）。

Google 宣布对 Android 16 中的高级保护功能进行改进，以加强对复杂间谍软件攻击的防御。

Android 平台一直是间谍软件活动和利用数字取证平台进行复杂攻击的目标，这些平台通常依靠零日漏洞来感染设备，用户交互最少或根本没有用户交互。

Google 已经为高风险个人（例如记者、民选官员、公众人物）提供了“高级保护计划”，但其目前的重点是保护 Google 帐户。

在 Android 16 中，该公司将安全强化扩展到移动设备本身，超越了某些应用程序级别的设置。

这个设备级安全层捆绑了 Android 最强大的系统级安全功能，并防止恶意或意外地禁用高级保护伞中的单个安全功能。

Google 在 Android 上的高级保护类似于 Apple 的锁定模式，并将在今天作为 Google 的“The Android Show： I/O Edition”的一部分展示的最新版本的移动作系统上提供。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除