光花實驗室終結 AISURU/Kimwolf 網路超過 550 個指令服器
近期,資安公司 Synthient 和奇安信發現了一個大型網路 Kimwolf,感染了超過 200 萬臺安卓裝置,主要目標是智慧電視和電視盒。這個網路透過代理服器服務的網路環境進行散,利用固定代理服器的漏洞進行感染。
網路 Kimwolf 的特點
Kimwolf 的感染途主要是透過固定代理服器(Residential Proxy)的網路環境,對於露在公開網路環境、用 Android Debug Bridge(ADB)服務的裝置,部署網路病毒。這個網路仰固定代理服器大勢力,因此,資安公司呼所有代理服器供應商,封高風險的連接,並限制本地網路環境的存取。
資安公司的發現
資安公司 Synthient 根據他們設下的蜜陷,看到來自江蘇艾迪信息科技代理服器服務 IPIDEA 的攻擊活動,並在 11 月 12 日出現增加的現象,客定的網域名稱,會特別對指向執行代理服器軟體開發套件(SDK)的裝置進行解析。Synthient 也分析部分位於 IPIDEA 代理服器群組的設備,發現竟有三分之二的安卓裝置未使用身分驗證機制,攻擊者可用於遠端執行任意程式碼。
Kimwolf 的感染規模
根據 Synthient 的統計,Kimwolf 的感染裝置數量應該遠超過 200 萬臺,原因是他們每週會看到約 1200 萬個 IP 位址,受害設備在越南、巴西、印度,以及沙地阿拉伯最多。從裝置的類型來看,TV BOX、HiDPTAndroid,以及 SMART_TV 的比例最高。
資安公司的建議
資安公司呼所有代理服器供應商,封高風險的連接,並限制本地網路環境的存取。同時,使用者也應該注意自己的裝置安全,避免使用弱密碼,保持系統和軟體的更新,避免成為 Kimwolf 的目標。
參考資料與原文來源
MITRE ATT&CK 應
- T1190 – Initial Access, Exploitation for Client Execution
- T1204 – User Execution, Exploitation for Privilege Escalation
🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化,僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。
發佈留言