这周的安全圈没大爆炸,却到处是小动作。黑产们越来越会钻空子,用老把戏包装新花样,让人防不胜防。Google突然把PQC迁移deadline拉到2029年,理由是量子硬件进展比预期快,错误纠正和分解资源估算都逼得他们必须加速。之前NIST给的2035年目标,现在Google自己先跳了。
他们说,量子机对现有加密的威胁已经不是未来事。存储现在解密后攻击(store-now-decrypt-later)对加密算法已经现实存在,数字签名虽是远期风险,但也要提前换。Google直接把威胁模型调高,优先搞认证服务。Android 17里会集成ML-DSA数字签名保护,升级Android Verified Boot(AVB),让启动时加载的软件更难被篡改。同时远程认证也全面转向PQC,Android Keystore原生支持ML-DSA。
这步棋下得急。量子计算机真到能破当前公钥的那天,很多人还来不及反应。Google自己先动,等于给整个行业甩了个紧箍咒。
另一边,加密钱包又中招。ShieldGuard这个号称保护钱包免受钓鱼和恶意智能合约的浏览器扩展,结果自己就是个吸血鬼。Okta拆解后发现,它专门收割Binance、Coinbase、MetaMask、OpenSea、Phantom和Uniswap等平台的钱包地址,还抓取用户登录后的完整HTML页面。推广靠多级营销,用户早用有airdrop奖励,拉人头也有分成。推广网站shieldguards[.]net,X账号@ShieldGuardsNet,Telegram频道@ShieldsGuard,全是俄语圈痕迹。最终Okta联合Google、Cloudflare把扩展下架,域名和后端全断了。
讽刺的是,它打着安全旗号骗人,结果干的就是最不安全的活。BTC现报$68,688(24h -3.67%),ETH现报$2,060(24h -4.90%),这种时候钱包安全稍有松懈,资金就可能瞬间蒸发。
低价Android设备也出大问题。Sophos发现Keenadu后门藏在固件里,嵌入libandroid_runtime.so这个共享库,直接注入Zygote进程。Zygote是所有Android app的父进程,中招等于整机被控。设备多是Allview、BLU、Dcode、DOOGEE、Gigaset、Gionee、Lava、Ulefone等廉价机型,截至3月4日已确认500多台,覆盖近50款机型,散布在40个国家。Sophos说它主要当下载器,拉第二阶段恶意软件。固件阶段就植入,供应链妥妥被污染。
想想看,用户买个便宜平板,以为正常用,结果后台全被监控。安全从出厂就漏了。
Tycoon2FA这个钓鱼即服务平台,上月初被Europol和Microsoft联手端了330个域名,还抓了人。结果呢?CrowdStrike观察到,行动后头两天活动量掉到25%左右,很快又回血到年初水平。TTP没变,还是用钓鱼邮件引到假CAPTCHA页,偷session cookie,JS载荷偷邮箱,凭证代理登录云环境。恢复后他们玩得更花,用URL缩短器、合法演示软件做跳转、冒充建筑公司,甚至用已知联系人的被攻破SharePoint发XLSX和PDF。没抓到人、没物理扣硬件,黑产换个基础设施就活蹦乱跳。
这说明单纯技术打击不够。犯罪团伙恢复速度快得离谱。
沙虫(Sandworm)又用盗版软件钓鱼,针对乌克兰用户推Microsoft Office 2025破解版ISO,通过Telegram传播。植入Tambur、Sumbur、Kalambur、DemiMur等后门。Tambur开SSH反向隧道下命令,Kalambur搞内网渗透和RDP接管,Sumbur加强混淆,DemiMur伪造根证书骗过Windows信任链。360威胁研究所说,这套组合拳精准打高价值目标。
假会议邀请也成新武器。Netskope报告,黑客用Zoom、Teams、Google Meet假邀请,声称必须更新软件才能加入,引导到zoom-meet.us这类 typo-squatted 域名,下载的“更新”其实是签名过的Datto RMM、LogMeIn或ScreenConnect。拿到管理权限后,数据偷个够,还能部署更狠的恶意软件。
德国和加拿大的医疗、政府机构中招PureLogs窃取器。邮件假装版权侵权通知,点开后多阶段感染:加密payload伪装PDF,从远程取解密密码,用Python加载器在内存跑.NET PureLogs。双.NET加载器做备份,反虚拟机,反磁盘痕迹,用改名WinRAR辅助。整套流程几乎无文件落地,检测难度直线上升。
npm仓库又现恶意包。ethersproject-wallet、base-x-64等五个包,typosquat正版加密库,作者galedonovan。一旦开发者传私钥,包就静默发给硬编码的Telegram bot,表面运行正常,无任何报错。
Google Forms也被滥用。Malwarebytes看到用求职面试、项目简报、财务文件做诱饵,下载ZIP后触发多阶段,最终装PureHVNC RAT。另一波用混淆VBScript,通过Internet Archive上的PNG图拉PhantomVAI Loader,再装Remcos和XWorm。
Web3客服成新靶子。APT-Q-27(GoldenEyeDog)通过支持聊天发可疑链接,诱导下载伪装照片的可执行文件,从AWS S3拉第二阶段,再DLL侧载Farfli(Gh0st RAT)。payload藏在像Windows Update缓存的目录里,内存执行,减少磁盘痕迹。中国背景的金融动机团伙,从2022年就活跃。
云手机成欺诈新基建。Group-IB说,虚拟Android系统演化成云端手机农场,租用只要0.10-0.50美元/小时。黑产预装电子钱包和验证过的银行卡,用于账号接管和授权推送支付诈骗。暗网市场卖Revolut、Wise账号,50-200美元一个,还带云手机实例访问权。诈骗分子冒充银行或政府,让受害者把凭证给到他们的云手机上。
印度因巴基斯坦关联间谍网,下令全国审计CCTV系统。那些太阳能监控设备被用来传实时画面给ISI。政府要求查部件来源、测远程访问漏洞、做合规测试。同期抓了22人,招募靠社交媒体和加密App,每次任务给5000到20000卢比,目标是火车站和军事基地。
其他还有:ClawHub下载计数漏洞能随便刷排名;Larva-26002继续打MS-SQL服务器,部署Go写的ICE Cloud Client扫描器;TOXICSNAKE流量分发系统导用户去钓鱼和诈骗;Crytox勒索用PowerShell躲EDR;Lumma窃取器意外暴露朝鲜IT工人,还扯出Funnull CDN凭证和Polyfill.io供应链攻击的北韩关联;香港国安法新规允许警方要手机密码,不给最高判一年监禁加12700美元罚款;Oblivion Android RAT按月租300美元卖,带APK构建器和假Google Play更新页。
这些事连起来看,黑产对信任机制的利用越来越熟练。熟悉的工具、正常的流程,一点点变形就成了陷阱。量子威胁在逼近,供应链污染在扩散,恢复力强的服务在证明单纯打击不够。行业得把眼睛睁大点,动作再快点。否则,下一个中招的,可能就是你我身边的系统。