文章总结： Huntress研究显示价值10美元的未注册域名可能使黑客控制全球2.5万台终端，涉及关键基础设施与政府网络。恶意软件通过PowerShell提升权限并禁用安全产品，建议组织检查入侵指标以应对威胁。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞预警,安全运营,供应链安全

【安全圈】10 美元域名或致黑客掌控 2.5 万个终端，涉运营技术及政府网络

安全圈

2026年4月16日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

黑客

Huntress 的研究人员在看似普通广告软件中，发现了一个复杂的潜在威胁。研究显示，只需 10 美元就能买到的一个未注册域名，竟可让恶意行为者悄然控制全球超过 2.5 万个受感染终端。

此次调查的核心软件由 Dragon Boss Solutions 签名，该公司自称是一家位于阿联酋的搜索盈利化研究公司。

长期以来，这款软件被归类为具有浏览器劫持能力的潜在不受欢迎程序（PUP）。但 Huntress 研究人员分析发现，它已悄然演变成一种更为危险的程序。

从 2025 年 3 月开始，Huntress 分析师观察到，该软件会部署基于 PowerShell 的有效载荷，以提升的权限运行，禁用网络安全产品，封锁其更新服务器，并阻止重新安装。

这款恶意软件通过五项计划任务和 WMI 事件订阅实现持久化，即便系统重启也能留存。它还会为未来用于部署有效载荷（可能包括加密货币挖矿程序、勒索软件或信息窃取程序）的目录添加 Windows Defender 排除项。

最令人担忧的发现来自该软件的更新配置。用于交付有效载荷更新的主域名（chromsterabrowser [.] com）未注册。由于受感染机器上的杀毒保护已被禁用，任何人购买该域名，都能向每个受影响主机发送任意代码，无需进行额外的漏洞利用。

Huntress 赶在其他人之前注册了该域名，并将其指向一个陷阱域名，然后监测结果。大约有 2.5 万个独特 IP 地址（代表生产环境中正在寻求更新指令的真实终端）试图连接该域名。

感染范围覆盖 124 个国家，其中美国受感染主机超过 1.2 万台，其次是法国、加拿大、英国和德国，各有约 2000 台。

高价值目标的受感染规模尤其令人担忧。在观察到的受感染主机中，有 324 台属于敏感网络，包括 221 所高校、41 个运营技术（OT）网络、35 个政府机构和 3 家医疗保健组织。

被识别出的 OT 网络涉及电力公用事业公司、运输供应商、电力合作社及关键基础设施。受影响网络中还包括多家财富 500 强公司。

Huntress 敦促各组织搜寻入侵指标（IoCs），以检测此次攻击活动可能带来的潜在影响。

END

阅读推荐

【安全圈】伊朗大量美制通信设备突然”失灵”

【安全圈】苹果官方紧急提醒！iPhone用户立即更新系统

【安全圈】全球最大零工平台Fiverr被曝数据泄露

【安全圈】Adobe 修复 PDF 阅读器零日漏洞，已被黑客利用至少四个月

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】10 美元域名或致黑客掌控 2.5 万个终端，涉运营技术及政府网络》