近一年间,下载站出现了较多被恶意刷取网站CDN流量及针对性的过多访问单个文件的行为。主要刷流的文件为Zerotermux各版本的安装包、VM磁盘镜像等大文件。
ICDOWN从未对文件下载进行任何的限制且文件下载始终为直链模式,但从2025年5月13日起ICDOWN已开始屏蔽已被标记为PCDN、CDN恶意流量、BT吸血IP及NetCraft相关的流量,这将会大大提升真实用户的浏览体验。
ICDOWN从未对文件下载进行任何的限制且文件下载始终为直链模式,但从2025年5月13日起ICDOWN已开始屏蔽已被标记为PCDN、CDN恶意流量、BT吸血IP及NetCraft相关的流量,这将会大大提升真实用户的浏览体验。
注意使用Nezha监控工具的新型入侵手段
攻击方式
phpMyAdmin 初始访问 → 日志投毒植入 Web Shell → AntSword 接管 → 部署 Nezha Agent → 部署 Ghost RAT → 创建恶意服务持久化
处理方法
检查是否存在恶意文件(如 123.php , live.exe , x.exe )和名为 SQLlite 的恶意服务 ,并将其彻底移除 。
#安全报告
#特别安全事件
www.huntress.com/blog/nezha-china-nexus-threat-actor-tool
攻击方式
phpMyAdmin 初始访问 → 日志投毒植入 Web Shell → AntSword 接管 → 部署 Nezha Agent → 部署 Ghost RAT → 创建恶意服务持久化
处理方法
检查是否存在恶意文件(如 123.php , live.exe , x.exe )和名为 SQLlite 的恶意服务 ,并将其彻底移除 。
#安全报告
#特别安全事件
www.huntress.com/blog/nezha-china-nexus-threat-actor-tool
Huntress
The Crown Prince, Nezha | Huntress
Beginning in mid-2025, Huntress discovered a new tool being used to facilitate webserver intrusions known as Nezha, which up until now hasn’t been publicly reported on. This was used in tandem with other families of malware and web shell management tools…
已知一个疑似伪装为zygisk针对root用户的后门,该病毒通过用户主动刷入模块感染设备,通过无障碍服务与系统及应用实现持久化,疑似窃取手机相册和密码信息,目前仅有三家(含卡巴斯基)安全软件服务商拉黑配置下发网址。
自查方式
样本报毒5
报毒类型:间谍代理、下载者木马
#安全报告
自查方式
/system/priv-app/zygisk/ 目录
/data/adb/service.d/ 目录下的 0.sh, 1.sh, 2.sh 脚本文件
/data/local/vendor/ 目录
/data/app/ 目录中包含 com.android.append 关键字的文件夹
在Magisk(面具)的“超级用户”授权列表中,检查是否存在 com.android.append 的授权记录。
样本报毒5
报毒类型:间谍代理、下载者木马
#安全报告
IXCM工作室
已知一个疑似伪装为zygisk针对root用户的后门,该病毒通过用户主动刷入模块感染设备,通过无障碍服务与系统及应用实现持久化,疑似窃取手机相册和密码信息,目前仅有三家(含卡巴斯基)安全软件服务商拉黑配置下发网址。 自查方式 /system/priv-app/zygisk/ 目录 /data/adb/service.d/ 目录下的 0.sh, 1.sh, 2.sh 脚本文件 /data/local/vendor/ 目录 /data/app/ 目录中包含 com.android.append 关键字的文件夹…
疑似一个伪装成MT终端扩展包的应用程序,通过随机注入已安装模块感染ROOT设备,根据配置下发域名查看,与之前流行的远控同源。
由于本次感染未成规模,缺少相关样本分析,感染方式、传播途径未知。
判断:
1.MT终端扩展包bin.mt.plus.termex应位于用户程序列表,而非系统程序列表。
2.微信等应用程序,出现风险提示并自动登出账户。
参考:
1.制作方的伪装方式开始具有随机性并正在持续更新。
2.尽可能避免通过社交软件下载模块。
3.开挂、为了开挂做准备的用户可能是本次攻击的主对象。
4.已出现疑似攻击者后台的截图
5.疑似远程下发配置:fdkss.sbs/client/a.ashx
#安全报告
#特别安全事件
由于本次感染未成规模,缺少相关样本分析,感染方式、传播途径未知。
判断:
1.MT终端扩展包bin.mt.plus.termex应位于用户程序列表,而非系统程序列表。
2.微信等应用程序,出现风险提示并自动登出账户。
参考:
1.制作方的伪装方式开始具有随机性并正在持续更新。
2.尽可能避免通过社交软件下载模块。
3.开挂、为了开挂做准备的用户可能是本次攻击的主对象。
4.已出现疑似攻击者后台的截图
5.疑似远程下发配置:fdkss.sbs/client/a.ashx
#安全报告
#特别安全事件
IXCM工作室
今日19时CloudFlare出现的故障已影响ICDOWN下载站,请等待服务提供商恢复。
cloudflare宣布该事件已解决,我们将切换回该服务商继续提供服务
ICDOWN CDN将在本年度内关闭标准CDN服务及部分转发器,使用固定解析的用户请及时修改。
将会关闭或已关闭的转发器:
香港103转发器
香港N转发器
香港25转发器
新加坡SG6转发器
日本OV-3转发器
土耳其TR6转发器
洛杉矶总74转发器
洛杉矶总142转发器
洛杉矶→AS9929转发器
洛杉矶→AS4837转发器
洛杉矶→CT-CN2转发器
洛杉矶→CT-CN2第二转发器
将会关闭或已关闭的转发器:
香港103转发器
香港N转发器
香港25转发器
新加坡SG6转发器
日本OV-3转发器
土耳其TR6转发器
洛杉矶总74转发器
洛杉矶总142转发器
洛杉矶→AS9929转发器
洛杉矶→AS4837转发器
洛杉矶→CT-CN2转发器
洛杉矶→CT-CN2第二转发器
Nekogram 12.5.2 版本发布后被曝出该客户端
1.(?)可能于2024年某个时间段后未经同意传输手机号至特定Bot的行为。
2.目前该行为正在持续
建议弃用此客户端,更换为其他可信第三方客户端或更换官方客户端。
#安全报告
#需要注意的安全事件
1.(?)可能于2024年某个时间段后未经同意传输手机号至特定Bot的行为。
2.目前该行为正在持续
建议弃用此客户端,更换为其他可信第三方客户端或更换官方客户端。
#安全报告
#需要注意的安全事件
ICDOWN下载站架构已调整完毕
本次架构调整未影响任何服务
ICDOWN下载站主站
https://d.icdown.club
ICDOWN CLI Download Station
http://list.d.icdown.club
本次架构调整未影响任何服务
ICDOWN下载站主站
https://d.icdown.club
ICDOWN CLI Download Station
http://list.d.icdown.club