KrebsOnSecurity.com 于今日迎来十六周年纪念！衷心感谢所有读者——无论是新朋友、老读者，还是匆匆路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴郁的日子带来了慰藉。令人欣慰的是，"恶有恶报"成为了我们2025年报道的突出主题，重点关注那些助长复杂且全球分布的网络犯罪服务的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"服务商在俄罗斯入侵乌克兰前仅两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚收效甚微，未能阻止Stark的所有者改头换面，并将大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity报道了Cryptomus。这家在加拿大注册的金融公司，成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对该平台处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity发布了研究人员的发现，他们得出结论：一系列针对数十名受害者、涉案金额达六位数的网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起惊人1.5亿美元加密货币盗窃案的美国联邦特工表示，他们得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入窥探了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、令人信服且造成巨大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，向用户强制发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商无休止的短信钓鱼或"smishing"，他们让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后至少提起了两起针对这些团体和数十名未具名被告的无名氏诉讼。

一月份，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多家美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月份，巴基斯坦逮捕了21名涉嫌为Heartsender工作的人员。Heartsender是一个网络钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次报道过。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，是在2021年本网站的一篇报道中，该报道讲述了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月份，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的关联，这位寡头的俄罗斯大学正在为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机在俄罗斯最大的私立教育公司——协同大学——所在的同一网络托管的网站上做广告。

一如既往，KrebsOnSecurity努力密切关注全球最大、最具破坏性的僵尸网络。今年，这些僵尸网络以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月份，KrebsOnSecurity.com遭遇了当时谷歌所缓解过的最大规模DDoS攻击（我们很感激能成为谷歌优秀Project Shield服务的用户）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底首次出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare的另一次攻击，其规模几乎是对本网站六月攻击的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次翻倍，刷新了之前的记录。

十月份，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续、更有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。

数以万计的摄像头未能修补一个已存在11个月的关键CVE漏洞，导致数千家机构面临风险。

最新研究表明，目前全球超过8万台海康威视监控摄像头易受一个已存在11个月的命令注入漏洞影响。

海康威视（杭州海康威视数字技术股份有限公司的简称）是中国国有视频监控设备制造商。其客户遍布100多个国家（包括美国，尽管美国联邦通信委员会在2019年将海康威视列为"对美国国家安全构成不可接受的风险"）。

去年秋季，海康威视摄像头中的命令注入漏洞以CVE-2021-36260的形式公之于众。美国国家标准与技术研究院（NIST）给该漏洞打出了9.8分（满分10分）的"严重"评级。

尽管该漏洞危害严重，且事件已发生近一年，仍有超过8万台受影响的设备未安装补丁。在此期间，研究人员发现"多起黑客试图合作利用海康威视摄像头命令注入漏洞的案例"，特别是在俄罗斯暗网论坛上，泄露的登录凭证已被公开出售。

目前已造成的损害程度尚不明确。报告作者仅能推测："中国威胁组织如MISSION2025/APT41、APT10及其附属组织，以及未知的俄罗斯威胁行为者团体，可能利用这些设备中的漏洞来实现其动机（可能包括特定的地缘政治考量）。"

物联网设备的风险

面对此类事件，人们很容易将软件未打补丁归咎于个人和组织的懈怠。但实际情况往往更为复杂。

Cybrary威胁情报高级总监David Maynor指出，海康威视摄像头存在漏洞有多重原因，且已持续一段时间。"他们的产品存在易被利用的系统性漏洞，更糟糕的是使用默认凭证。没有有效方法进行取证或验证攻击者是否已被清除。此外，我们尚未观察到海康威视在开发周期中表现出任何提升安全性的态势转变。"

许多问题是行业通病，并非海康威视独有。Comparitech隐私倡导者Paul Bischoff通过电子邮件声明写道："像摄像头这样的物联网设备的安全防护，并不总是像手机应用程序那样简单直接。更新不是自动的；用户需要手动下载安装，而许多用户可能永远收不到更新通知。此外，物联网设备可能不会向用户提示其处于不安全或过时状态。手机会在有更新时发出提醒，并在下次重启时自动安装，而物联网设备不提供这种便利。"

在用户毫不知情的情况下，网络犯罪分子可以通过Shodan或Censys等搜索引擎扫描其易受攻击的设备。Bischoff指出，懈怠可能使问题进一步恶化："海康威视摄像头出厂时仅配备少数预设密码之一，而许多用户不会更改这些默认密码。"

在安全防护薄弱、能见度和监管不足的情况下，这数万台摄像头何时（或是否）能得到安全保障尚不可知。

作者：

Nate Nelson

2022年8月25日
下午2:47

2
分钟阅读

分享本文：

数以万计的摄像头未能修补一个已存在11个月的关键CVE漏洞，导致数千家机构面临风险。

新的
研究
表明，目前全球超过8万台海康威视监控摄像头易受一个已披露11个月的命令注入漏洞影响。

海康威视（杭州海康威视数字技术股份有限公司的简称）是一家中国国有视频监控设备制造商。其客户遍布100多个国家（包括美国，尽管美国联邦通信委员会在2019年将海康威视列为“对美国国家安全构成不可接受的风险”）。

去年秋季，海康威视摄像头中的一个命令注入漏洞以
CVE-2021-36260
的形式公之于众。美国国家标准与技术研究院（NIST）给予该漏洞9.8分（满分10分）的“严重”评级。

尽管该漏洞危害严重，且事件已过去近一年，仍有超过8万台受影响的设备未打补丁。在此期间，研究人员发现“多起黑客试图合作利用海康威视摄像头命令注入漏洞的案例”，特别是在俄罗斯暗网论坛上，泄露的登录凭证已被公开出售。

目前已造成的损害程度尚不明确。报告作者只能推测：“中国威胁组织如MISSION2025/APT41、APT10及其附属组织，以及未知的俄罗斯威胁行为者团体，可能利用这些设备中的漏洞来实现其动机（其中可能包括特定的地缘政治考量）。”

物联网设备的风险

面对此类事件，人们很容易将软件未修补归咎于个人或组织的懈怠。但实际情况并非总是如此简单。

据Cybrary威胁情报高级总监David Maynor称，海康威视摄像头存在漏洞的原因很多，且已持续一段时间。“他们的产品包含易于利用的系统性漏洞，或者更糟的是，使用默认凭证。没有有效的方法进行取证或验证攻击者是否已被清除。此外，我们尚未观察到海康威视在其开发周期中表现出任何提升安全性的姿态。”

许多问题是整个行业的通病，并非海康威视独有。Comparitech的隐私倡导者Paul Bischoff在通过电子邮件发表的声明中写道：“像摄像头这样的物联网设备，并不总是像手机上的应用程序那样容易或直接保护。更新不是自动的；用户需要手动下载和安装，而许多用户可能根本收不到通知。此外，物联网设备可能不会向用户提示其处于不安全或过时状态。你的手机会在有更新时发出警报，并可能在下次重启时自动安装，而物联网设备则不提供此类便利。”

在用户毫不知情的情况下，网络犯罪分子可以通过Shodan或Censys等搜索引擎扫描他们的易受攻击设备。Bischoff指出，这个问题确实可能因懈怠而加剧，“因为海康威视摄像头出厂时预设了几个固定密码之一，而许多用户没有更改这些默认密码。”

在安全性薄弱、可见性和监管不足的情况下，尚不清楚这数万台摄像头何时（或是否）能得到保护。

西班牙当局逮捕了34名个人，据称他们是一个涉及网络欺诈的犯罪网络的一部分，并被认为与在欧洲各地从事非法活动的Black Axe团伙有关。

此次行动是在巴伐利亚州刑事警察局的协助和欧洲刑警组织的支持下进行的。

在对塞维利亚、马德里、马拉加和巴塞罗那的搜查中，警方查获了66,400欧元现金、电子设备、车辆，并冻结了银行账户中的119,350欧元。

这个西班牙网络犯罪团伙由尼日利亚裔的个人领导，他们是Black Axe帮派的成员，专门从事所谓的中间人诈骗，例如商业电子邮件入侵（BEC）。

西班牙国家警察表示：“该组织专门从事被称为‘中间人’（MITM）的诈骗，这是一种犯罪分子介入合法通信以拦截、修改或重定向信息和支付，而受害者毫无察觉的技术。”

“检测到的最常见形式是商业电子邮件入侵（BEC），即企业电子邮件账户被入侵或冒充，使得犯罪分子能够拦截公司之间的真实通信、更改银行信息，并将大额支付转移到该组织控制的账户。”

据调查人员称，这些网络犯罪分子在过去15年中造成的损失超过600万美元，其中350万美元与此行动有关。

该团伙利用了一个遍布欧洲多国的庞大钱骡和前台人员网络，帮助转移非法所得并掩盖踪迹。

被捕人员中有四名主要嫌疑人已被采取审前拘留措施。他们现在面临严重持续性欺诈、参与犯罪组织、洗钱、文件伪造和妨碍司法公正等指控。

西班牙当局强调，调查仍在进行中，可能很快会有更多逮捕行动。

Black Axe于1977年在尼日利亚成立，是世界上影响最广、最危险的网络犯罪集团之一，据信拥有30,000名注册成员以及一个庞大的钱骡和协助者网络。

该团伙从事毒品贩运、人口贩运、卖淫、绑架、武装抢劫、精神诈骗，以及最近的网络犯罪。

两年前，美国判处其一名成员奥卢本加·拉瓦尔十年监禁，因其为Black Axe操作员在该国诈骗所得的数百万美元进行洗钱。

2022年，国际刑警组织在南非开展了一次大规模行动，逮捕了70名Black Axe团伙的疑似成员。

美国检方指控一名伊利诺伊州男子策划网络钓鱼活动，通过入侵近600名女性的Snapchat账户窃取私密照片并在网上出售。

据指控，在2020年5月至2021年2月期间，26岁的被告凯尔·斯瓦拉采用多种社交工程手段获取受害者的电子邮件、电话号码和Snapchat用户名。

通过这些信息，斯瓦拉冒充Snap官方代表向超过4500个目标发送短信索取验证码，成功获取约570名受害者的账户凭证，从而侵入其Snapchat账户。

根据法庭文件显示，“他指示潜在共谋者通过其他更安全的渠道（如加密通讯应用Kik）与他联系”。

其客户之一史蒂夫·韦特曾是东北大学田径教练，他雇佣斯瓦拉入侵东北大学学生以及该校女子田径队或足球队成员的Snapchat账户。韦特因针对至少128名女性实施性勒索、网络跟踪和网络欺诈，已于2024年3月被判处五年监禁。

检方指出，除有偿黑客服务外，斯瓦拉还曾独立针对缅因州科尔比学院的学生和伊利诺伊州普兰菲尔德的女性进行攻击。

相关指控面临重刑：加重身份盗窃罪最低判处两年监禁，电信欺诈罪最高可判处20年监禁。计算机欺诈和共谋罪最高可判处五年监禁，虚假陈述罪最高可判处八年监禁。

联邦调查人员呼吁潜在受害者或掌握案件线索者通过此在线表格联系FBI。

KrebsOnSecurity.com 于今日迎来其十六周年纪念！衷心感谢所有读者——无论是新访客、长期关注者还是偶然路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴霾日子带来了慰藉。令人欣慰的是，2025年我们的报道贯穿了一个强烈的主题——"恶有恶报"，重点关注那些为复杂且全球分布的网络犯罪服务提供便利的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"服务商在俄罗斯入侵乌克兰前两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚几乎未能阻止Stark的所有者进行品牌重塑，并将其大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity剖析了Cryptomus。这家在加拿大注册的金融公司，成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对其处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity发布了研究人员的发现，他们得出结论：一系列针对数十名受害者、涉案金额达六位数的网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起高达1.5亿美元加密货币盗窃案的美国联邦探员表示，他们也得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入探究了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、极具说服力且造成重大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，向用户强制发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商无休止的短信钓鱼或"smishing"，他们让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后提起了至少两起针对这些团体和数十名未具名被告的John Doe诉讼。

今年一月，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多个美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月，巴基斯坦逮捕了21名据称为Heartsender工作的人员。Heartsender是一个网络钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次对其进行了剖析。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，是在2021年本网站的一篇报道中，该报道讲述了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的关联，这位寡头的俄罗斯大学正在为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机广告出现在一个网站上，该网站与俄罗斯最大的私立教育公司——协同大学——托管在同一网络中。

一如既往，KrebsOnSecurity努力密切关注全球规模最大、破坏性最强的僵尸网络。今年，这些僵尸网络以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月，KrebsOnSecurity.com遭遇了当时谷歌所缓解过的最大规模DDoS攻击（我们很感激能受惠于谷歌卓越的Project Shield服务）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare发起的另一次攻击，其规模几乎是对本网站六月攻击规模的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次翻倍，刷新了之前的记录。

十月，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续、更有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。

KrebsOnSecurity.com 于今日迎来其十六周年纪念！衷心感谢所有读者——无论是新访客、长期关注者还是偶然路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴霾日子带来了慰藉。令人欣慰的是，"恶有恶报"成为了我们2025年报道的突出主题，重点关注那些助长复杂且全球分布的网络犯罪服务的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"提供商在俄罗斯入侵乌克兰前仅两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚措施几乎未能阻止Stark的所有者进行品牌重塑，并将其大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity 报道了Cryptomus，这家在加拿大注册的金融公司成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对该平台处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity 发布了研究人员的发现，他们得出结论：一系列针对数十名受害者的六位数网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起惊人1.5亿美元加密货币盗窃案的美国联邦探员表示，他们得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入探究了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、极具说服力且造成重大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，强制向用户发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商的持续SMS钓鱼或"短信钓鱼"，这些供应商让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后提起了至少两起针对这些团体和数十名未具名被告的John Doe诉讼。

一月份，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多家美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月份，巴基斯坦逮捕了21名涉嫌为Heartsender工作的人员。Heartsender是一个钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次报道过。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，源于2021年本网站的一篇报道，该报道揭示了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月份，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的联系，该寡头旗下的俄罗斯大学为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机在一个网站上的广告，该网站与俄罗斯最大的私立教育公司——协同大学托管在同一网络中。

一如既往，KrebsOnSecurity努力密切关注全球规模最大、破坏性最强的僵尸网络，这些网络今年以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月份，KrebsOnSecurity.com 遭受了当时谷歌所缓解过的最大规模DDoS攻击（我们很荣幸受到谷歌卓越的Project Shield服务的保护）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare发起的另一次攻击，其规模几乎是对本网站六月攻击的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次刷新了之前的记录。

十月份，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续且有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。