俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金

admin 2025年3月24日13:42:33评论15 views字数 1339阅读4分27秒阅读模式
俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金

点击上方蓝字关注我们

俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金
俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金
俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金

一家名为 “零行动”(Operation Zero)的俄罗斯漏洞利用经纪公司公开宣布,对在 Telegram(电报)应用程序中发现的零日漏洞悬赏高达 400 万美元,这一举措表明,由国家支持的针对这款广受欢迎的即时通讯应用的攻击意图正愈发强烈。

这家公司专门为俄罗斯政府及当地机构提供服务,目前正在寻找可在 Telegram 的安卓、iOS 和 Windows 版本上实现远程代码执行(RCE)的漏洞利用方法。赏金会根据漏洞利用的复杂程度而定。

俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金
俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金

漏洞利用定价和目标

“零行动” 采用分级定价模式,具体如下:

俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金

“全链” 漏洞利用指的是在成功入侵 Telegram 后,通过多个阶段的攻击进而获取设备操作系统访问权限的手段。

俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金

在 X 平台上的声明

业内消息人士指出,这些悬赏价格可能低于市场行情,因为漏洞贩子通常会以收购成本 2 到 3 倍的价格将漏洞转售给各国政府。

Telegram 的加密和文件处理机制屡遭审查

  • 安卓端:2024 年 7 月出现的 “EvilVideo” 零日漏洞,攻击者能将恶意的 APK 文件伪装成视频,利用 Telegram 的自动下载功能进行传播。该漏洞在 10.14.5 版本中得到修复,不过它需要用户进行交互操作,但也凸显了默认设置存在的风险。

  • Windows 端:2024 年,一个因拼写错误引发的漏洞(将文件错误标记为 “.pyzw”)导致 Python 脚本能够被执行,后来通过在可疑文件后添加 “.untrusted” 后缀缓解了这一问题。

  • 历史问题:过去的漏洞还包括 2017 年的一个 Unicode 漏洞,该漏洞可通过伪装文件传播加密货币挖矿恶意软件。

安全专家指出,Telegram 的加密技术落后于 Signal 和 WhatsApp。默认聊天模式缺乏端到端加密保护,且使用的是未经审计的协议。

这些安全漏洞,再加上 Telegram 拥有超过 10 亿用户,尤其是在俄罗斯和乌克兰地区,使其成为与国家相关行为者眼中极具价值的攻击目标。

“零行动” 公开悬赏的行为,让外界得以罕见地了解俄罗斯在漏洞采购方面的重点方向。此前,乌克兰在 2024 年以存在俄罗斯黑客渗透风险为由,禁止政府设备使用 Telegram。

行业分析师推测,此次悬赏反映出俄罗斯相关机构对具备监控或网络战能力工具的迫切需求。

尽管 “零行动” 宣称只服务俄罗斯客户,但地下论坛显示,漏洞交易活动更为广泛。同样是 “EvilVideo” 漏洞,在 2024 年 6 月修复之前,就已在俄罗斯黑客论坛上被兜售,这凸显了国家支持的漏洞市场与犯罪漏洞市场之间界限的模糊性。

像 “零行动” 这样的零日漏洞经纪公司推动了规模达 120 亿美元的全球监控产业发展。Telegram 在跨平台领域占据主导地位,使其一直都是攻击目标。专家敦促用户关闭自动下载功能、手动开启加密,并定期更新应用程序。

黑客利用 Telegram API 传播新的 Golang 后门

2025-02-19

俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金 

朝鲜 Lazarus 黑客通过 npm 包感染了数百人

2025-03-17

俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金 

废弃的云存储桶:一个重要的供应链攻击途径

2025-02-07

俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金 

挖洞神器,几款好用的 Burpsuit 被动扫描插件

2025-01-08

俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金 

喜欢此文的话,可以点赞、转发、在看 一键三连哦!

俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金

原文始发于微信公众号(星尘安全):俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日13:42:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   俄罗斯 0day 买家提供创纪录的 4,000,000 美元电报漏洞利用赏金http://cn-sec.com/archives/3877739.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息