HackerNews

HackerNews 编译，转载请注明出处： 一种新的大规模恶意软件活动正在通过伪装成旨在绕过在线服务限制的工具，用名为SilentCryptoMiner的加密货币矿工感染用户。 俄罗斯网络安全公司卡巴斯基表示，这一活动是更大趋势的一部分，网络犯罪分子越来越多地利用Windows数据包重定向（WPD）工具，以限制绕过程序的形式分发恶意软件。 “此类软件通常以存档形式分发，附带文本安装说明，开发者以误报为由建议禁用安全解决方案，”研究人员列昂尼德·别兹韦申科、德米特里·皮库什和奥列格·库普列夫表示，“这正好符合攻击者的利益，使他们能够在不受保护的系统中持续存在，而不会被发现。” 这种手段已被用于传播窃取程序、远程访问工具（RATs）、提供隐藏远程访问的特洛伊木马以及像NJRat、XWorm、Phemedrone和DCRat这样的加密货币矿工。 这一策略的最新变化是一场活动，通过伪装成基于深度数据包检测（DPI）绕过工具的矿工，感染了2000多名俄罗斯用户。据说，该程序通过一个拥有6万订阅者的YouTube频道上的恶意存档链接进行宣传。 在2024年11月发现的后续策略升级中，威胁者被发现冒充工具开发者，以虚假的版权打击通知威胁频道所有者，要求他们发布带有恶意链接的视频，否则以所谓的侵权为由面临频道被关闭的风险。 “2024年12月，用户报告了通过其他Telegram和YouTube频道分发的感染矿工的工具版本，这些频道随后被关闭，”卡巴斯基表示。 这些带有陷阱的存档文件被发现包含一个额外的可执行文件，其中一个合法的批处理脚本被修改为通过PowerShell运行二进制文件。如果系统中安装的杀毒软件干扰攻击链并删除恶意二进制文件，用户将看到一条错误消息，提示他们重新下载文件，并在禁用安全解决方案后运行它。 该可执行文件是一个基于Python的加载程序，旨在检索下一阶段的恶意软件，另一个Python脚本下载SilentCryptoMiner矿工有效载荷并建立持久性，但在检查是否在沙盒中运行并配置Windows Defender排除项之前不会采取行动。 “为了隐身，SilentCryptoMiner采用进程空心化技术将矿工代码注入系统进程（在这种情况下是dwm.exe），”卡巴斯基表示，“该恶意软件能够在配置中指定的进程活动时停止挖矿，并且可以通过网页面板进行远程控制。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2024年9月以来，中东和北非地区成为了一场新型攻击活动的目标，该活动传播了一种经过修改的知名恶意软件AsyncRAT。 “这场利用社交媒体分发恶意软件的活动，与该地区的当前地缘政治气候有关，”Positive Technologies的研究人员克利门蒂·加尔金和斯坦尼斯拉夫·皮日霍夫在上周发布的一份分析报告中表示。“攻击者将恶意软件托管在合法的在线文件共享账户或专门为此目的设立的Telegram频道中。” 据估计，自2024年秋季以来，这场活动已经感染了大约900名受害者，俄罗斯网络安全公司补充道，这表明其传播范围广泛。大多数受害者位于利比亚、沙特阿拉伯、埃及、土耳其、阿拉伯联合酋长国、卡塔尔和突尼斯。 这一活动被归因于一个名为Desert Dexter的威胁行为者，该行为者于2025年2月被发现。其主要手段是在Facebook上创建临时账户和新闻频道，然后利用这些账户发布包含文件共享服务或Telegram频道链接的广告。 网络安全研究人员指出，这些链接会将用户重定向到一个经过修改的AsyncRAT恶意软件版本，该版本包含离线键盘记录功能；搜索16种不同的加密货币钱包扩展和应用程序；并与Telegram机器人通信。 攻击链从一个RAR存档开始，其中包含批处理脚本或JavaScript文件，这些文件被编程为运行PowerShell脚本，该脚本负责触发攻击的第二阶段。 具体来说，它终止了与各种.NET服务相关的进程，这些进程可能会阻止恶意软件启动，从“C:\ProgramData\WindowsHost”和“C:\Users\Public”文件夹中删除扩展名为BAT、PS1和VBS的文件，并在C:\ProgramData\WindowsHost中创建一个新的VBS文件，在C:\Users\Public中创建BAT和PS1文件。 该脚本随后在系统上建立持久性，收集并外泄系统信息到Telegram机器人，截取屏幕截图，并最终通过将AsyncRAT有效载荷注入“aspnet_compiler.exe”可执行文件来启动它。 目前尚不清楚谁是这场活动的幕后黑手，尽管JavaScript文件中的阿拉伯语评论暗示了他们可能的来源。 对发送到Telegram机器人的消息的进一步分析显示，攻击者的桌面截图名为“DEXTERMSI”，其中包含PowerShell脚本以及一个名为Luminosity Link RAT的工具。Telegram机器人中还有一个名为“dexterlyly”的Telegram频道的链接，这表明威胁行为者可能来自利比亚。该频道创建于2024年10月5日。 “大多数受害者是普通用户，包括以下行业的员工：石油生产、建筑、信息技术和农业，”研究人员表示。 网络安全研究人员指出，Desert Dexter使用的工具并不特别复杂。然而，Facebook广告与合法服务的结合以及对地缘政治形势的利用，已经导致了众多设备被感染。 这一消息的出现正值奇安信（QiAnXin）披露了一场名为“海象行动”的鱼叉式网络钓鱼活动的细节，该活动被发现针对中国科研机构，目的是投放一个能够收集与海洋科学和技术相关的敏感信息的后门。 这一活动被归因于一个名为UTG-Q-011的集群，据称，它是另一个敌对集体CNC集团的一个子集，该集团与印度的Patchwork威胁行为者在战术上存在重叠。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员展示了一种新技术，使恶意网络浏览器扩展能够伪装成任何已安装的插件。 “多态扩展创建了目标图标的像素级复制品、HTML弹出窗口、工作流程，甚至暂时禁用合法扩展，使受害者极易相信他们是在向真实扩展提供凭据，”SquareX在上周发布的一份报告中表示。 收集到的凭据随后可能被威胁者滥用，以劫持在线账户并获取未经授权的敏感个人和财务信息访问权限。这次攻击影响了所有基于Chromium的网络浏览器，包括谷歌Chrome、微软Edge、Brave、Opera等。 这种方法利用了用户通常会将扩展程序钉选到浏览器工具栏的事实。在假设的攻击场景中，威胁者可以将多态扩展发布到Chrome网络商店（或任何扩展市场）并将其伪装成实用程序。 网络安全研究人员指出，虽然该插件提供了广告宣传的功能以免引起怀疑，但它在后台通过主动扫描与特定目标扩展相关的网络资源（使用一种称为网络资源撞击的技术）来激活恶意功能。 一旦识别出合适的目标扩展，攻击便会进入下一阶段，导致其变成合法扩展的复制品。这是通过将恶意扩展的图标更改为与目标匹配，并通过“chrome.management”API暂时禁用实际插件来实现的，这会导致它从工具栏中被移除。 “多态扩展攻击极为强大，因为它利用了人类依赖视觉线索进行确认的倾向，”SquareX表示。“在这种情况下，工具栏上扩展图标用于告知用户他们正在交互的工具。” 这一发现是在该公司一个月前披露另一种名为“浏览器同步劫持”的攻击方法之后得出的，该方法可以通过看似无害的浏览器扩展来控制受害者的设备。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 出于经济利益驱动的威胁组织EncryptHub被发现通过复杂的网络钓鱼活动部署信息窃取器和勒索软件，同时还在开发一款名为EncryptRAT的新产品。 Outpost24的KrakenLabs在一份报告中称：“EncryptHub通过分发热门应用的被篡改版本来攻击用户，还利用了第三方按安装付费（PPI）分发服务。” 这家网络安全公司将该威胁组织描述为一个存在操作安全失误的黑客团体，且该团体会将针对热门安全漏洞的利用整合到攻击活动中。 EncryptHub还被瑞士网络安全公司PRODAFT追踪为LARVA-208，被认为自2024年6月底开始活跃，采用从短信钓鱼到语音钓鱼等多种方式，诱骗潜在目标安装远程监控和管理（RMM）软件。 该公司向《黑客新闻》透露，该网络钓鱼组织与RansomHub和Blacksuit勒索软件组织有关联，过去九个月里，利用高级社会工程学手段攻击了618个高价值目标，涉及多个行业。 “攻击者通常会创建一个针对组织的钓鱼网站来获取受害者的VPN凭证，”PRODAFT表示，“随后，受害者会接到电话，被要求在钓鱼网站上输入个人信息以解决技术问题，对方伪装成IT团队或客服。如果攻击不是通过电话，而是直接发送短信，就会使用伪造的Microsoft Teams链接来说服受害者。” 这些钓鱼网站托管在防弹主机提供商Yalishand等平台上。一旦获得访问权限，EncryptHub就会运行PowerShell脚本，进而部署Fickle、StealC和Rhadamanthys等窃取器恶意软件。大多数情况下，攻击的最终目的是投放勒索软件并索要赎金。 威胁者采用的另一种常见方法是使用伪装成合法软件的特洛伊木马应用程序作为初始访问手段。这些包括QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022和Palo Alto Global Protect的假冒版本。 这些被篡改的应用程序一旦安装，就会触发一个多阶段的过程，作为后续有效载荷（如Kematian窃取器）的传递工具，以方便窃取Cookie。 自2025年1月2日起，EncryptHub分发链的一个关键部分是使用名为LabInstalls的第三方PPI服务，该服务为付费客户（从10美元100次安装到450美元10000次安装）提供批量恶意软件安装。 “EncryptHub通过在俄语顶级地下论坛XSS上的LabInstalls销售帖子中留下好评，甚至附上使用该服务的截图，确认自己是其客户，”Outpost24表示。 “该威胁者很可能雇佣这项服务以减轻分发负担并扩大其恶意软件的攻击范围。” 这些变化突显了EncryptHub攻击链的积极调整，该组织还在开发新组件，如用于管理活跃感染、发布远程命令和访问被盗数据的命令与控制（C2）面板EncryptRAT。有证据表明，对手可能正考虑将该工具商业化。 “EncryptHub不断演变其战术，强调了持续监控和积极防御措施的必要性，”该公司表示，“组织必须保持警惕，采用多层次安全策略来降低此类对手带来的风险。” 提醒广大用户：为规避风险，请从官方或可信赖的渠道下载软件，避免使用来路不明的安装包。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2025 年 1 月以来，不明身份的黑客组织针对日本的企业发起了一系列恶意攻击，受害者涵盖科技、电信、娱乐、教育及电商行业。   Cisco Talos 研究员 Chetan Raghuprasad 在周四发布的技术报告中指出，攻击者利用 CVE-2024-4577 漏洞（PHP 在 Windows 平台的 PHP-CGI 远程代码执行漏洞）作为初始攻击手段，成功入侵目标系统。   “攻击者利用这一漏洞获取初始访问权限，并运行 PowerShell 脚本，以执行 Cobalt Strike 反向 HTTP shellcode 载荷，从而实现对受感染终端的长期远程控制，”Raghuprasad 表示。   入侵后，攻击者利用 JuicyPotato、RottenPotato、SweetPotato、Fscan 和 Seatbelt 等工具进行侦察、权限提升和横向移动。同时，黑客通过修改 Windows 注册表、创建计划任务及自定义服务等手段，进一步巩固在系统内的持久化控制。此外，攻击者使用 Cobalt Strike 插件 “TaoWu” 进行后渗透攻击。   为了隐藏恶意行为，黑客利用 wevtutil 命令清除 Windows 事件日志，抹除安全、系统及应用日志中的记录。最终，攻击者执行 Mimikatz 命令，从内存中提取并窃取密码及 NTLM 哈希。   攻击的最终目标是窃取凭据，而进一步分析 Cobalt Strike 的命令与控制（C2）服务器后发现，黑客意外暴露了存储在阿里云服务器上的完整攻击工具集。   攻击者使用的工具包括：   – Browser Exploitation Framework（BeEF）：一款公开可用的渗透测试工具，可在浏览器上下文中执行命令。   – Viper C2：一个模块化的 C2 框架，支持远程命令执行，并可生成 Meterpreter 反向 shell 载荷。   – Blue-Lotus：一个 JavaScript Webshell XSS 攻击框架，可用于劫持浏览器会话、窃取 Cookie、截取屏幕截图、创建反向 shell，甚至在内容管理系统（CMS）中创建新账户。   “根据我们观察到的后渗透活动，包括建立持久性、提升至 SYSTEM 级权限，以及对对抗性框架的潜在访问，我们有理由相信，攻击者的动机不仅仅是窃取凭据，而是可能策划更大规模的未来攻击，”Raghuprasad 表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部正式指控俄罗斯加密货币交易所 Garantex 的管理员协助犯罪组织进行洗钱，并违反制裁规定。   涉案人员包括 46 岁的立陶宛籍俄罗斯居民 Aleksej Besciokov 和 40 岁的俄罗斯籍阿联酋居民 Aleksandr Mira Serda。两人自 2019 年至 2025 年间控制 Garantex，现被指控共谋洗钱，最高可判 20 年监禁。   此外，Besciokov 还被指控共谋经营未经许可的资金传输业务（最高可判 5 年监禁）以及违反《国际紧急经济权力法》（最高可判 20 年监禁）。   美国司法部今日表示，自 2019 年 4 月以来，Garantex 至少处理了 960 亿美元的加密货币交易。   Mira Serda 担任 Garantex 的联合创始人兼首席商务官，而 Besciokov 则是技术管理员，负责维护 Garantex 的关键基础设施，并审核、批准交易。   司法部指出，两人明知 Garantex 被用于洗白数亿美元的犯罪所得，并助长黑客攻击、勒索软件、毒品交易及恐怖活动，仍采取措施隐瞒交易所的非法行为。   本周，美国司法部联合德国和芬兰执法机构，查封了 Garantex 的域名（Garantex[.]org、Garantex[.]io、Garantex[.]academy）及其运营服务器。   此外，美国当局还掌握了此前的服务器副本，包括账目记录及客户数据库，并冻结了超过 2600 万美元的洗钱资金。   由于 Garantex 遭到欧盟第 16 轮对俄制裁，稳定币发行商 Tether 已封锁其数字钱包，迫使 Garantex 于周四暂停服务。本轮制裁针对 542 名个人及实体。   Garantex 团队在周四的 Telegram 公告中表示：“我们有坏消息。Tether 参与了针对俄罗斯加密市场的战争，冻结了我们价值超过 25 亿卢布的钱包。”   “我们暂时中止所有服务，包括加密货币提取。目前整个团队正全力解决此问题。我们在战斗，不会放弃！请注意，所有俄罗斯钱包中的 USDT 现已面临风险。”   2022 年 4 月，美国财政部外国资产控制办公室（OFAC）对 Garantex 进行制裁，原因是该交易所涉及超过 1 亿美元的暗网市场及网络犯罪交易，其中包括臭名昭著的 Conti 勒索软件团伙和 Hydra 暗网市场。   此外，2022 年 2 月，爱沙尼亚金融情报部门撤销了 Garantex 的虚拟货币服务许可证，理由是该交易所未能遵守反洗钱和反恐融资（AML/CFT）政策，并与犯罪资金相关的钱包存在关联。   OFAC 当时表示：“尽管失去了爱沙尼亚的许可证，Garantex 仍通过不正当手段向客户提供服务。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Akamai 研究人员发现，Edimax IC-7100 IP 摄像头存在一个关键的命令注入漏洞（CVE-2025-1316），目前正被僵尸网络恶意软件积极利用以攻陷设备。研究人员确认，这一漏洞正在被用于仍在进行中的攻击。该漏洞源于对传入请求的不当中和，允许攻击者通过发送特制请求来执行远程代码。 Akamai 研究员 Kyle Lefton 表示，他们将在下周提供有关该漏洞及其相关僵尸网络的更多技术细节。 在发现该漏洞后，Akamai 向美国网络安全与基础设施安全局（CISA）报告了这一情况，CISA 随后尝试联系台湾厂商 Edimax。 “无论是 Akamai SIRT 还是 CISA 都多次尝试联系厂商（Edimax）。CISA 未能从他们那里得到回应，”Lefton 告诉 BleepingComputer.com。 “我亲自联系了他们并得到了回复，但他们只是说所涉及的设备 IC-7100 已经停产，因此不会收到进一步的更新。由于 Edimax 无法向我们提供更多资讯，这个 CVE 可能影响更广泛的设备范围，而且不太可能发布补丁。” Edimax IC-7100 是一款用于家庭、小型办公大楼、商业设施和工业场所远程监控的 IP 安全摄像头。该产品已不再广泛零售，于 2011 年 10 月发布，Edimax 将其列为“遗留产品”，这意味着它不再生产，很可能也不再获得支持。然而，全球范围内仍有许多这样的设备在使用。 Edimax 漏洞被追踪为 CVE-2025-1316，是一个严重程度为关键的（CVSS v4.0 评分 9.3）操作系统命令注入漏洞，由传入请求的不当处理引起。远程攻击者可以通过向设备发送特制请求来利用此漏洞，从而获得远程代码执行的能力。在此情况下，当前的利用是由僵尸网络恶意软件执行的，旨在攻陷设备。 僵尸网络通常利用这些设备发起分布式拒绝服务（DDoS）攻击、代理恶意流量或作为跳板攻击同一网络中的其他设备。鉴于 CVE-2025-1316 的利用活动正在进行中，受影响的设备应立即下线或更换为获得积极支持的产品。 CISA 建议用户尽量减少受影响设备的网络暴露，将其置于防火墙之后，并将其与关键业务网络隔离。此外，美国机构建议在需要时使用最新的虚拟专用网络（VPN）产品进行安全远程访问。 常见的受感染 IoT 设备迹象包括性能下降、过度发热、设备设置意外更改以及出现异常网络流量。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国当局已追回超过 2300 万美元的加密货币，这些加密货币与 2024 年 1 月从瑞波（Ripple）加密钱包中窃取的 1.5 亿美元有关。调查人员相信，2022 年入侵 LastPass 的黑客是此次攻击的幕后黑手。 尽管威胁行为者试图掩盖行踪，但执法人员在 2024 年 6 月至 2025 年 2 月期间追踪到价值 23,604,815.09 美元的被盗数字资产，并将其与以下加密货币交易所关联：OKX、Payward Interactive, Inc.（即 Kraken）、WhiteBIT、AscendEX Technology SRL、Ftrader Ltd（即 FixedFloat）、SwapSpace LLC 和 Rabbit Finance LLC（即 CoinRabbit）。 美国司法部昨日解封的一份没收投诉书显示，美国特勤局的调查人员在采访受害者后认为，攻击者只能通过破解受害者密码库中存储的私钥来窃取加密货币，而这些私钥是在 2022 年在线密码管理器数据泄露事件中被盗取的。 他们发现，存储在多个受害者密码管理器账户中的被盗数据和密码被攻击者用来访问“他们的电子账户并窃取信息、加密货币和其他数据”。 他们还发现，没有证据表明受害者的设备被入侵，这表明攻击者是通过解密被盗的在线密码管理器数据来获取用于入侵受害者加密钱包的密钥。 “盗窃规模和资金迅速流失的情况表明，这需要多个恶意行为者的努力，并且与在线密码管理器数据泄露和其他类似情况受害者的加密货币盗窃案一致。” 尽管调查人员未明确指出受害者身份，但这些细节与 2024 年 1 月 31 日披露的瑞波联合创始人兼执行主席克里斯·拉森（Chris Larsen）钱包遭黑客攻击、价值 1.5 亿美元的加密货币被盗事件相符。 加密货币欺诈调查员扎克 XBT（ZachXBT）首先将本周追回的 2300 万美元加密货币与拉森的 XRP 钱包遭黑客攻击事件联系起来。 “美国执法部门昨日提交的没收投诉书揭示了 2024 年 1 月瑞波联合创始人克里斯·拉森钱包遭袭的 1.5 亿美元（2.83 亿 XRP）的原因，即私钥存储在 LastPass（2022 年遭黑客攻击的密码管理器）中，”他今日在 Telegram 消息中表示。 3 月 7 日 14:40 东岸时间：LastPass 在发布后发表以下声明： “自 2022 年我们首次披露这一事件以来，LastPass 一直与执法部门的多位代表密切合作。到目前为止，我们的执法合作伙伴尚未向我们提供任何确凿证据，将任何加密货币盗窃与我们的事件联系起来。在此期间，我们一直在大力投资加强安全措施，并将继续这样做。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子通过发送虚假的版权索赔来勒索 YouTubers，迫使他们在视频中推广恶意软件和加密货币矿工。 这些威胁行为者利用 Windows Packet Divert (WPD) 工具在俄罗斯的流行程度，这些工具帮助用户绕过互联网审查和政府对网站及在线服务的限制。 YouTubers 为迎合这一受众群体，发布了关于如何使用各种基于 WPD 的工具绕过审查的教程，并成为威胁行为者的目标，这些行为者伪装成这些工具的版权持有者。 在大多数情况下，威胁行为者声称是所展示限制绕过工具的原始开发者，向 YouTube 提出版权索赔，然后联系创作者，提供解决方案，即在视频中包含他们提供的下载链接。 同时，他们威胁说，如果不遵守，将在 YouTube 上再增加两次“打击”，根据平台的“三次打击”政策，可能导致频道被封禁。 在其他情况下，攻击者直接联系创作者，伪装成工具的开发者，声称原始工具有一个新版本或新的下载链接，要求创作者在视频中更改链接。 YouTubers 出于对失去频道的担忧，屈服于威胁行为者的勒索，同意在视频中添加指向托管这些所谓的 WPD 工具的 GitHub 存储库的链接。然而，这些是被植入木马的版本，包含了一个加密矿工下载器。 卡巴斯基观察到这种推广被植入木马的 WPD 工具的行为发生在一段有超过 400,000 次观看的 YouTube 视频中，恶意链接在被移除前达到了 40,000 次下载。 一个拥有 340,000 订阅者的 Telegram 频道也以同样的伪装推广了恶意软件。 “根据我们的遥测，这场恶意软件活动已经影响了俄罗斯 2,000 多名受害者，但实际数字可能更高，”卡巴斯基警告说。 恶意软件加载程序是从 GitHub 存储库下载的包含 Python 恶意软件加载程序的恶意存档，通过修改后的启动脚本（“general.bat”）使用 PowerShell 启动。 如果受害者的防病毒软件干扰了这一过程，启动脚本会提示用户禁用防病毒软件并重新下载文件。 可执行文件仅针对俄罗斯 IP 地址获取第二阶段加载程序并在设备上执行。 第二阶段负载是另一个可执行文件，其大小被膨胀到 690 MB 以逃避防病毒分析，同时它还具备反沙盒和虚拟机检查功能。 恶意软件加载程序通过添加排除项和创建名为 “DrvSvc” 的 Windows 服务来关闭 Microsoft Defender 保护，以实现重启后的持久性。 最终，它下载最终负载，SilentCryptoMiner，这是一个修改版的 XMRig，能够开采多种加密货币，包括 ETH、ETC、XMR 和 RTM。 coin miner 每 100 分钟从 Pastebin 获取远程配置，以便动态更新。 为了逃避检测，它被加载到如 “dwm.exe” 的系统进程中，使用进程空心化技术，并在用户启动如 Process Explorer 和 Task Manager 的监控工具时暂停挖矿活动。 尽管卡巴斯基发现的这场活动主要针对俄罗斯用户，但相同的策略也可能被用于更广泛范围的操作，这些操作还可能投放信息窃取器或勒索软件等风险更高的恶意软件。 用户应避免从 YouTube 视频或描述中的网址下载软件，尤其是来自较小到中等规模的频道，这些频道更容易受到欺诈和勒索的影响。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 现年55岁的休斯顿居民戴维斯·卢（Davis Lu）被判定有罪，他曾在被降职后，通过运行自定义恶意软件并在前雇主的系统中安装“kill switch”来破坏其系统。 卢自2007年11月至2019年10月在俄亥俄州的一家公司（据称为伊顿公司）担任软件开发者。 伊顿公司是一家全球性的电力管理公司，为各行各业提供电气、液压和机械解决方案。 2018年公司重组后，卢在工作中失去了部分职责，并被判定通过自定义恶意软件和“kill switch”破坏了雇主的计算机系统和网络。 恶意活动包括运行“无限循环”的代码，耗尽生产服务器的资源，最终导致系统崩溃并阻止用户登录。这些无限循环通过反复生成新线程而不正确终止来耗尽Java线程。 根据卢的起诉书，他还删除了同事的用户配置文件，并设置了一个“kill switch”，如果他在公司的Windows活动目录中的账户被禁用，该“kill switch”将锁定所有用户。这个“kill switch”代码名为“IsDLEnabledinAD”，是“Is Davis Lu enabled in Active Directory”的缩写。 当卢在2019年9月9日被解雇时，“kill switch”被自动触发，导致数千名员工无法访问系统。 在他被要求归还公司笔记本电脑的当天，卢据称删除了加密数据。 美国司法部表示，互联网搜索查询还显示卢曾研究提升权限、隐藏进程和快速删除文件的方法。 美国司法部称，卢的行为和系统中断给公司带来了数十万美元的损失。 陪审团判定卢故意破坏受保护的计算机，这一罪名最高可判处10年监禁。宣判日期尚未确定。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国多个城市正在警告一场正在进行的移动网络钓鱼活动，该活动通过伪装成城市停车违规部门的短信，通知用户未付停车发票，并声称如果未支付，将每天收取35美元的额外罚款。 尽管停车诈骗已经存在多年，但最近一波大规模的网络钓鱼短信已导致美国多个城市发布警告，包括安纳波利斯、波士顿、格林尼治、丹佛、底特律、休斯顿、密尔沃基、盐湖城、夏洛特、圣地亚哥、旧金山等。 此次短信浪潮始于去年12月，并一直持续至今。BleepingComputer 本周早些时候也收到了针对纽约居民的钓鱼短信。 这些短信声称来自城市停车违规部门，通知用户有未付的停车发票，如果未支付，将每天收取35美元的逾期费用。短信随后提示用户点击链接以支付罚款。 “这是纽约市关于未付停车发票的最后提醒。如果今天不付款，将每天收取35美元的逾期费用，”钓鱼短信写道。 同样的钓鱼模板也被用于其他城市的未付停车发票短信中。 为了规避检测，诈骗者利用Google.com的开放重定向，将用户引导至伪装成目标城市的钓鱼网站。例如，纽约市的钓鱼网站是nycparkclient[.]com。 过去一年中，苹果引入了一项安全功能，禁用了来自未知发件人或可疑域名的短信中的链接。由于Google.com是一个受信任的域名，苹果iMessage不会禁用该链接，因此使用公司开放重定向更容易诱使用户不慎点击链接。 在纽约市的钓鱼活动中，点击链接会进入一个伪装成“纽约市财政局：停车和摄像头违规”的网站，提示用户输入姓名和邮政编码。 此时，用户可以输入任意姓名和邮政编码，随后将被引导至一个页面，声称“您的车辆在纽约市有未付的停车发票。为了避免每天35美元的滞纳金，请立即结算您的余额。” 所欠金额因活动而异，BleepingComputer收到的短信显示我们欠4.60美元。 从图片可以看出，这是一个骗局的明显迹象，因为美元符号显示在金额之后，而不是之前，这在美国是不寻常的。这进一步表明钓鱼诈骗是由美国以外的人创建的。 点击“现在处理”按钮会将用户引导至一个屏幕，诈骗者在此试图窃取用户的数据，包括姓名、地址、电话号码、电子邮件地址，最终还有信用卡信息。 这些信息随后可能被用于各种恶意活动，包括进一步的网络钓鱼攻击、身份盗窃、金融诈骗以及将数据出售给其他威胁行为者。 一般来说，如果您收到未知电话号码或电子邮件地址发来的短信，要求您点击链接、付款或以某种方式回应，您应该报告并封锁该号码，而不是轻信。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “雷根”加载器是一种“复杂且不断演变的恶意软件工具包”，被包括“雷根”锁屏软件（又名“怪兽螳螂”）、芬7、芬8以及“无情螳螂”（前身为REvil）在内的多个网络犯罪和勒索软件团伙所使用。 瑞士网络安全公司PRODAFT在一份声明中表示：“雷根”加载器在维持对受感染系统的访问中发挥着关键作用，帮助攻击者长期潜伏在网络中进行攻击活动。 尽管它与“雷根”锁屏软件团伙有关联，但尚不清楚该团伙是拥有该工具还是将其出租给他人。不过可以肯定的是，其开发者不断添加新功能，使其更具模块化，更难被检测。 “雷根”加载器也被称为“萨多尼克”，最早于2021年8月由Bitdefender记录，当时芬8针对美国一家未具名金融机构的攻击未能成功。该恶意软件自2020年起就被投入使用。 2023年7月，博通旗下的赛门铁克披露芬8使用该后门的更新版本来投放现已失效的“黑猫”勒索软件。 “雷根”加载器的核心功能是能够在目标环境中建立长期立足点，同时运用一系列技术规避检测，确保攻击活动的持续性。 PRODAFT指出：“该恶意软件利用基于PowerShell的有效载荷执行操作，采用强大的加密和编码方法（包括RC4和Base64）来隐藏其活动，并运用复杂的进程注入策略来建立和维持对受感染系统的隐秘控制。” “这些功能共同增强了其规避检测和在目标环境中持续存在的能力。” 该恶意软件以包含多个组件的档案文件包的形式提供给合作伙伴，以便实现反向Shell、本地权限提升和远程桌面访问等功能。它还被设计为与攻击者建立通信，使攻击者能够通过命令与控制（C2）面板远程控制受感染的系统。 “雷根”加载器通常利用PowerShell在受害者系统上执行，并整合了大量反分析技术，以抵抗检测并模糊控制流逻辑。 此外，它还能够通过运行DLL插件和Shellcode以及读取和窃取任意文件内容来开展各种后门操作。为了在网络中横向移动，“雷根”加载器还使用了另一个基于PowerShell的跳板文件。 另一个关键组件是一个名为“bc”的Linux可执行ELF文件，它被设计用于协助远程连接，使攻击者能够在受感染的系统上直接启动和执行命令行指令。 PRODAFT表示，“bc”与QakBot和IcedID等其他已知恶意软件家族中的BackConnect模块类似，它们都允许攻击者与受害者的设备进行远程交互。“这是网络犯罪分子的常见手段，尤其是针对企业受害者，因为他们的设备通常处于网络隔离状态。”该公司补充道，“它采用了高级的混淆、加密和反分析技术，包括基于PowerShell的有效载荷、RC4和Base64解密程序、动态进程注入、令牌操作以及横向移动能力。这些功能体现了现代勒索软件生态系统的复杂性和适应性不断增强。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 “set-utils” 的恶意 Python Package Index (PyPI) 软件包，通过拦截钱包创建功能窃取以太坊私钥，并通过 Polygon 区块链发送出去。 该软件包伪装成一个 Python 工具，模仿了拥有超过 7.12 亿次下载的热门 “python-utils” 以及拥有超过 2350 万次安装的 “utils”。 开发人员网络安全平台 Socket 的研究人员发现了这个恶意软件包，并报告说自 2025 年 1 月 29 日在 PyPI 上提交以来，“set-utils” 已经被下载了上千次。 该开源供应链安全公司表示，攻击主要针对使用 “eth-account” 进行钱包创建和管理的区块链开发人员、基于 Python 的 DeFi 项目、支持以太坊的 Web3 应用以及使用 Python 自动化的个人钱包。 以太坊私钥的隐秘盗窃 该恶意软件包嵌入了攻击者的 RSA 公钥，用于加密被盗数据，以及一个由攻击者控制的以太坊发送账户。 该软件包会钩入标准的以太坊钱包创建函数，如 “from_key()” 和 “from_mnemonic()”，在受感染的机器上生成私钥时拦截这些私钥。 然后它会加密被盗的私钥，并将其嵌入到以太坊交易的数据字段中，再通过 Polygon RPC 端点 “rpc-amoy.polygon.technology/” 发送给攻击者的账户。 窃取的私钥外泄 与其他传统的网络数据窃取方法相比，将窃取的数据嵌入以太坊交易中更为隐蔽，也更难与合法活动区分开来。 防火墙和杀毒软件通常会监控 HTTP 请求，但不会监控区块链交易，因此这种做法不太可能引起警报或被阻止。 此外，Polygon 交易的处理费用很低，小额交易没有速率限制，还提供免费的公共 RPC 端点，因此威胁行为者不需要建立自己的基础设施。 一旦外泄过程完成，攻击者可以随时检索被盗数据，因为这些信息被永久地存储在区块链上。 “set-utils” 软件包在被发现后已从 PyPI 上移除。然而，已经将其纳入项目的用户和软件开发人员应立即卸载它，并假设创建的任何以太坊钱包都已被危及。 如果这些钱包中包含资金，建议尽快将它们转移到另一个钱包，因为这些钱包中的资金随时都可能被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国特勤局与司法部刑事司、联邦调查局、欧洲刑警组织以及荷兰国家警察、德国联邦刑事警察局、法兰克福总检察院、爱沙尼亚国家刑事警察和芬兰国家调查局等其他执法部门合作，查封了俄罗斯加密货币交易所 Garantex 的网站域名 。 据两位知情人士透露，Garantex 涉嫌协助勒索软件团伙和暗网市场转移资金，其域名已被美国特勤局根据弗吉尼亚州东区美国检察官办公室的搜查令查封并控制。Garantex 的官方网站已被替换为一个通知，上面写着：“根据搜查令，Garantex 的域名已被美国特勤局查封。” 此外，据知情人士表示，Garantex 的主要运营地点包括莫斯科的联邦大厦和圣彼得堡，其他被制裁的虚拟货币交易所也在这些地方运营。此外，Garantex 在 2022 年 2 月失去了在爱沙尼亚提供虚拟货币服务的执照，因为爱沙尼亚金融情报局发现了其与犯罪活动钱包的关联，以及反洗钱和反恐融资政策的严重合规问题。 美国财政部外国资产控制办公室（OFAC）于 2022 年 4 月对 Garantex 实施了制裁，原因是其与俄罗斯勒索软件团伙和暗网市场 Hydra 有关联，这两者也都遭到制裁。此后，OFAC 又对 Cryptex 和 PM2BTC 等加密货币交易所实施了制裁，原因是它们为俄罗斯勒索软件团伙和其他网络犯罪组织洗钱。 然而，尽管面临多方制裁，Garantex 仍在寻找机会继续运营。该交易所周四在其电报频道表示：“尽管困难重重，我们仍在坚持，并努力解决这些问题。我们不会放弃，所有在俄罗斯钱包中的 Tether（USDT）目前都面临风险。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已经关闭了未公开数量的 GitHub 存储库，这些存储库被用于大规模的恶意广告活动中，影响了全世界近一百万台设备。 微软的威胁分析师在 2024 年 12 月初发现了这些攻击活动，当时他们观察到多个设备从 GitHub 存储库下载了恶意软件，这些恶意软件随后被用来在受损系统上部署各种其他有效载荷。 分析活动后，他们发现攻击者为了获取经济利益在非法的盗版流媒体网站的视频中注入了广告，这些广告会将潜在受害者重定向到攻击者控制的恶意的 GitHub 存储库 。 微软今天解释说：“流媒体网站在电影框架中嵌入了恶意广告重定向器，以从恶意广告平台生成按次观看或按点击付费的收入。这些重定向器随后通过一两个额外的恶意重定向器路由流量，最终到达另一个网站，例如恶意软件或技术支持诈骗网站，然后再重定向到 GitHub。” 恶意广告视频将用户重定向到 GitHub 存储库，这些存储库会感染恶意软件，这些恶意软件旨在进行系统发现、收集详细的系统信息（例如内存大小、图形细节、屏幕分辨率、操作系统和用户路径），并在收集数据的同时部署额外的有效载荷。 第三阶段的有效载荷是一个 PowerShell 脚本，它会从命令和控制服务器下载 NetSupport 远程访问木马病毒，并在注册表中为其建立持久性机制。一旦执行，该恶意软件还可以部署 Lumma 信息窃取器和开源的 Doenerium 信息窃取器，以窃取用户数据和浏览器凭证。 另一方面，如果第三阶段的有效载荷是一个可执行文件，它会创建并运行一个 CMD 文件，同时丢弃一个带有 .com 扩展名的重命名的 AutoIt 解释器。这个 AutoIt 组件随后会启动二进制文件，并可能丢弃另一个带有 .scr 扩展名的 AutoIt 解释器。同时，还会部署一个 JavaScript 文件，以帮助执行 .scr 文件并为其建立持久性机制。 在攻击的最后阶段，AutoIt 有效载荷使用 RegAsm 或 PowerShell 打开文件、启用远程浏览器调试，并窃取额外的信息。在某些情况下，PowerShell 还被用来配置 Windows Defender 的排除路径，或者丢弃更多 NetSupport 有效载荷。 虽然 GitHub 是第一阶段有效载荷的主要托管平台，但微软威胁情报中心还观察到 Dropbox 和 Discord 上托管的有效载荷。 微软表示：“此活动被跟踪在名为 Storm – 0408 的行动之下，我们用它来跟踪众多与远程访问或信息窃取恶意软件相关的威胁行为者，这些行为者还使用网络钓鱼、搜索引擎优化（SEO）或恶意广告活动来分发恶意有效载荷。” “这次活动影响了各种组织和行业，包括消费者和企业设备，突显了攻击的无差别性质。” 微软的报告提供了有关此次复杂的恶意广告活动中各个攻击阶段以及使用的有效载荷的更多详细信息。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 researchers 发现，超过1000个WordPress网站被感染，这些网站中被注入了第三方 JavaScript 代码，从而产生了四个独立的后门，使攻击者能够持续访问受害网站。 “创建四个后门使攻击者在其中一个被发现并移除时，仍然可以通过其他入口重新进入目标系统。”c/side的研究员Himanshu Anand在周三的分析中表示。 这些恶意的 JavaScript 代码通过 cdn.csyndication[.]com 提供。截至撰写本文时，有多达908个网站包含对这个域名的引用。 这四个后门是这样工作的： 1.第1个后门，上传并安装一个名为“Ultra SEO Processor”的假插件，然后用于执行攻击者发布的命令 2.第2个后门，将恶意 JavaScript 注入 wp-config.php 3.第4个后门，旨在执行远程命令并从 gsocket[.]io 获取另一个有效载荷，可能会打开一个反向 shell 为了降低这些攻击带来的风险，建议用户删除未经授权的 SSH 密钥、轮换 WordPress 管理员凭据，并监控系统日志中的可疑活动。 这一事件的披露正值网络安全公司详细描述了另一场恶意软件活动，该活动已通过恶意 JavaScript 共谋了35000多个网站，这些 JavaScript “完全劫持了用户的浏览器窗口”，将网站访客重定向到中文赌博平台。 “此次攻击似乎针对或起源于说普通话的地区，最终的登陆页面在‘Kaiyun’品牌下提供赌博内容。” 这些重定向是通过托管在五个不同域名上的 JavaScript 实现的，这些 JavaScript 作为执行重定向的主要有效载荷的加载器： – mlbetjs[.]com – ptfafajs[.]com – zuizhongjs[.]com – jbwzzzjs[.]com – jpbkte[.]com 这些研究结果还揭示了 Group-IB 关于一个名为 ScreamedJungle 的威胁行为者的最新报告，该行为者将名为 Bablosoft JS 的 JavaScript 注入受损的 Magento 网站，收集访问用户的指纹信息。据信，到目前为止，已有超过115个电子商务网站受到影响。 “注入的脚本是‘Bablosoft BrowserAutomationStudio（BAS）套件’的一部分。”这家新加坡公司表示，并补充道，“它还包含其他几个函数，用于收集有关访问受损网站的用户的系统和浏览器的信息。” 据说，攻击者利用已知的漏洞（例如影响易受攻击的 Magento 版本的 CVE-2024-34102（又名 CosmicSting）和 CVE-2024-20720）入侵这些网站。这个以经济利益为动机的威胁行为者于2024年5月底首次被发现。 “浏览器指纹识别是一种强大的技术，通常被网站用于跟踪用户活动并调整营销策略。”Group-IB表示，“然而，这些信息也被网络犯罪分子利用，以模仿合法用户行为，规避安全措施，并进行欺诈活动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2023 年 1 月首次出现以来，Medusa 勒索软件背后的威胁行为者已经声称近 400 个受害者，2023 年至 2024 年间，这类以经济利益为动机的攻击事件增加了 42%。 据 Symantec 威胁猎手团队在一份报告中表示，仅在 2025 年的前两个月，该组织就声称发起了 40 多起攻击。网络安全公司正跟踪这个集群，将其命名为 Spearwing。 “与其他多数勒索软件操作者一样，Spearwing 及其分支机构会实施双倍勒索攻击，在加密网络之前先窃取受害者的数据，以免受害者不支付赎金，从而增加对受害者的压力。” Symantec 表示。 “如果受害者拒绝支付，该组织则威胁在他们的数据泄露网站上发布被盗数据。” 尽管像 RansomHub（又名 Greenbottle 和 Cyclops）、Play（又名 Balloonfly）以及 Qilin（又名 Agenda、Stinkbug 和 Water Galura）这样的勒索软件即服务（RaaS）玩家已经从 LockBit 和 BlackCat 的破坏中受益，但 Medusa 感染事件的激增表明，该威胁行为者也有可能急于填补这两个多产的勒索软件留下的空白。 随着勒索软件的构成继续处于不稳定状态，最近几个月，像 Anubis、CipherLocker、Core、Dange、LCRYX、Loches、Vgod 和 Xelera 这样的新 RaaS 操作不断地出现在网络空间中。 Medusa 有向医疗机构和非营利组织索要 10 万至 1500 万美元赎金的记录，同时还把金融和政府机构作为攻击目标。 该勒索软件的攻击链涉及利用面向公众的应用程序中的已知安全漏洞来获取初始访问权限，主要是 Microsoft Exchange Server。还怀疑该威胁行为者很可能正在利用初始访问代理来突破感兴趣的网络。 一旦成功进入，黑客就会使用 SimpleHelp、AnyDesk 或 MeshAgent 等远程管理和监控（RMM）软件来保持持续访问，并使用经过验证的自带易受攻击驱动程序（BYOVD）技术来终止使用 KillAV 的杀毒进程。值得注意的是，KillAV 之前也被用于 BlackCat 勒索软件攻击。 “使用合法的 RMM 软件 PDQ Deploy 是 Medusa 勒索软件攻击的另一大特征。” Symantec 表示，“攻击者通常会利用它来投放其他工具和文件，并在受害者的网络中横向移动。” 在 Medusa 勒索软件攻击过程中部署的其他工具包括用于访问和运行数据库查询的 Navicat、用于数据泄露的 RoboCopy 和 Rclone。 “与其他针对性勒索软件组织一样，Spearwing 往往会攻击各个行业的大型组织。” Symantec 表示，“勒索软件组织通常完全由利润驱动，而不受任何意识形态或道德观念的约束。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic 近日发布了安全更新，以解决影响 Kibana（一款用于 Elasticsearch 的数据可视化仪表板软件）的一个严重安全漏洞，该漏洞可能导致任意代码执行。 该漏洞被追踪为 CVE-2025-25012，其 CVSS 评分为 9.9（满分 10.0），被描述为一种原型污染的情况。 公司周三发布的一份咨询报告中表示：“Kibana 中的原型污染可通过精心制作的文件上传和特定的 HTTP 请求来实现任意代码执行。” 原型污染漏洞是一种安全缺陷，允许攻击者操纵应用程序的 JavaScript 对象和属性，可能导致未经授权的数据访问、特权升级、拒绝服务或远程代码执行。 该漏洞影响 Kibana 8.15.0 到 8.17.3 之间的所有版本，已在 8.17.3 版本中得到解决。 网络安全 具体而言，在 Kibana 8.15.0 及以上版本中，只有具有 Viewer 角色的用户才会受到该漏洞的影响。在 Kibana 8.17.1 和 8.17.2 版本中，只有具有以下所有权限的用户才会受到该漏洞的影响 – – fleet-all – integrations-all – actions:execute-advanced-connectors 建议用户尽快采取措施，应用最新的修复程序，以防止潜在威胁。如果无法立即更新，建议用户在 Kibana 的配置（“kibana.yml”）中将 Integration Assistant 功能标记设置为 false（“xpack.integration_assistant.enabled: false”）。 2024 年 8 月，Elastic 解决了 Kibana 中另一个严重的原型污染漏洞（CVE-2024-37287，CVSS 评分：9.9），该漏洞也可能导致代码执行。一个月后，它又解决了两个严重的反序列化漏洞（CVE-2024-37288，CVSS 评分：9.9 和 CVE-2024-37285，CVSS 评分：9.1），这些漏洞也可能允许任意代码执行。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以经济利益为驱动的威胁行为者 EncryptHub 被发现正开展复杂的网络钓鱼活动来部署窃密程序和勒索软件，同时还研发了一种名为 EncryptRAT 的新产品。 “有观察发现 EncryptHub 通过分发热门应用的被植入木马的版本来攻击其用户，此外，该威胁行为者还利用了第三方‘按安装量付费’（PPI）分发服务”，Outpost24 KrakenLabs 在一份报告中表示。 该网络犯罪公司称，该威胁行为者是一个会犯下运营安全错误的黑客组织，并且会在其攻击活动中融入针对热门安全漏洞的利用方法。 EncryptHub 还被瑞士网络安全公司 PRODAFT 追踪为 LARVA-208，据评估，它于 2024 年 6 月末开始活跃，采取从短信网络钓鱼（smishing）到语音网络钓鱼（vishing）等多种方式，企图诱骗潜在目标安装远程监控和管理（RMM）软件。 该公司告诉 The Hacker News，这个鱼叉式网络钓鱼组织与 RansomHub 和 Blacksuit 勒索软件组织有关联，且一直在使用高级社会工程学手段攻击多个行业的高价值目标。 “该行为者通常会创建一个针对组织的钓鱼网站来获取受害者的 VPN 凭证，随后会给受害者打电话，以 IT 团队或技术支持的身份要求受害者将详细信息输入钓鱼网站，以解决技术问题。如果针对受害者的攻击不是电话，而是一条直接发送的短信，那么就会使用一个伪造的 Microsoft Teams 链接来说服受害者。” 这些钓鱼网站托管在像 Yalishand 这样的防弹托管服务提供商上。一旦获得访问权限，EncryptHub 就会运行导致部署窃密程序（如 Fickle、StealC 和 Rhadamanthys）的 PowerShell 脚本。大多数情况下，这些攻击的最终目的是投放勒索软件并索要赎金。 威胁行为者采用的另一种常见方法是使用伪装成合法软件的被植入木马的应用程序以获取初始访问权限。这些包括 QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022 和 Palo Alto Global Protect 的假冒版本。 一旦这些带有陷阱的应用程序被安装，就会触发一个多阶段进程，充当交付下一阶段有效载荷（如 Kematian 盗窃程序）的载体，以方便窃取 Cookie。 自 2025 年 1 月 2 日起，EncryptHub 分发链的一个关键组成部分是使用第三方 PPI 服务，名为 LabInstalls，该服务为付费客户（起价为 10 美元（100 次安装量）至 450 美元（10,000 次安装量））提供批量恶意软件安装便利。 “EncryptHub 确实通过在顶级俄语地下论坛 XSS 上的 LabInstalls 销售帖子中留下好评反馈来确认自己是他们的客户，甚至还包含了一张证明使用该服务的截图”，Outpost24 表示。 “该威胁行为者很可能是雇佣这项服务来减轻分发负担，并扩大其恶意软件能够触达的目标数量。” 这些变化突显了 EncryptHub 攻击链的积极调整，同时该威胁行为者还在开发像 EncryptRAT 这样的新组件，这是一种用于管理活动感染、发布远程命令和访问被盗数据的命令与控制（C2）面板。有迹象表明，该对手可能正打算将这一工具商业化。 “EncryptHub 继续演变其战术，这强调了持续监控和积极防御措施的必要性”，该公司称，“组织必须保持警惕，并采用多层次安全策略来缓解此类对手带来的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究揭示，网络攻击者正利用暴露的云凭证，快速劫持企业的人工智能（AI）系统。这种攻击方式被称为 LLMjacking，主要针对非人类身份（NHIs），如 API 密钥、服务账户和机器凭证，以绕过传统安全控制并利用被盗的生成式 AI 访问权限进行非法牟利。 安全公司 Entro Labs 的研究发现，攻击者利用自动化的机器人扫描公共代码库和论坛，使用 Python 脚本检测有效凭证。一旦凭证被暴露，攻击者在 9 至 17 分钟内进行初步的 API 调用，如 GetCostAndUsage，以评估账户价值，同时避免使用可预测的调用如 GetCallerIdentity 来逃避检测。 凭证收集：自动化的机器人使用 Python 脚本扫描公共代码库和论坛，以检测有效凭证，其中 44% 的非人类身份是通过代码库和协作平台泄露的。 快速验证：攻击者在凭证暴露后的 9-17 分钟内执行初始 API 调用（如 GetCostAndUsage）来评估账户价值，并避免使用可预测的调用（如 GetCallerIdentity）以逃避检测。 模型枚举：入侵者通过 AWS Bedrock 执行 GetFoundationModelAvailability 请求，以列出可访问的大型语言模型（LLM），包括 Anthropic 的 Claude 和 Amazon Titan，并映射可用的攻击面。 漏洞利用：攻击者对受损端点进行自动化的 InvokeModel 尝试，研究人员在实验密钥中观察到每小时超过 1200 次未经授权的推理尝试。 Storm-2139 网络犯罪组织最近利用这种方法攻击了 Microsoft Azure AI 客户，窃取 API 密钥以生成暗网内容。取证日志显示，攻击者： 利用 Python 的请求库进行凭证验证 使用 aws s3 ls 命令识别 AI/ML 存储桶 尝试使用精心设计的提示来绕过内容过滤器的 InvokeModel Entro 的模拟入侵表明攻击者将自动脚本与手动侦察相结合 ——63% 的初始访问使用 Python SDK，而 37% 使用 Firefox 用户代理通过 AWS 控制台进行交互式探索。 成本利用：仅需一个带有 Bedrock 访问权限的受 compromis NHIs，每天可能会产生 46000 美元的未授权推理费用。 数据泄露：在 22% 的观察到的事件中，攻击者窃取了模型配置和训练数据元数据。 声誉损害：Microsoft Q1 2025 安全漏洞事件中，威胁者利用被盗的 Azure OpenAI 密钥生成了 14000 多张深度伪造图像。 缓解策略 检测并实时监控 NHIs 实施自动化的秘密轮换 强制执行最小权限原则 监控不寻常的 API 活动 对开发人员进行安全的 NHI 管理教育 随着攻击者在不到 20 分钟内利用漏洞，实时秘密扫描和自动轮换不再是可选的安全措施，而是 LLM 时代的关键生存机制。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文