HackerNews

HackerNews 编译，转载请注明出处： 在伊朗与以色列地缘政治紧张局势升级之际，一个代号为 “UNK_SmudgedSerpent”的全新威胁活动集群被证实是 2025 年 6 月至 8 月期间一系列网络攻击的幕后黑手，其攻击目标直指学术界人士与外交政策专家。 “UNK_SmudgedSerpent 利用了伊朗国内政治相关诱饵，包括伊朗社会变革以及对伊斯兰革命卫队（IRGC）军事化问题的调查，”Proofpoint 安全研究员萨赫尔・瑙曼在一份分享给《黑客新闻》的新报告中表示。 这家企业安全公司指出，该攻击行动在战术上与伊朗此前多个网络间谍组织的攻击模式存在相似性，包括 TA455（又名 “烟沙暴” 或 UNC1549）、TA453（又名 “魅力小猫” 或 “薄荷沙暴”）以及 TA450（又名 “芒果沙暴” 或 “浑水”）。 这些电子邮件具备“魅力小猫”组织经典攻击的所有特征：威胁行为者先通过良性对话吸引潜在目标，随后再尝试钓鱼窃取其登录凭证。 在部分案例中，邮件包含恶意链接，诱骗受害者下载 MSI 安装程序 —— 该程序伪装成微软 Teams 软件，最终却会部署 PDQ Connect 等合法的远程监控与管理（RMM）软件，这一战术正是 “浑水” 组织的常用手段。 Proofpoint 透露，这些数字邮件还伪造了布鲁金斯学会、华盛顿研究所等智库相关的美国知名外交政策人士身份，为攻击披上合法外衣，以提高攻击成功率。 此次攻击的目标是一家美国智库中 20 余名专注于伊朗相关政策研究的专业专家。多数案例显示，威胁行为者收到目标回复后，会坚持先核实对方身份及邮箱真实性，再推进后续 “合作” 事宜。 邮件中写道：“特此联系以确认近期一封表达对我方机构研究项目兴趣的邮件是否确实由你发送。该邮件来自一个看似非你常用的邮箱地址，为确保真实性，我方希望在进一步推进前予以核实。” 随后，攻击者会发送所谓 “即将在会议中讨论” 的文件链接，但受害者点击后会被导向伪造的钓鱼页面，该页面的设计目的是窃取其微软账户登录凭证。 在另一版本的攻击链中，相关链接模仿微软 Teams 登录页面并设有 “立即加入” 按钮，但目前尚不清楚点击该 “会议按钮” 后激活的后续攻击步骤。 Proofpoint 指出，在目标 “表达怀疑” 后，攻击者移除了凭证窃取页面的密码验证要求，转而直接将受害者导向托管在 “thebesthomehealth [.] com” 域名下的伪造 OnlyOffice 登录页面。OnlyOffice 是一款支持文档协作的开源办公套件，具备与微软 Office 高度兼容的格式处理能力。 “UNK_SmudgedSerpent 对 OnlyOffice 链接及健康主题域名的使用，让人联想到 TA455 组织的活动特征，” 瑙曼表示，“TA455 至少从 2024 年 10 月起就开始注册健康相关域名（此前该组织长期注册航空领域相关域名），而 OnlyOffice 则在 2025 年 6 月成为其常用的文件托管工具。” 伪造的 OnlyOffice 网站上托管着一个 ZIP 压缩包，内含 MSI 安装程序，该程序运行后会启动 PDQ Connect。据 Proofpoint 评估，其他附带文件均为诱饵文档。 有证据显示，UNK_SmudgedSerpent 可能通过人工操作（hands-on-keyboard），借助 PDQ Connect 进一步安装 ISL Online 等其他远程监控与管理工具。目前尚不明确其连续部署两款不同远程监控与管理软件的具体原因。 该威胁行为者发送的其他钓鱼邮件还针对一名美国学者（寻求对方协助调查伊斯兰革命卫队），并在 2025 年 8 月初联系另一名人士，提议就 “伊朗在拉丁美洲的角色扩张及对美国政策的影响” 开展研究合作。 “这些攻击行动与伊朗的情报收集目标高度一致，重点聚焦西方政策分析、学术研究及战略技术领域，”Proofpoint 表示，“此次行动暗示伊朗情报机构与网络部队之间的合作正在不断发展，标志着伊朗间谍活动生态系统发生了转变。” 背景补充：2025 年 6 月，以色列与伊朗曾爆发 “十二日战争”，停火后双方谍战持续升级，以色列摩萨德与伊朗情报部门纷纷通过网络招募、AI 数据分析等手段展开对抗，地缘政治紧张为网络间谍活动提供了温床。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰当局正在调查一系列网络攻击事件，这些攻击扰乱了多家大型企业的数字服务，并导致其个人数据泄露，其中包括该国头部在线贷款机构和顶级移动支付系统。 数字事务部长克日什托夫・高科夫斯基表示，针对波兰公共和私人基础设施的网络攻击正变得 “司空见惯”。他补充道：“我们每天都会收到数千起事件报告。” 此次影响最大的泄露事件发生在 AIQLABS 运营的在线贷款平台 SuperGrosz。该公司在声明中证实，网络犯罪分子窃取了至少 1 万名客户的个人数据。泄露信息包括姓名、地址、身份证号、税号、联系方式、就业详情及银行账号。公司警告称，攻击的实际规模可能更大，并敦促客户密切关注欺诈性信贷活动。 高科夫斯基透露，另一起独立事件中，黑客对波兰支付基础设施发起分布式拒绝服务（DDoS）攻击，导致该国主流移动支付系统 Blik 短暂中断。Blik 主要用于即时转账和现金提取，该平台周一表示，经历 “支付处理临时问题” 后，服务已恢复正常。 高科夫斯基还称，波兰最大旅行社 Nowa Itaka 也遭到攻击，客户的姓名、电子邮箱和电话号码被泄露。该公司表示，预订详情、财务数据及账户密码未受影响。 当局尚未确认这些事件是否存在关联，但高科夫斯基指出，针对 Blik 的攻击 “线索指向俄罗斯”，并称其为 “混合战争的新阶段”。欧洲多国官员已就莫斯科扩大影响力、开展间谍活动和破坏行动发出警告。 作为乌克兰的主要盟友和北约成员国，波兰自 2022 年俄罗斯入侵乌克兰以来，遭遇的网络入侵事件不断增多。高科夫斯基警告，2025 年可能成为网络攻击的创纪录年份，国家行为体和犯罪集团的攻击目标将从地方公用事业，扩展至金融和能源系统。 他在近期一次采访中表示：“俄罗斯的网络活动最为严重，因为其目标直指维持正常生活所必需的关键基础设施。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本媒体巨头日经新闻（Nikkei）表示，黑客非法侵入其内部 Slack 通信系统，可能导致超过 1.7 万人的相关数据泄露。 该公司于 9 月发现此次数据泄露，但在周二才公开披露。声明显示，事件起因是一名员工的电脑感染恶意软件，黑客借此窃取登录凭证，进而入侵了热门商业即时通讯平台 Slack。 日经新闻称，此次泄露可能导致 17300 多名 Slack 用户的姓名、电子邮箱地址和聊天记录被曝光，其中包括公司员工和商业合作伙伴。该公司同时指出，目前没有证据表明新闻线人信息或与报道相关的内容受到影响。 日经新闻旗下拥有《金融时报》，并出版全球发行量最大的财经报纸之一《日本经济新闻》（The Nikkei）。该公司现有员工 3000 余人，在海外设有 37 个编辑部。 日经新闻表示，尽管泄露的数据并未纳入日本《个人信息保护法》的管辖范围，但为 “确保透明度”，已主动向日本数据保护机构报告了该事件。 对于攻击背后的可能主使及黑客动机，该公司未予置评。 声明中写道：“我们高度重视此次事件，将进一步加强个人信息管理，防止类似事件再次发生。” 这并非日经新闻首次遭遇网络安全事件。2022 年，其新加坡总部曾遭受勒索软件攻击，客户数据可能受到影响。 此次数据泄露发生之际，媒体机构正遭遇一波网络攻击浪潮。今年初，勒索软件攻击导致美国报业集团李氏企业（Lee Enterprises）的印刷版报纸停刊；法国法新社（Agence France-Presse）也报告了一起攻击事件，其部分新闻分发系统因此中断。近年来，《纽约时报》《Vice 媒体》《清晰频道电台》（iHeartMedia）等多家媒体机构均曾遭遇网络安全事件。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现了一场网络间谍活动，黑客将恶意工具隐藏在广泛使用的虚拟机软件中。这种策略表明，黑客正通过创新手段绕过常见的安全防御系统。 罗马尼亚网络安全公司比特梵德（Bitdefender）在周二的报告中称，该活动自 7 月起持续活跃，幕后威胁行为者为Curly COMrades组织，该组织被认为是为俄罗斯利益服务的。 今年早些时候，该组织被指针对格鲁吉亚的政府及司法机构，以及摩尔多瓦的一家能源公司发动间谍活动。比特梵德在最新报告中未指明此次的受害者，但表示调查是在格鲁吉亚国家计算机应急响应小组（CERT-GE）的协助下开展的。 报告显示，黑客滥用 Windows 内置功能 Hyper-V 维持对受害者网络的长期秘密访问。Hyper-V 允许用户运行虚拟机，这种软件能让一台计算机模拟出多个独立系统的运行效果。 攻击者安装了一个仅占用 120 兆字节磁盘空间的阿尔派 Linux（Alpine Linux）虚拟机。在该虚拟机内部，他们运行了两款定制恶意软件工具 ——CurlyShell 和 CurlCat，用于控制受感染系统并窃取数据。 比特梵德表示：“该虚拟机并未搭载大型攻击框架或渗透测试工具，而是一款轻量化植入程序，专为特定目的设计。” 这种方法让黑客得以绕过常见的威胁检测工具，这类工具通常仅监控 Windows 主操作系统，而非运行于其中的虚拟机。 格鲁吉亚当局随后查封了该活动中使用的一台受感染服务器，为研究人员绘制攻击者的基础设施地图提供了帮助。 比特梵德指出，Curly COMrades 组织至少自 2024 年起开始活跃，其目标通常是 “处于地缘政治变革中的国家的关键机构”，且活动与俄罗斯政府的地缘政治目标一致。该组织的核心诉求似乎是持续获取网络访问权限，并窃取用于间谍活动的凭证信息。 研究人员补充称，黑客严重依赖公开可用的开源工具，这表明他们 “更倾向于隐蔽性、灵活性和最小化检测风险，而非利用新型漏洞”。 格鲁吉亚和摩尔多瓦均为前苏联加盟共和国，仍是俄罗斯网络及信息作战的重点目标。摩尔多瓦近期指控俄罗斯通过网络攻击和协同虚假信息宣传，试图干预其议会选举 —— 此次选举中亲欧洲政党赢得多数席位。 格鲁吉亚也一直是莫斯科混合战术的针对对象，这些战术结合了军事施压、经济限制和宣传攻势，旨在削弱其国家机构，阻碍其民主与经济改革进程。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一群欧洲记者表示，他们通过数据经纪人提供的免费数据集，轻松获取了数百名欧盟委员会工作人员的位置数据，这引发了外界对欧洲严苛数字隐私法实际效力的质疑。 这项调查于周二由欧洲新闻媒体联盟发布，其依赖的数据集包含欧洲议会 756 台设备的约 5800 个定位点，以及欧盟委员会总部 264 台设备的约 2000 条位置 “信号记录”。这些位置数据多由用户手机中的普通应用收集后售卖给数据经纪人，后者再转售给各类机构。 欧盟委员会发言人向记者表示，官员们 “对公民及委员会官员的地理定位数据交易感到担忧”。该发言人透露，欧盟委员会已向工作人员发布新指导意见，告知如何关闭设备上的广告追踪功能，并已将相关调查结果通报给各成员国的计算机安全事件响应团队（CSIRTs）。 据悉，记者获取的数据样本还包含部分欧盟委员会高层官员的位置历史记录。其中一份 “行动档案” 详细记录了一名欧洲议会工作人员的日常通勤路线，包括在餐厅和超市的停留轨迹。 尽管这些数据样本远不及付费客户可获取的信息全面，但记者仍成功锁定了 5 名现任或曾任欧盟相关职务人员的私人住址，其中 3 人目前或曾经身居 “高级职位”。 尽管欧盟《通用数据保护条例》（GDPR）被誉为全球最严格的数字隐私法规，但欧洲大陆在监管数据经纪人方面却行动迟缓。数据经纪行业已发展成为规模逾十亿美元的庞大产业，专门交易个人位置等隐私信息，而此类数据泄露事件并非个例 —— 去年数据经纪公司 Gravy Analytics 曾发生数据泄露，导致数千万人的详细位置信息（包括住址和工作地点）曝光。法国数据保护局（CNIL）虽曾于 2023 年对违规数据经纪人 Tagadamedia 处以 7.5 万欧元罚款，但整体来看，数据经纪人常因间接获取数据等原因游离于现有法规监管范围之外，形成监管漏洞。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织与欧洲司法组织联手开展全球行动，捣毁涉案 6 亿欧元加密货币诈骗网络，已有 9 人因涉嫌参与某加密货币洗钱网络被捕。 据欧洲司法组织（Eurojust）今日发布的声明，这场行动于 10 月 27 日至 29 日期间在塞浦路斯、西班牙和德国同步开展，被捕嫌疑人被控参与诈骗相关洗钱活动。 执法部门在嫌疑人住所实施逮捕的同时，还开展了搜查行动，共查获银行账户资金 80 万欧元（约 91.8 万美元）、加密货币 41.5 万欧元（约 47.6 万美元）以及现金 30 万欧元（约 34.4 万美元）。部分信源显示，此次搜查还扣押了价值超 10 万欧元（约 11.48 万美元）的奢侈品手表，相关涉案房产仍在评估中。 除欧洲司法组织外，法国、比利时、塞浦路斯、德国和西班牙的执法机构也参与了这场 “同步化” 行动，欧洲刑警组织（Europol）为调查提供了关键支持。 欧洲司法组织表示：“该犯罪网络搭建了数十个伪装成合法网站的虚假加密货币投资平台，以高回报为诱饵吸引投资者。他们通过社交媒体广告、陌生电话推销、虚假新闻报道以及伪造名人或成功投资者的推荐证言等多种方式招募受害者。” 一旦受害者向这些虚假平台投入资金，其加密资产便会通过区块链技术被洗钱转移，该犯罪网络最终非法获利约 6 亿欧元。执法部门透露，犯罪分子会将资金在多个钱包和交易所之间流转，以此掩盖资金来源。 欧洲司法组织指出，此次洗钱及诈骗网络的调查工作始于受害者投诉无法取回投资款之后，最终以上周开展的突袭行动收尾。另有消息显示，法国当局在 2023 年收到多起加密货币诈骗报案后，相关调查便已启动。 此次案件披露之际，欧洲刑警组织表示，加密货币和区块链技术的非法使用正变得日益专业化、精密化和有组织化，应对这种 “无国界特性” 的威胁需要采取同等规模的协同应对措施。 该机构强调：“执法部门、私营部门合作伙伴及学术界正迅速提升应对复杂加密货币相关犯罪和洗钱活动威胁的能力。先进工具减少了对人工追踪的依赖，而一系列成功的跨境行动则彰显了合作的力量。” 据悉，涉案嫌疑人目前正在多个国家接受司法审理，面临有组织诈骗、洗钱、提供无资质投资服务及参与犯罪团伙等多项指控。根据法国法律，此类违法行为最高可判处 10 年监禁和 100 万欧元（约 115 万美元）罚款。比利时、塞浦路斯、德国和西班牙的当局仍在持续收集证据，并调查可能存在的其他涉案人员。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日披露了一款名为 “SesameOp” 的新型后门恶意软件细节，该后门创新性地将 OpenAI Assistants 应用程序接口（API）用作指挥与控制（C2）通信通道。 微软事件响应部门的检测与响应团队（DART）在周一发布的技术报告中指出：“该后门的威胁行为者并未依赖传统手段，而是滥用 OpenAI 作为指挥与控制通道，以此在受入侵环境中秘密通信并协调恶意活动。” 报告进一步解释：“后门的某个组件会将 OpenAI Assistants API 用作存储或中继机制，获取恶意指令后由恶意软件执行。” 这家科技巨头透露，该植入式恶意软件于 2025 年 7 月在一次复杂安全事件调查中被发现。在该事件中，不明身份的威胁行为者已在目标环境中维持持久访问长达数月，但微软未披露受影响受害者的具体信息。 深入调查显示，此次入侵活动包含一套 “复杂配置” 的内部网页木马（Web Shell），这些木马专门用于执行来自 “持久化、战略性部署” 的恶意进程所中继的指令。而这些恶意进程又借助了被恶意库篡改的微软 Visual Studio 实用程序，这种技术手段被称为 AppDomainManager 注入 —— 一种通过劫持.NET 应用加载过程来执行恶意代码的隐蔽技术，比传统的 DLL 旁加载更易实施。 SesameOp 是一款定制化后门，核心设计目标是维持持久访问权限，让威胁行为者能够秘密控制受感染设备，这表明此次攻击的核心目的是实现长期潜伏以开展间谍活动。 OpenAI Assistants API 原本旨在帮助开发者将人工智能驱动的代理直接集成到应用程序和工作流程中，但该 API 已被 OpenAI 列入弃用计划，将于 2026 年 8 月停止服务，取而代之的是全新的 Responses API，后者在灵活性、性能和功能上均有提升。 根据微软披露的攻击链，SesameOp 包含一个加载器组件（“Netapi64.dll”）和一个基于.NET 的后门程序（“OpenAIAgent.Netapi64”）。后门程序利用 OpenAI API 作为指挥与控制通道，获取加密后的恶意指令，解密后在本地执行，执行结果则以消息形式回传至 OpenAI 平台，形成完整的隐蔽通信闭环。 微软表示：“该动态链接库（DLL）通过Eazfuscator.NET进行高度混淆处理，专为隐蔽性、持久化及利用 OpenAI Assistants API 实现安全通信而设计。Netapi64.dll 会根据宿主可执行文件附带的特制.config 文件指令，通过.NET AppDomainManager 注入技术在运行时加载到宿主程序中。” 为规避安全扫描，其恶意载荷还采用了 AES 和 RSA 双重加密结合 GZIP 压缩的防护机制。 从 OpenAI 获取的助手列表中，消息描述字段支持三种指令类型： SLEEP（休眠）：使进程线程按指定时长休眠 Payload（有效载荷）：从指令字段提取消息内容，在独立线程中调用执行 Result（结果）：将处理结果以新消息形式传输至 OpenAI，同时将描述字段设为 “Result”，向威胁行为者告知载荷执行输出已就绪 目前该恶意软件的幕后操作者身份尚未明确，但这一事件凸显了威胁行为者持续滥用合法工具实施恶意活动的趋势 —— 通过伪装成正常网络流量以规避检测。微软透露已与 OpenAI 共享相关调查结果，OpenAI 已识别并禁用了疑似被攻击者使用的 API 密钥及关联账户。 针对此次威胁，微软建议企业安全团队采取多项缓解措施：严格审计防火墙日志，监控未授权的外部服务连接；在所有设备上启用篡改防护功能；将终端检测与响应（EDR）系统配置为拦截模式，主动阻止恶意行为执行。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司确认，谷歌旗下一款名为 “Big Sleep” 的人工智能（AI）网络安全代理工具，在其 Safari 浏览器所使用的 WebKit 组件中发现了 5 个不同的安全漏洞。这些漏洞若被成功利用，可能导致浏览器崩溃或内存损坏。 具体漏洞信息如下： CVE-2025-43429：缓冲区溢出漏洞，处理恶意构造的网页内容时可能导致进程意外崩溃（已通过改进边界检查修复） CVE-2025-43430：未明确说明的漏洞，处理恶意构造的网页内容时可能导致进程意外崩溃（已通过改进状态管理修复） CVE-2025-43431 及 CVE-2025-43433：两个未明确说明的漏洞，处理恶意构造的网页内容时可能导致内存损坏（已通过改进内存处理修复） CVE-2025-43434：释放后使用漏洞，处理恶意构造的网页内容时可能导致 Safari 浏览器意外崩溃（已通过改进状态管理修复） 苹果已于本周一（11 月 3 日）发布相关漏洞补丁，该补丁包含在 iOS 26.1、iPadOS 26.1、macOS Tahoe 26.1、tvOS 26.1、watchOS 26.1、visionOS 26.1 及 Safari 26.1 等系统更新中。以下设备及操作系统可获取该更新： iOS 26.1 与 iPadOS 26.1：iPhone 11 及后续机型、12.9 英寸 iPad Pro（第三代及后续机型）、11 英寸 iPad Pro（第一代及后续机型）、iPad Air（第三代及后续机型）、iPad（第八代及后续机型）、iPad mini（第五代及后续机型） macOS Tahoe 26.1：运行 macOS Tahoe 系统的 Mac 电脑 tvOS 26.1：Apple TV 4K（第二代及后续机型） visionOS 26.1：所有型号的 Apple Vision Pro watchOS 26.1：Apple Watch Series 6 及后续机型 Safari 26.1：运行 macOS Sonoma 和 macOS Sequoia 系统的 Mac 电脑 “Big Sleep” 前身为 “Project Naptime（午睡项目）”，是谷歌于去年推出的 AI 代理工具，由 DeepMind 与谷歌 Project Zero 团队联合研发，旨在实现自动化漏洞发现功能。该工具采用多智能体协作架构，模拟人类安全专家的分析流程，漏洞验证准确率达 92%，效率较人工审计提升 300 倍，已成功应用于多个关键开源项目的安全加固。 今年早些时候，谷歌曾披露该大型语言模型辅助框架在 SQLite 数据库中发现一个安全漏洞（CVE-2025-6965，CVSS 评分 7.2），并指出该漏洞 “存在被恶意攻击者利用的风险”。这一漏洞是栈缓冲区下溢漏洞，传统模糊测试工具未能检测到，而 Big Sleep 通过分析代码提交记录成功发现，成为 AI 代理工具首次在实际环境中发现可利用内存安全漏洞的案例。 尽管苹果本周一发布的安全公告中所列漏洞均未被标记为在野利用，但保持设备更新至最新版本始终是保障安全的最佳实践，可实现最优防护效果。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正利用钓鱼邮件分发带有恶意程序的附件，其攻击目标疑似俄罗斯和白俄罗斯的国防领域。 根据 Cyble 与 Seqrite 实验室的多份报告，该攻击行动旨在向已攻陷的主机植入一个持久化后门。该后门将 OpenSSH 与定制化的 Tor 隐藏服务结合使用，且通过 obfs4 技术对流量进行混淆处理。 Seqrite 将此活动命名为 Operation SkyCloak。据悉，钓鱼邮件会以军事文件相关内容作为诱饵，诱使收件人打开一个 ZIP 压缩包。该压缩包内含一个隐藏文件夹（其中包含另一个压缩文件），以及一个 Windows 快捷方式（LNK 文件）；一旦打开该快捷方式，便会触发多阶段感染链。 安全研究员萨特维克・拉姆・普拉基与卡蒂克库马尔・吉瓦尼表示：“这些快捷方式会触发 PowerShell 命令，而这些命令构成了初始投放阶段；除 LNK 文件外，另一个压缩文件会被用于搭建完整的感染链。” 他们补充称，这些压缩文件已于 2025 年 10 月从白俄罗斯上传至 VirusTotal 平台。 其中一个中间模块是 PowerShell 加载器，它主要负责执行反分析检查以规避沙箱环境，同时会将一个 Tor 洋葱地址（“yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd [.] onion”）写入文件 “hostname” 中，该文件路径为 “C:\Users < 用户名 >\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\”。 在反分析检查环节，恶意软件会验证两个条件：一是系统中近期存在的 LNK 文件数量大于或等于 10 个，二是当前进程数量大于或等于 50 个。若任一条件未满足，PowerShell 将立即终止执行。 Cyble 指出：“这些检查是恶意软件感知环境的机制。与真实用户工作站相比，沙箱环境通常用户生成的快捷方式更少，进程活动也更弱。” 一旦通过环境检查，脚本会显示存储在上述 “logicpro” 文件夹中的 PDF 诱饵文档，同时通过创建一个名为 “githubdesktopMaintenance” 的计划任务来实现持久化。该任务会在用户登录后自动运行，并于每天协调世界时（UTC）10:21 定期执行。 该计划任务旨在启动 “logicpro/githubdesktop.exe”，而此文件实则是 “sshd.exe” 的重命名版本 ——“sshd.exe” 是与 Windows 版 OpenSSH 相关联的合法可执行文件。这一操作能让威胁行为者搭建 SSH 服务，且该服务仅允许与存储在同一 “logicpro” 文件夹中的预部署授权密钥进行通信。 除通过 SFTP 启用文件传输功能外，恶意软件还会创建第二个计划任务，配置为执行 “logicpro/pinterest.exe”。这是一个定制化的 Tor 二进制文件，用于创建隐藏服务；该服务会通过 obfs4 混淆网络流量，与攻击者的.onion 地址通信。此外，它还会为远程桌面协议（RDP）、SSH、服务器消息块（SMB）等多个关键 Windows 服务配置端口转发，以便通过 Tor 网络访问系统资源。 一旦连接成功建立，恶意软件会先窃取系统信息，再通过 curl 命令发送一个唯一的.onion URL 主机名（用于标识已攻陷的系统）。当威胁行为者通过命令与控制（C2）信道接收到受害者的.onion URL 后，便能最终获得对已攻陷系统的远程访问权限。 目前尚不清楚该攻击行动的幕后主体，但两家安全厂商均表示，其特征与针对国防及政府领域、且与东欧相关的间谍活动相符。Cyble 以中等置信度评估认为，此次攻击与乌克兰计算机应急响应小组（CERT-UA）追踪的威胁行为者 “UAC-0125” 此前发起的行动，存在战术重叠。 该公司补充道：“攻击者通过隐蔽的 Tor 服务访问 SSH、RDP、SFTP 和 SMB，既能实现对系统的完全控制，又能隐藏自身身份。所有通信均通过预安装的加密密钥，定向到匿名地址进行传输。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦检察官指控三名嫌疑人于 2023 年 5 月至 11 月期间，利用 BlackCat勒索软件入侵五家美国公司的网络，并对其实施勒索。 这三名嫌疑人均为美国公民，分别是瑞安・克利福德・戈德堡、凯文・泰勒・马丁，以及一名居住在佛罗里达州、身份未公开的同谋者（代号 “同谋者 1”）。 他们被指针对以下企业发起攻击：佛罗里达州坦帕市的一家医疗设备公司、马里兰州的一家制药公司、加利福尼亚州的一间医生诊所、加利福尼亚州的一家工程公司，以及弗吉尼亚州的一家无人机制造商。 《芝加哥太阳时报》于上周末率先报道了这一起诉案，称事件发生时，马丁与 “同谋者 1” 正受雇于一家名为 DigitalMint 的公司，担任勒索软件威胁谈判员；而戈德堡则是网络安全公司 Sygnia 的事件响应经理。 目前这三人已不再受雇于上述公司。DigitalMint 与 Sygnia 均表示，已就此事配合执法部门调查。2025 年 7 月，彭博社曾报道，美国联邦调查局（FBI）正调查 DigitalMint 的一名前员工，怀疑其从勒索软件付款中抽取分成。 根据起诉书内容，戈德堡、马丁及该同谋者被指控蓄意合谋，通过以下方式 “谋取私利”：未经授权访问受害者的网络或计算机、窃取数据、在受害者系统中植入 “黑猫” 勒索软件以索要加密货币付款，并瓜分非法所得。具体攻击事件包括： 2023 年 5 月 13 日左右，被告攻击上述医疗设备公司，索要约 1000 万美元赎金。该公司最终支付了当时价值约 127.4 万美元的虚拟货币。 2023 年 5 月左右，被告攻击上述制药公司，索要金额未公开的赎金。 2023 年 7 月左右，被告攻击上述医生诊所，索要约 500 万美元赎金。 2023 年 10 月左右，被告攻击上述工程公司，索要约 100 万美元赎金。 2023 年 11 月左右，被告攻击上述无人机制造商，索要约 30 万美元赎金。 据悉，被告未能从其他受害者处勒索到资金。目前马丁已提出无罪抗辩；但法庭记录显示，戈德堡在接受 FBI 讯问时供认，他受该未公开同谋者招募，参与 “尝试向部分公司勒索赎金”，且实施攻击是为了偿还债务。第三名嫌疑人（同谋者 1）尚未被起诉。 戈德堡与马丁均被控三项罪名：合谋通过勒索干扰跨州商业活动、通过勒索干扰跨州商业活动，以及故意破坏受保护计算机。若罪名成立，两人最高可面临 50 年联邦监禁。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了两款不同的安卓木马 ——BankBot-YNRK 与 DeliveryRAT，它们能够从受感染设备中窃取敏感数据。 据对 BankBot-YNRK 三个不同样本展开分析的 CYFIRMA（安全公司）介绍，该恶意软件具备规避分析的功能：首先会检测自身是否运行在虚拟化或仿真环境中，随后提取设备制造商、型号名称等信息，确认是否处于真实设备上。 BankBot-YNRK 还会检测设备是否为 OPPO 品牌，或是否运行 ColorOS 系统。 CYFIRMA 表示：“该恶意软件还包含识别特定设备的逻辑，会验证设备是否为谷歌 Pixel 或三星机型，并检查其型号是否在预设的‘已识别 / 支持型号列表’中。这使得恶意软件仅对目标设备启用特定功能或优化，避免在未识别型号上执行。” 传播该恶意软件的 APK 安装包名称如下。三款应用均以 “IdentitasKependudukanDigital.apk” 命名，这一名称疑似试图仿冒印尼官方应用 “数字居民身份”（Identitas Kependudukan Digital）。 com.westpacb4a.payqingynrk1b4a com.westpacf78.payqingynrk1f78 com.westpac91a.payqingynrk191a 恶意应用安装后，设计用途包括窃取设备信息，并将音乐、铃声、通知等各类音频流音量调至零，防止受影响用户收到来电、短信及其他应用内通知的提醒。 该恶意软件还会与远程服务器（“ping.ynrkone [.] top”）建立通信，收到 “OPEN_ACCESSIBILITY”（开启辅助功能）指令后，会诱导用户启用辅助功能以实现自身目的，包括获取更高权限及执行恶意操作。 不过，该恶意软件仅能针对安卓 13 及以下版本设备发起攻击。2023 年底推出的安卓 14 新增了一项安全功能，禁止通过辅助功能自动申请或授予应用额外权限。 CYFIRMA 指出：“在安卓 13 及以前版本中，应用可通过辅助功能绕过权限请求；但在安卓 14 中，这种行为已无法实现，用户必须通过系统界面直接授予权限。” BankBot-YNRK 利用安卓的 JobScheduler 服务在设备上实现持久化，确保设备重启后仍能启动。它还支持多种指令，可获取设备管理员权限、管理应用、与设备交互、通过 MMI 代码转接来电、拍摄照片、执行文件操作，以及窃取联系人、短信、位置信息、已安装应用列表和剪贴板内容。 该恶意软件的其他部分功能如下： 通过程序篡改应用名称与图标仿冒 “谷歌新闻”，并通过 WebView（网页视图）打开 “news.google [.] com”； 捕获屏幕内容，重建银行应用等程序的 “框架 UI”（skeleton UI），为窃取账号密码提供便利； 滥用辅助功能打开预设列表中的加密货币钱包应用，自动执行 UI 操作以收集敏感数据并发起未授权交易； 获取 62 款待攻击金融应用的列表； 显示 “个人信息正在验证” 的悬浮提示，同时执行恶意操作，包括为自身申请额外权限、将自身添加为设备管理员应用。 CYFIRMA 表示：“BankBot-YNRK 具备全面功能，旨在对受感染安卓设备实现长期控制、窃取金融数据并执行欺诈交易。” 与此同时，F6（安全机构）披露，威胁分子正分发 DeliveryRAT 的更新版本，以外卖服务、电商平台、银行服务及包裹追踪应用为伪装，针对俄罗斯安卓用户。据评估，这一移动威胁自 2024 年年中起开始活跃。 这家俄罗斯安全公司称，该恶意软件通过 “恶意软件即服务”（MaaS）模式传播，依托名为 “Bonvi Team” 的 Telegram 机器人，用户可通过该机器人获取 APK 文件或分发恶意软件的钓鱼链接。 随后，威胁分子会通过 Telegram 等即时通讯工具联系受害者，以 “跟踪虚假电商平台订单” 或 “获取远程工作机会” 为由，诱导受害者下载恶意应用。无论采用何种方式，该应用都会请求获取通知权限与电池优化设置权限，以便收集敏感数据并在后台持续运行而不被终止。 此外，这款恶意应用还能访问短信与通话记录，并在手机桌面启动器（home screen launcher）中隐藏自身图标，导致非技术用户难以将其从设备中卸载。 部分版本的 DeliveryRAT 还具备发起分布式拒绝服务（DDoS）攻击的能力，具体方式包括：向外部服务器传输的 URL 链接发送并发请求，或诱导用户扫描二维码以捕获数据。 这两款安卓恶意软件家族的发现，恰逢 Zimperium（移动安全公司）发布一份报告。该报告显示，自 2024 年 4 月以来，已发现超 760 款安卓应用滥用近场通信（NFC）技术，非法获取支付数据并发送给远程攻击者。 这些仿冒金融应用的虚假程序会诱导用户将其设为默认支付方式，同时利用安卓的主机卡模拟（HCE）功能，窃取非接触式信用卡及支付数据。 这些信息会被传输至威胁分子运营的 Telegram 频道或专用监听应用（tapper app）。随后，被盗 NFC 数据会被用于即时从用户账户提现，或在销售点（PoS）终端消费。 这家移动安全公司表示：“已有约 20 家机构被仿冒，主要是俄罗斯的银行与金融服务机构，同时也包括巴西、波兰、捷克共和国及斯洛伐克的机构。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 不法分子正将目标日益聚焦于货运与物流公司，试图通过植入远程监控管理（RMM）软件非法牟利，最终实现货物盗窃。 据 安全公司Proofpoint调查，该威胁团伙至少自 2025 年 6 月起开始活跃。他们与有组织犯罪集团合作，入侵陆路运输行业相关机构，核心目标是窃取实体货物。在这类 “网络赋能型盗窃” 中，食品饮料类商品是最主要的被盗对象。 研究人员奥莱・维拉德森与塞莱娜・拉森在一份提交给The Hacker News的报告中表示：“被盗货物很可能通过网络销售或运至海外。在已观测到的攻击活动中，攻击者会先入侵企业，再利用非法获取的权限竞标真实货运订单，最终完成盗窃。” 与历史攻击的关联与差异 此次攻击活动与 2024 年 9 月披露的一系列攻击存在相似性 —— 当时攻击者针对北美运输物流公司，使用 Lumma Stealer、StealC、NetSupport RAT 等信息窃取工具与远程访问木马（RAT）实施入侵。但目前尚无证据表明两类攻击出自同一威胁团伙。 在 Proofpoint 此次监测到的入侵浪潮中，身份不明的攻击者采用了多种攻击手段： 劫持已泄露的电子邮件账户，接管现有对话； 向资产型承运人、货运经纪公司及综合供应链服务商发送钓鱼邮件； 利用被入侵的账户在货运信息平台（load boards）发布虚假货运信息。 报告指出：“攻击者通过被盗账户在货运平台发布虚假订单，再向咨询这些订单的承运人发送含恶意链接的邮件。这种手段利用了货运谈判中固有的信任关系与时效性压力。” 攻击实施流程与工具滥用 毫不意外，邮件中的恶意链接会指向带有陷阱的 MSI 安装程序或可执行文件（EXE），这些文件会部署 ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able、LogMeIn Resolve 等合法 RMM 工具。在部分案例中，攻击者会组合使用多款工具，例如通过 PDQ Connect 投放并安装 ScreenConnect 与 SimpleHelp。 一旦获取远程访问权限，攻击者会先开展系统与网络侦察，随后植入 WebBrowserPassView 等凭证窃取工具，获取更多账号密码，进一步渗透企业内网。 在至少一起案例中，攻击者还滥用获取的权限：删除现有货运订单、屏蔽调度员通知；将自己的设备添加到调度员电话分机；以被入侵承运人的名义预订货运订单，并协调运输流程。 RMM 工具被滥用的核心原因 使用 RMM 软件对攻击者而言有多重优势： 无需自行开发定制恶意软件，降低技术门槛； 这类工具在企业环境中广泛应用，可帮助攻击者 “隐身”，通常不会被安全解决方案标记为恶意程序。 Proofpoint 早在 2025 年 3 月就曾指出：“攻击者创建并传播受控的远程监控工具相当容易。由于这些工具常被用作合法软件，终端用户对安装 RMM 工具的警惕性，往往低于对其他远程访问木马的警惕性。此外，这类工具的安装程序通常带有数字签名，属于合法载荷，因此可能避开杀毒软件或网络检测。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布修复程序后，一组此前未被发现的 Windows 图形设备接口（GDI）漏洞得以曝光。这些漏洞可被用于远程代码执行与信息泄露。 漏洞与格式异常的增强型图元文件（EMF）及 EMF + 记录相关，会在图像渲染过程中导致内存损坏。该发现进一步揭示了 Windows 图形处理相关的攻击面范围。 这三个漏洞已在 2025 年 5 月、7 月、8 月的 “周二补丁日” 更新中被纳入修复，目前已完成深度分析。 漏洞存在于 Windows 对 GDI 操作的处理流程中，尤其涉及负责处理矢量图形、文本及打印操作的 GdiPlus.dll 和 gdi32full.dll 文件。研究人员通过针对 EMF 格式的模糊测试（fuzzing），直接发现了这些漏洞。 已发现的三个漏洞 这些漏洞的追踪编号及评级如下： CVE-2025-30388：评级 “重要”，被利用可能性较高 CVE-2025-53766：评级 “严重”，可实现远程代码执行 CVE-2025-47984：评级 “重要”，与信息泄露相关 三个漏洞均通过构造特定图元文件，触发 “越界内存访问” 问题： 其中一个漏洞源于无效矩形对象，攻击者可借此影响文本渲染过程中的内存写入操作 另一个漏洞会在缩略图生成时绕过扫描线边界检查 第三个漏洞与打印作业初始化阶段的字符串处理有关，当 “空终止” 假设不成立时，会泄露堆内存数据 攻击可能的实施方式 特制的 EMF + 文件可操纵颜色、透明度（alpha）数值、堆内存分配行为及指针计算。 Check Point 研究团队（CPR）证实，攻击者可通过该漏洞写入超出缓冲区限制的受控值，或读取超出预期范围的内存数据。在部分场景下，甚至无需用户交互，就能获取敏感信息或破坏系统安全。 研究人员表示：“我们在安全修复程序发布后发布此博文，旨在进一步提升公众对这些漏洞的认知，并为 Windows 用户提供防御思路与缓解建议。” 延伸阅读：《Windows 漏洞相关报道：Windows 10 终止支持临近，仍有大量用户未升级》 微软已发布补丁 微软针对以下文件版本修复了上述漏洞： GdiPlus.dll：10.0.26100.3037 至 10.0.26100.4946 版本 gdi32full.dll：10.0.26100.4652 版本 缓解措施包括：为矩形数据新增验证检查、对扫描线边界进行裁剪、修正打印处理程序中的指针运算。修复程序通过以下更新推送：5 月的 KB5058411、7 月的 KB5062553、8 月的 KB5063878。 此次事件凸显，接受不可信内容的复杂图形处理流程仍存在持续风险。研究人员强调，用户需主动安装补丁并提高防御意识，同时指出这些漏洞还影响了 Mac 和 Android 平台的微软 Office 软件。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周一，黑客从去中心化金融协议 Balancer 中窃取了价值数百万美元的加密货币。 各方估算数据存在差异，但多数区块链安全公司认为损失已超 1.2 亿美元，其中至少有部分被盗资金为以太坊（ETH）。 作为去中心化金融（DeFi）领域的核心平台，Balancer 最初表示已知晓此次攻击并正展开调查。加密货币安全专家指出，此次事件源于访问控制机制存在漏洞，攻击者利用该漏洞实施了盗窃。 截至周一下午，该公司发布了一份更长的声明，说明攻击始于当天清晨。 “所有可暂停的资金池均已暂停，目前处于恢复模式，” 该公司表示，并提及自身与其他多家加密货币平台存在关联，但无法单方面暂停这些平台的运营。 “Balancer 始终致力于运营安全，不仅经过顶尖公司的全面审计，还长期设立漏洞赏金计划，以激励独立审计人员参与安全检测。我们正与安全及法律团队紧密合作，确保用户资产安全，并将迅速、彻底地开展调查工作。” 目前，该公司仍在联合专家调查事件详情，并计划在适当时候发布事后分析报告。 Balancer 同时警示用户，当前有冒充公司安全团队的欺诈信息在传播，切勿与之互动。 多家与 Balancer 相关的区块链机构已宣布采取措施应对此次事件。Berachain 基金会表示已暂停其网络，团队正采取紧急措施保护用户资产，且成功追回了部分从其平台被盗的资金。其他加密货币平台也采取了类似防护措施。 Balancer 过去曾发生过安全事件，但已接受约 10 次区块链安全公司的审计。 上周，黑客还从另一个去中心化金融平台 Garden Finance 窃取了约 1080 万美元。 其中大部分资金的窃取者据称与朝鲜政府有关联 —— 朝鲜已将加密货币盗窃作为其弹道导弹项目的重要资金来源。 美国、法国、德国、日本等国政府上周发布的一份报告显示，2025 年 1 月至 9 月期间，朝鲜应对至少 16.5 亿美元加密货币被盗事件负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新披露信息显示，自去年年初至今，英国饮用水供应商已遭遇五轮网络攻击，这些攻击全部直接针对供水机构本身，创下了同期记录。这一情况直接印证了英国情报部门的警告 —— 恶意网络行为体对该国关键基础设施的威胁正持续升级。 现行规则漏洞明显 英国饮用水监察局（DWI）公布的数据显示，2024 年 1 月 1 日至 2025 年 10 月 20 日期间，共收到供应商提交的 15 份事件报告，其中 5 起涉及网络安全事件，且影响的是 “《网络与信息系统安全规则》指令管辖范围外系统”，其余 10 起未非网络类运营问题。 问题根源在于现行《网络与信息系统安全规则》的 “高门槛”：仅当网络攻击实际导致供水等基本服务中断时，供应商才必须依法上报。这意味着像 “伏特台风” 这类只潜伏渗透、不直接断供的攻击，企业即便遭遇也无需披露，潜在风险可能被长期掩盖。 改革方案待推进 面对监管滞后，英国政府计划通过拖延已久的《网络安全与韧性法案》解决问题，核心是降低事件上报门槛，让更多潜在风险纳入监管视野。 该法案预计今年提交议会，政府发言人表示：“当前网络威胁复杂且持续，代价高昂，法案将强化防御体系，守住公众依赖的基础服务，保障日常生活正常运行。” 网络安全公司 Sophos 的威胁研究副总裁唐・史密斯表示：“关键基础设施运营商每天都要面对黑客攻击，在现有合规体制下，安全事件仍难避免。这些超范围报告的分享非常有助于我们理解攻击特征。” 全球水务安全亮红灯 当前，针对水务公司IT办公系统的勒索攻击时有发生。 2023年12月，爱尔兰西海岸就曾因一个亲伊朗黑客组织无差别攻击使用以色列产设备的设施，导致当地居民断水数日。 美国、加拿大的水务安全问题也值得警惕：美国拜登政府时期曾想推进水务系统安全升级，但因水务行业团体联合共和党议员反对而搁置；加拿大则在上周通报，黑客在多起工业控制系统攻击中，篡改了某地方水务机构的供水压力参数，直接威胁供水稳定。 针对水务系统防护，英国国家网络安全中心（NCSC）给出具体建议：关键基础设施运营商要严格隔离 “业务 IT 系统”和 “运营 OT 系统”，避免黑客攻破 IT 系统后直接影响供水操作。今年 8 月，该机构还发布新版《网络评估框架》，帮企业提升抗风险能力。 唐・史密斯进一步提醒：“对基础设施来说，相比定向攻击，常规攻击仍是关键基础设施面临的主要威胁。我们更应该关注基础防护，而非过度投资于监测冷门系统。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为体 “金 Suky”（Kimsuky），已分发一款此前未被记录的后门程序，其代号为 “HttpTroy”。此次攻击很可能是针对性钓鱼攻击，目标为韩国的一名单独受害者。 披露该活动细节的 Gen Digital 公司，未透露事件发生的具体时间，但指出钓鱼邮件中包含一个 ZIP 压缩文件（文件名：“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”）。该文件伪装成 VPN 账单，用于分发恶意软件，此恶意软件可实现文件传输、截屏以及执行任意命令的功能。 安全研究员亚历山德鲁 – 克里斯蒂安・巴尔达什（Alexandru-Cristian Bardaș）表示：“该攻击链包含三个步骤：一个小型投放程序、一个名为 MemLoad 的加载程序，以及最终的后门程序‘HttpTroy’。” ZIP 压缩包内包含一个与压缩包同名的 SCR 文件（屏幕保护程序文件）。打开该文件会触发执行链，首先运行的是一个 Go 语言（Golang）二进制文件，该文件包含三个嵌入文件，其中包括一个伪装 PDF 文档。此文档会向受害者展示，以避免引起任何怀疑。 与此同时，后台会同步启动 MemLoad 程序。该程序负责在受感染主机上建立持久化机制，具体方式是创建一个名为 “AhnlabUpdate” 的计划任务。这一命名是为了伪装成韩国网络安全公司安博士（AhnLab）的程序，进而解密并执行 DLL 格式的后门程序 “HttpTroy”。 该植入程序能让攻击者完全控制受感染系统，支持的操作包括文件上传 / 下载、截屏、以高权限执行命令、在内存中加载可执行文件、建立反向 shell、终止进程以及清除痕迹。它通过 HTTP POST 请求与命令控制（C2）服务器（域名：“load.auraria [.] org”）进行通信。 巴尔达什解释道：“HttpTroy 采用多层混淆技术，以阻碍对其的分析和检测。API 调用通过自定义哈希技术隐藏，字符串则通过异或（XOR）运算与单指令多数据（SIMD）指令相结合的方式进行混淆。值得注意的是，该后门程序不会重复使用 API 哈希值和字符串，而是在运行时通过各种算术运算和逻辑运算的组合动态重构它们，这进一步增加了静态分析的难度。” 除上述发现外，这家网络安全厂商还详细介绍了 “拉撒路集团”（Lazarus Group）的一起攻击事件。该攻击导致 “Comebacker” 恶意程序以及其 “BLINDINGCAN” 远程访问木马（又称 AIRDRY 或 ZetaNile）的升级版被部署。厂商补充称，此次攻击针对加拿大的两名受害者，且在 “攻击链中段” 被检测到。 目前尚不清楚该攻击所使用的具体初始访问途径，但基于未发现可被利用以获取立足点的已知安全漏洞，研究人员判断初始途径应为钓鱼邮件。 攻击中使用了 “Comebacker” 的两个不同变体，一个是 DLL 格式，另一个是 EXE 格式。前者通过 Windows 服务启动，后者通过 “cmd.exe” 命令行启动。无论采用何种执行方式，该恶意软件的最终目标一致：解密嵌入的有效载荷（即 BLINDINGCAN），并将其作为服务部署。 BLINDINGCAN 的设计目的是与远程 C2 服务器（域名：“tronracing [.] com”）建立连接，并等待进一步指令。这些指令支持的操作包括： 上传 / 下载文件 删除文件 修改文件属性以伪装成其他文件 递归枚举指定路径下的所有文件和子目录 收集整个文件系统中的文件相关数据 收集系统元数据 列出正在运行的进程 通过 CreateProcessW 函数运行命令行 在内存中直接执行二进制文件 通过 “cmd.exe” 执行命令 传入进程 ID 以终止特定进程 截屏 通过可用的视频捕获设备拍照 更新配置 更改当前工作目录 自行删除并清除所有恶意活动痕迹 Gen Digital 公司表示：“金 Suky（Kimsuky）和拉撒路集团（Lazarus）持续改进其工具，这表明与朝鲜（DPRK）有关联的行为体不仅在维护其攻击武器库，还在对其进行革新。这些攻击活动展现出结构完善的多阶段感染链，并利用了经过混淆处理的有效载荷和隐蔽的持久化机制。” “从攻击初始阶段到最终部署的后门程序，每个组件的设计目的都是规避检测、维持访问权限，并实现对受感染系统的全面控制。自定义加密、动态 API 解析以及基于组件对象模型（COM）的任务注册 / 服务利用等技术的应用，凸显出这些组织在技术上的持续演进和成熟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 疑似某国家级威胁行为体被指与新型恶意软件 Airstalk 的传播有关，此次攻击疑似为供应链攻击。 Palo Alto Networks旗下安全研究团队 Unit 42 表示，正以 “CL-STA-1009” 为代号追踪该攻击集群，其中 “CL” 代表集群（cluster），“STA” 指国家支持背景（state-backed motivation）。 安全研究员克里斯托弗・鲁索与切马・加西亚在分析报告中指出：“Airstalk 恶意软件滥用了移动设备管理领域的 AirWatch API—— 该平台现更名为 Workspace ONE 统一终端管理系统。它通过该 API 建立秘密的命令与控制（C2）通道，主要借助 AirWatch 的自定义设备属性管理和文件上传功能实现这一操作。” 该恶意软件存在 PowerShell 和.NET 两个版本，采用多线程命令与控制（C2）通信协议，能够捕获屏幕截图，并窃取网页浏览器的 Cookie、浏览历史、书签等数据。据信，攻击者利用了一张被盗证书对部分恶意程序组件进行签名。 Unit 42 指出，Airstalk 的.NET 版本比 PowerShell 版本具备更丰富的功能，推测其可能是该恶意软件的高级版本。 其中，PowerShell 版本通过 “/api/mdm/devices/” 端点进行 C2 通信。该端点的设计初衷是获取特定设备的内容详情，但恶意软件利用 API 中的自定义属性功能，将其用作 “死信箱解析器”（dead drop resolver），存储与攻击者交互所需的关键信息。 一旦启动，该后门程序会先发送 “CONNECT”（连接）消息初始化通信，等待服务器返回 “CONNECTED”（已连接）响应后，便会接收各类以 “ACTIONS”（操作）类型消息发送的任务，并在受感染主机上执行。执行结果将通过 “RESULT”（结果）消息反馈给攻击者。 该后门支持七种不同的操作指令，包括：捕获屏幕截图、获取谷歌浏览器（Google Chrome）的 Cookie、列出所有用户的 Chrome 配置文件、提取指定配置文件的浏览器书签、收集指定 Chrome 配置文件的浏览历史、枚举用户目录下的所有文件，以及从主机中自行卸载。 Unit 42 表示：“Airstalk 执行部分任务后，需要回传大量数据或文件。为此，恶意软件利用 AirWatch MDM API 的二进制大对象（blobs）功能，将相关内容以新的二进制大对象形式上传。” Airstalk 的.NET 版本进一步扩展了功能范围，除谷歌浏览器外，还针对微软 Edge 浏览器和企业级专用浏览器 Island 发起攻击，同时试图伪装成 AirWatch 辅助工具（“AirwatchHelper.exe”）。此外，该版本新增了三种消息类型： MISMATCH（版本不匹配）：用于标记版本兼容错误 DEBUG（调试）：用于发送调试信息 PING（心跳）：用于向 C2 服务器发送存活信号 该版本还采用三个独立的执行线程，分别承担不同职责：管理 C2 任务、泄露调试日志、向 C2 服务器发送心跳信号。同时，它支持更广泛的命令集（其中一项命令暂未实现）： Screenshot（截图）：捕获屏幕截图 UpdateChrome（提取 Chrome 数据）：窃取指定的 Chrome 配置文件 FileMap（文件映射）：列出指定目录下的所有内容 RunUtility（运行工具）：暂未实现 EnterpriseChromeProfiles（企业 Chrome 配置文件）：获取可用的 Chrome 配置文件 UploadFile（上传文件）：窃取指定的 Chrome 组件和凭据信息 OpenURL（打开链接）：在 Chrome 浏览器中打开指定 URL Uninstall（卸载）：终止自身执行 EnterpriseChromeBookmarks（企业 Chrome 书签）：提取指定用户配置文件的 Chrome 书签 EnterpriseIslandProfiles（企业 Island 配置文件）：获取可用的 Island 浏览器配置文件 UpdateIsland（提取 Island 数据）：窃取指定的 Island 浏览器配置文件 ExfilAlreadyOpenChrome（泄露已打开 Chrome 数据）：导出当前 Chrome 配置文件的所有 Cookie 值得注意的是，PowerShell 版本通过计划任务实现持久化驻留，而.NET 版本暂未配备此类机制。Unit 42 透露，部分.NET 版本样本使用了一张 “疑似被盗” 的数字证书进行签名，该证书由合法的证书颁发机构 —— 奥腾工业自动化（廊坊）有限公司（Aoteng Industrial Automation (Langfang) Co., Ltd.）签发。早期版本的编译时间戳显示为 2024 年 6 月 28 日。 目前，该恶意软件的传播途径及攻击目标尚不明确。但结合其利用 MDM 相关 API 构建 C2 通道、针对 Island 等企业级浏览器的特性，研究人员推测此次攻击可能是针对业务流程外包（BPO）行业的供应链攻击。 Unit 42 分析称：“专注于业务流程外包（BPO）的机构已成为犯罪集团和国家级攻击者的重点目标。攻击者愿意投入大量资源，不仅要攻陷这些机构，还要实现长期控制。” “该恶意软件采用的规避检测技术使其能在大多数环境中隐藏行踪，尤其在第三方供应商环境中运行时更难被发现。这对使用 BPO 服务的企业而言极具破坏性 —— 被盗取的浏览器会话 Cookie 可能导致攻击者获取其大量客户的访问权限。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国面部识别公司 Clearview AI 被指控无视欧盟多国数据保护机构（DPA）的处置决定，目前已有针对该公司的新刑事诉讼被提起。 10 月 28 日，欧洲数字权利中心在奥地利对 Clearview AI 及其管理层提起刑事诉讼。 Clearview AI 为情报机构及调查部门提供面部识别服务，该公司称其拥有一个包含超 600 亿张面部图像的数据库，图像均来自 “仅公开的网络来源”，包括新闻媒体、面部照片公示网站、公共社交媒体及其他开放平台。 该公司此前主张，由于其在欧洲无业务实体、也未在欧盟境内提供服务，因此无需遵守《通用数据保护条例》（GDPR）。但荷兰数据保护机构反驳称，鉴于该公司数据库包含欧盟公民数据，其必须遵守欧盟法律。 在此次针对 Clearview AI 的最新行动中，非营利组织 noyb 指出，欧盟法律对 GDPR 违规行为的约束，并非仅局限于行政罚款。GDPR 第 84 条明确规定，欧盟成员国可针对 GDPR 违规行为设定刑事处罚。 与 GDPR 行政违规不同，刑事违规案件不仅可对公司管理层采取行动，还能启动全方位刑事诉讼程序，包括欧盟范围内的联合执法行动。 该组织在声明中表示：“正因如此，noyb 现已向奥地利检察官提起刑事诉讼。若诉讼成功，Clearview AI 及其高管可能面临监禁，且需承担个人责任 —— 尤其是在他们前往欧洲时。” 此前，欧盟多国数据保护机构已对 Clearview AI 处以一系列罚款，涉及英国、荷兰、意大利、法国等国；而针对该公司的初始投诉最早可追溯至 2021 年。 这些处置行动均指出，Clearview AI 处理数百万欧盟公民的数据，已明显违反 GDPR 规定。 noyb 荣誉主席马克斯・施雷姆斯（Max Schrems）表示：“Clearview AI 似乎完全无视欧盟基本权利，公然藐视欧盟机构。” noyb 指出，法国、希腊、意大利、荷兰等国机构已对 Clearview AI 处以总计约 1 亿欧元的罚款，并发布多项禁令，但这家美国公司并未对这些处罚提出异议。 目前仅有英国案件中，该公司对英国信息专员办公室（ICO）做出的处罚决定及罚款提起了上诉，相关最终法院判决尚未公布。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯警方表示，已逮捕三名涉嫌开发并销售 Meduza 窃取器（Meduza Stealer）恶意软件的黑客。此次行动是俄罗斯对本土网络犯罪罕见的打击举措。 俄罗斯内务部发言人伊琳娜・沃尔克于周四发表声明称，嫌疑人在莫斯科及周边地区落网。 她补充道，这三名 “年轻 IT 专家” 涉嫌开发、使用并销售一款恶意软件，该软件专门用于窃取登录凭证、加密货币钱包数据及其他敏感信息。 警方透露，在对嫌疑人住所的突袭行动中，查获了计算机设备、手机和银行卡。内务部发布的视频显示，执法人员破门而入，突袭多间公寓。当警方询问一名嫌疑人 “为何被拘留” 时，对方用俄语回应：“我不太清楚。” 官方指出，嫌疑人约两年前开始通过黑客论坛传播 Meduza 窃取器。今年早些时候，该团伙据称利用这款恶意软件，窃取了俄罗斯阿斯特拉罕州某机构的数据。 当局表示，该团伙还开发了另一种恶意软件，其功能包括禁用杀毒软件保护、构建用于大规模网络攻击的僵尸网络，但暂未披露这款恶意程序的具体名称。若罪名成立，三名嫌疑人将面临最高四年的监禁。 Meduza 窃取器于 2023 年首次出现，最初在俄语黑客论坛和 Telegram 频道以 “付费服务” 模式销售。此后，该恶意软件被用于多起网络攻击，目标涵盖个人数据与金融数据。 乌克兰官方此前曾表示，这款恶意软件与针对乌国内军方及政府机构的攻击有关。去年 10 月的一起攻击事件中，攻击者利用伪造的 Telegram “技术支持” 机器人，向乌克兰政府动员应用的用户分发该恶意软件。 研究人员还在波兰及俄罗斯本土发现了 Meduza 窃取器的感染案例 —— 例如 2023 年的一起攻击中，攻击者伪造某工业自动化公司的钓鱼邮件，传播该恶意软件。 长期以来，俄罗斯执法机构极少追查境内运营的网络犯罪分子，但研究人员表示，这一情况已开始改变。 根据 Recorded Future 旗下 Insikt 集团近期发布的报告，莫斯科对黑客生态系统的立场已从 “被动容忍转向主动管控”。这一策略包括选择性逮捕与公开打击，目的是在巩固国家权威的同时，保留有用的技术人才。 此类举措标志着俄罗斯的显著转变 —— 该国曾长期被视为 “以牟利为目的黑客的避风港”。研究人员指出，如今许多网络犯罪者正通过 “分散化运营”，规避西方与俄罗斯本土的双重监控。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国最大动漫及漫画出版商 Viz Media 一名高管据称遭黑客攻击。此次攻击导致数百 GB 企业数据被下载，其中包括员工凭证。 攻击者在某地下数据泄露论坛发布了攻击声明，该论坛常被 “初始访问中介” 使用。这类网络犯罪分子专门交易企业系统的访问权限。他们声称已入侵该公司副总裁账户，并窃取超 250GB 敏感数据。 Viz Media 是美国最大的图画小说出版商，隶属于日本制作公司 “小学馆 – 集英社制作”（Shogakukan-Shueisha Productions）。其旗下热门作品包括《火影忍者》《鬼灭之刃》《死亡笔记》《美少女战士》等。 与此同时，Cybernews 研究团队对攻击者的帖子展开调查，发现他们很可能仅入侵了单个用户的账户。由于目标是公司高层人员，这一账户为他们提供了访问公司系统的广泛权限。 研究人员表示：“该高管可能遭遇了社会工程学攻击，进而导致公司内部系统被未授权访问。” 团队指出，遭入侵的员工显然有权访问大量公司特权数据及资源。因此 Viz Media 需迅速采取行动，梳理攻击者窃取的数据范围。 研究团队补充道：“仅就数据窃取这一行为而言，攻击者就可能借此入侵公司更多系统，甚至向公司合作伙伴发送具有迷惑性的钓鱼邮件。” 从攻击者提供的数据样本来看，他们已获取 Viz Media 多个敏感公司系统的访问权限，包括企业谷歌云盘（Google Drive）、Gmail 账户、公司内部控制面板、遭入侵员工的身份凭证，以及 Mediabox 版税管理控制面板的访问权限。 攻击者声称，他们窃取了极高敏感度的企业信息，具体包括： 所有电子邮件 保密协议（NDA） 授权协议 员工凭证 商业计划 员工社会保险号码 毋庸置疑，恶意攻击者一旦获取这类数据，可能对企业造成严重的财务损失与声誉损害。 不过，发帖者目前仅公布了数据样本，正试图出售剩余数据及访问权限，要价为未公开的五位数金额。 若此次攻击属实，将成为 “权限管理重要性” 的典型案例，也印证了为何攻击者常将目标锁定在拥有广泛系统访问权限的企业高管身上 —— 入侵一人，便可打开多个敏感系统的 “大门”。 总部位于旧金山的 Viz Media 自称是美国最受欢迎的漫画平台，也是业内知名动漫品牌的主要分销商。公开记录显示，该公司年收入介于 4000 万至 1 亿美元之间，员工人数超 300 人。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文