HackerNews

HackerNews 编译，转载请注明出处： 纽约网络安全公司Intezer的研究人员在10月初发现了这一活动，他们识别出一个上传至VirusTotal的恶意XLL文件，文件上传地址最早显示为乌克兰，后又出现在俄罗斯。该文件名为《敌军计划打击目标》，一旦在 Excel 软件中打开，便会自动执行恶意代码。 文件运行后，会下载一款此前未被记录在案的后门程序，研究人员将其命名为EchoGather。这款后门程序允许攻击者收集目标设备的系统信息、执行相关指令并传输文件，窃取的数据会被发送至一台伪装成外卖网站的命令与控制服务器。 事件披露 Intezer在上周五发布的一份报告中指出，为诱使受害者上钩，Goffee组织的黑客使用俄语编写钓鱼诱饵，其中包含一份面向俄军高级军官的虚假新年音乐会邀请函。不过这份文档存在明显的人工智能生成痕迹，不仅有多处语言错误，文档上仿制的俄罗斯双头鹰国徽也严重失真，看上去更像一只普通鸟类，完全没有国徽的辨识度。 另一款钓鱼诱饵则伪装成俄罗斯工业和贸易部副部长的信函，要求收件方提供与国防合同相关的定价证明文件。该信函的接收对象为大型国防及高科技企业，Intezer表示，这些企业很可能就是黑客的预定攻击目标。 目前尚不清楚此次攻击行动的成功率究竟如何，也无法确定黑客的具体窃取目标。 研究人员表示：“该威胁攻击者显然在积极探索新的反侦测手段。不过其攻击手段在技术执行和语言准确性两方面仍存在明显缺陷，表明他们的攻击技术尚处于发展阶段。” Goffee黑客组织 Goffee组织又名Paper Werewolf，至少从2022年起就处于活跃状态。尽管其确切背景尚未得到证实，但研究人员认为该组织具有亲乌克兰倾向。此前关于该组织的相关报告大多出自俄罗斯本土的网络安全企业。 今年4月，卡巴斯基实验室曾发布报告称，Goffee组织利用定制恶意软件，从接入俄罗斯相关系统的U盘里窃取敏感文件。8月，俄罗斯网络安全公司BI.ZONE披露，该组织在针对俄罗斯机构的攻击中，同时利用了一个零日漏洞和压缩软件WinRAR的一个已知漏洞。 虽然情报窃取仍是该组织的首要目标，但BI.ZONE此前也曾指出，该组织至少有过一次在已入侵的网络中实施运营中断攻击的记录。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据ShadowServer Foundation的最新研究显示，黑客已蠢蠢欲动，约 12 万台承担着数万家企业防护任务的 WatchGuard Firebox 防火墙，因未安装补丁程序，至今仍存在严重漏洞，面临被攻击风险。 上周，WatchGuard 公司披露了其 Firebox 防火墙固件中存在的一个严重漏洞，呼吁用户紧急安装补丁修复。该漏洞的通用漏洞评分系统（CVSS）得分为 9.3 分（满分 10 分）。 美国网络安全与基础设施安全局就该漏洞已遭威胁攻击者利用一事发布紧急预警，并要求联邦政府机构在 12 月 26 日前完成相关防护措施部署，整改期限仅为一周。 Firebox 系列网络边界防护设备被广泛应用于数万家企业的网络边界安全防护。 影子服务器基金会的报告指出，其检测到近 12.5 万个关联 WatchGuard Firebox 设备的 IP 地址，均未针对编号为CVE-2025-14733的严重漏洞安装补丁。 截至 2025 年 12 月 21 日，存在漏洞风险的 IP 地址数量已降至 11.75 万个。 这些存在漏洞的设备大多分布在美国（3.56 万个），其次是德国（1.3 万个）、意大利（1.13 万个）、英国（9000 个）和加拿大（5800 个），其余数千个则分布在其他国家。 WatchGuard 公司在一份安全公告中解释道：“WatchGuard Fireware 操作系统的互联网密钥交换守护进程存在缓冲区溢出写入漏洞，远程未授权攻击者可利用该漏洞执行任意代码。当设备配置了动态网关对等体，且启用基于互联网密钥交换协议第二版的移动用户虚拟专用网络或分支办公室虚拟专用网络时，均会受到该漏洞影响。” 简单来说，攻击者可构造畸形数据包并发送至目标防火墙，利用负责协商 VPN 连接的组件漏洞，诱导防火墙未经授权执行攻击者植入的恶意代码。 该漏洞影响数十款搭载 Fireware OS 12.5.x、2025.1.x 及 12.x 版本的 WatchGuard 产品，其中也包括版本较旧且已停止技术支持的 11.x 系列产品。 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国国家邮政局（La Poste）证实，圣诞前夕发生的疑似网络攻击导致其网站和移动应用陷入瘫痪，配送服务放缓，部分在线业务中断。 该局在周一发布的声明中表示，此次事件为DDoS攻击，导致核心数字系统下线。声明指出，目前无证据表明用户数据遭到泄露，但承认邮政业务（包括包裹配送）已受到影响。 攻击影响还波及旗下金融机构法国邮政银行（La Banque Postale），该行提醒用户，网上银行及移动应用的访问功能受到影响。不过银行强调，门店 POS 机刷卡支付、ATM 取款业务正常运行，通过短信验证的在线支付也可正常使用。 法国邮政局称，部分邮局已缩减运营规模，但用户仍可在柜台办理银行业务和邮政业务。“我们的团队已全员动员，力求尽快恢复各项服务，” 该局在声明中表示。 此次服务中断正值邮政业务高峰期。有用户在社交媒体抱怨，配送延迟可能导致他们无法在圣诞前收到包裹；法国媒体报道称，部分试图寄送或领取包裹的民众被邮局拒之门外。 值得注意的是，上周法国内政部刚披露一起数据泄露事件，攻击者非法入侵了电子邮件账户并获取机密文件，法国当局随后逮捕了一名 22 岁的涉案嫌疑人。 目前尚不明确法国邮政局遇袭的幕后黑手，该局也未将攻击归咎于任何特定组织。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 主流媒体音乐平台 Spotify 于周一作出回应，针对某开源组织周末公开的、包含从其平台爬取的 8600 万首歌曲的文件采取行动。 自称 “人类历史上最大的真正开放图书馆” 的 “安娜档案库”（Anna’s Archive）周六表示，该组织发现了一种大规模爬取 Spotify 文件的方法，并随后发布了包含音乐元数据和歌曲本身的数据库。 Spotify 的一位发言人向Recorded Future 透露：“我们已识别并禁用了参与非法爬取的恶意用户账户。” 该发言人强调：“我们已针对此类反版权攻击实施了新的防护措施，并正在积极监控可疑行为。自成立以来，我们始终与艺术家群体站在一起，打击盗版行为，同时正与行业合作伙伴密切合作，保护创作者及其合法权益。” 发言人补充称，安娜档案库在发布文件前未与 Spotify 取得任何联系，且此次事件并不属于对 Spotify 的 “黑客攻击”。泄露数据库的相关人员在数月内，通过第三方注册的用户账户对平台部分音乐进行流媒体抓取，系统性违反了 Spotify 的服务条款 —— 而非通过入侵平台商业系统实现。 安娜档案库周末发布博客文章介绍了该音乐缓存库，文中提到，尽管其核心工作通常聚焦于文本类资源，但该组织 “保护人类知识与文化遗产” 的使命 “并不区分媒介类型”。 “有时我们会遇到文本之外的重要机会，此次便是如此。不久前，我们发现了一种大规模爬取 Spotify 的方法。我们认为自身有责任搭建一个以保存为主要目的的音乐档案库。” 文章写道。 “这次对 Spotify 的爬取，是我们为建立这样一个音乐‘保存档案库’所做的微薄尝试。当然，Spotify 并未收录世界上所有的音乐，但这无疑是一个良好的开端。” 此次完整发布的资源包含一个涵盖 2.56 亿首歌曲的音乐元数据库，此外安娜档案库还整合了一个近 300 太字节（TB）的批量文件，内含 8600 万首音乐文件，占 Spotify 平台总播放量的约 99.6%。另有一个较小的文件专门收录了平台最受欢迎的 1 万首歌曲。 这些文件覆盖了 2007 年至 2025 年 7 月期间 Spotify 平台上发布的所有音乐。安娜档案库称其为 “目前公开可获取的规模最大的音乐元数据库”。 该组织表示：“在大家的支持下，人类的音乐遗产将永远免受自然灾害、战争、预算削减及其他灾难的破坏。” 博客文章还披露了从 Spotify 数据中发现的显著趋势：平台播放量前三的歌曲 —— 比莉・艾利什（Billie Eilish）的《Birds of a Feather》、Lady Gaga 的《Die with a Smile》以及巴德・bunny（Bad Bunny）的《DtMF》—— 其总播放量之和，超过了末尾 2000 万至 1 亿首歌曲的播放量总和。 安娜档案库因多次侵犯版权已在多个国家被封禁，该组织成立于 2022 年执法部门关闭 “Z 图书馆”（Z-Library）之后。2022 年，美国司法部逮捕并起诉了两名运营 Z-Library 的俄罗斯公民，当时该平台号称 “世界上最大的图书馆”，声称拥有至少 1100 万册电子书可供下载。 Z-Library 被关闭数天后，安娜档案库应运而生，整合了该网站以及互联网档案馆（Internet Archive）、 genesis 图书馆（Library Genesis）、科学枢纽（Sci-Hub）等多个免费在线图书馆的资源记录。 截至 12 月，安娜档案库已收录超过 6100 万册图书和 9500 万篇论文。多个国家的版权方曾试图起诉该组织，谷歌则于 11 月表示，在出版商提出下架请求后，已从其搜索引擎中移除了近 8 亿条指向安娜档案库的链接。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 罗马尼亚国家水务管理机构于周日宣布遭受勒索软件攻击，导致约1000台计算机系统无法使用。 此次攻击影响了从工作站到服务器的各类设备，但国家网络安全局表示，包括大坝和防洪设施在内的水利技术基础设施等运营技术系统未受影响。 水务机构的基础设施仍在正常运行，但由于网络攻击影响了电子邮件服务器，员工被迫使用电话和无线电进行通信。 与传统勒索软件攻击从外部网络引入加密软件不同，罗马尼亚当局的初步技术评估显示，此次攻击者使用了合法的Windows工具BitLocker试图勒索该机构。 使用所谓的”LOLBins”——如现有的Windows工具——有助于攻击者在遍历和操控受害者网络时规避安全控制。 卡巴斯基实验室去年发布的研究指出，墨西哥、印度尼西亚和约旦的受害者——包括钢铁和疫苗制造公司以及政府实体——遭遇了一波此类勒索软件攻击。 去年，网络安全公司Bitdefender表示，ShrinkLocker恶意软件——一种将合法BitLocker工具用于攻击系统用户的脚本——正被”多个独立的威胁行为体用于针对老旧Windows系统的简单攻击”。 根据罗马尼亚网络安全机构的说法，攻击者已发出勒索信息，要求其在七天内取得联系。该机构强调，其自身的”政策和严格建议”是受害者不与网络勒索者进行接触或谈判。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者被观察到利用伪装成合法应用程序的恶意释放器应用，在针对乌兹别克斯坦用户的移动攻击中，投放一种名为 Wonderland 的安卓短信窃取程序。 “以前，用户会收到’纯粹的’木马APK文件，这些文件在安装后立即充当恶意软件，” Group-IB在上周发布的一份分析报告中表示。”现在，攻击者越来越多地部署伪装成合法应用程序的释放器。释放器表面看起来无害，但包含内置的恶意有效载荷，安装后会在本地部署——甚至无需主动的互联网连接。” 根据这家总部位于新加坡的网络安全公司的分析，Wonderland 促进了双向的命令与控制通信，以实时执行命令，从而允许发起任意的USSD请求和窃取短信。它伪装成Google Play或视频、照片、婚礼邀请等格式的其他文件。 该恶意软件背后以经济利益为动机的威胁组织 TrickyWonders，利用Telegram 作为主要平台来协调运营的各个方面。该组织于2023年11月首次被发现，还被归因于两个旨在隐藏主要加密有效载荷的释放器恶意软件家族： MidnightDat（首次发现于2025年8月27日） RoundRift（首次发现于2025年10月15日） Wonderland主要通过伪造的Google Play商店网页、Facebook上的广告活动、约会应用上的虚假账户以及Telegram等即时通讯应用进行传播。攻击者滥用暗网市场上出售的乌兹别克用户的被盗Telegram会话，向受害者的联系人和聊天群分发APK文件。 一旦恶意软件安装，它就能访问短信并拦截一次性密码，该组织利用这些信息从受害者的银行卡中窃取资金。其他功能包括获取电话号码、窃取联系人列表、隐藏推送通知以压制安全警报或OTP提醒，甚至从受感染设备发送短信进行横向移动。 然而，值得指出的是，要侧载该应用，首先需要用户启用允许从未知来源安装的设置。这是通过显示一个”安装更新以使用应用”的更新屏幕指示来完成的。 “当受害者安装APK并提供权限后，攻击者会劫持电话号码，并尝试登录使用该电话号码注册的Telegram账户，” Group-IB说。”如果登录成功，分发过程会重复，形成一个循环感染链。” Wonderland代表了乌兹别克斯坦移动恶意软件的最新演变，该地区已从依赖大规模垃圾邮件活动的Ajina.Banker等初级恶意软件，转变为伪装成看似良性媒体文件的Qwizzserial等更隐蔽的变种。 释放器应用的使用具有战略意义，因为它使它们看起来无害并能逃避安全检查。此外，释放器和短信窃取器组件都经过重度混淆，并采用了反分析技巧，使得逆向工程更具挑战性和耗时。 更重要的是，双向C2通信的使用将恶意软件从被动的短信窃取器转变为主动的远程控制代理，可以执行服务器发出的任意USSD请求。 “支撑性基础设施也变得更加动态和有弹性，”研究人员说。”运营者依赖快速变化的域名，每个域名在更换前只用于有限的几批构建。这种方法使监控复杂化，破坏基于黑名单的防御，并延长了命令与控制通道的寿命。” 恶意APK构建是通过一个专用的Telegram机器人生成的，然后由一类称为”工作者”的威胁行为者进行分发，以换取被盗资金的分成。作为这项工作的一部分，每个构建都有其关联的C2域名，因此任何取缔尝试都不会摧毁整个攻击基础设施。 这个犯罪企业还包括群组所有者、开发者和”vbiver”（验证被盗卡片信息的人）。这种等级结构反映了金融诈骗运营的新成熟阶段。 “该地区新一波的恶意软件开发清楚地表明，入侵安卓设备的方法不仅变得更加复杂——而且正在快速演变，” Group-IB说。”攻击者正在积极调整他们的工具，实施新的方法来改进分发、活动隐藏以及维持对受感染设备的控制。” 这一披露恰逢新安卓恶意软件的出现，例如 Cellik、Frogblight 和 NexusRoute，这些恶意软件能够从受感染的设备中收集敏感信息。 Cellik在暗网上以每月150美元起或终身许可900美元的价格做广告，具备实时屏幕流传输、键盘记录、远程摄像头/麦克风访问、数据擦除、隐藏网页浏览、通知拦截和应用叠加以窃取凭证等功能。 也许该木马最令人不安的功能是一个一键APK构建器，允许客户将恶意有效载荷捆绑在合法的Google Play应用中以便分发。 “通过其控制界面，攻击者可以浏览整个Google Play商店目录，并选择合法的应用程序与Cellik有效载荷捆绑，” iVerify的Daniel Kelley说。”只需点击一下，Cellik就会生成一个新的恶意APK，将RAT包装在所选的合法应用内部。” 另一方面，Frogblight 被发现通过短信钓鱼消息瞄准土耳其用户，这些消息诱骗收件人以查看据称与他们涉及的法庭案件相关的法庭文件为借口安装恶意软件，卡巴斯基表示。 除了使用WebView窃取银行凭证外，该恶意软件还能收集短信、通话记录、设备上已安装应用列表以及设备文件系统信息。它还可以管理联系人并发送任意短信。 据信Frogblight正处于积极开发中，该工具背后的威胁行为者正在为将其作为恶意软件即服务模式进行分发奠定基础。这一评估基于在C2服务器上发现的Web控制面板，以及只有使用与Web面板登录相同密钥的样本才能通过该面板进行远程控制这一事实。 像Cellik和Frogblight这样的恶意软件家族是安卓恶意软件日益增长趋势的一部分，即使是没有技术专长的攻击者，现在也可以轻松地大规模运行移动攻击活动。 最近几周，印度安卓用户也成为名为 NexusRoute 的恶意软件的目标，该软件使用冒充印度政府服务的钓鱼门户，将访问者重定向到托管在GitHub仓库和GitHub Pages上的恶意APK，同时收集他们的个人和财务信息。 这些虚假网站旨在感染安卓设备，安装一个完全混淆的远程访问木马，该木马可以窃取手机号码、车辆数据、UPI PIN、OTP和卡片详细信息，并通过滥用无障碍服务和提示用户将其设置为默认主屏幕启动器来收集大量数据。 “威胁行为者越来越多地将政府品牌、支付流程和公民服务门户武器化，在合法性的幌子下部署以经济利益驱动的恶意软件和网络钓鱼攻击，” CYFIRMA表示。”该恶意软件执行短信拦截、SIM卡信息收集、联系人窃取、通话记录收集、文件访问、屏幕截图捕捉、麦克风激活和GPS跟踪。” 对嵌入式电子邮件地址”gymkhana.studio@gmail[.]com”的进一步分析将NexusRoute与更广泛的地下开发生态系统联系起来，增加了其可能属于一个专业维护、大规模欺诈和监控基础设施的可能性。 “NexusRoute攻击活动代表了一个高度成熟、专业设计的移动网络犯罪运营，它将网络钓鱼、恶意软件、金融欺诈和监控结合到一个统一的攻击框架中，”该公司表示。”使用原生级混淆、动态加载器、自动化基础设施和集中式监控控制，使该活动的能力远超常见的诈骗行为者。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁猎手发现了一个被称为Infy的伊朗威胁行为者（又名Prince of Persia）的新活动，这距离该黑客组织被观察到针对瑞典、荷兰和土耳其的受害者已近五年。 “Prince of Persia的活动规模比我们最初预期的更为重大，”SafeBreach的安全研究副总裁托默·巴尔在与The Hacker News分享的技术分析中表示。”这个威胁组织仍然活跃、相关且危险。” 根据Palo Alto Networks Unit 42在2016年5月发布的一份报告，Infy是现存最古老的APT组织之一，其早期活动证据可追溯到2004年12月。该报告由巴尔与研究员西蒙·科南特共同撰写。 该组织也一直保持隐蔽，不像Charming Kitten、MuddyWater和OilRig等其他伊朗组织那样受到较多关注。该组织发起的攻击主要利用了两种恶意软件：一种名为Foudre的下载器和受害者剖析器，用于投递被称为Tonnerre的第二阶段植入程序，以从高价值机器中窃取数据。据评估，Foudre是通过钓鱼邮件传播的。 SafeBreach的最新发现揭露了一场针对伊朗、伊拉克、土耳其、印度、加拿大以及欧洲受害者的隐蔽活动，活动中使用了更新版本的Foudre和Tonnerre。Tonnerre的最新版本于2025年9月被检测到。 攻击链也发生了变化，从使用包含宏的Microsoft Excel文件，转向在此类文档中嵌入可执行文件来安装Foudre。或许该威胁行为者最引人注目的手法是使用域名生成算法，以使其命令与控制基础设施更具韧性。 此外，已知Foudre和Tonnerre的组件会通过下载一个RSA签名文件来验证C2域名是否真实，恶意软件随后使用公钥解密该文件，并与本地存储的验证文件进行比较。 SafeBreach对C2基础设施的分析还发现了一个用于C2验证的名为”key”的目录，以及其他用于存储通信日志和窃取文件的文件夹。 “每天，Foudre都会下载一个由威胁行为者用RSA私钥加密的专用签名文件，然后使用内嵌公钥进行RSA验证，以确认该域名是经批准的域名，”巴尔说道。”请求格式为：’https://<域名>/key/<域名><yy><年份中的第几天>.sig’。” C2服务器中还存在一个”download”目录，其当前用途未知，推测可能用于下载并升级到新版本。 另一方面，Tonnerre的最新版本包含一个通过C2服务器联系Telegram群组的机制。该群组有两名成员：一个很可能用于发出命令和收集数据的Telegram机器人”@ttestro1bot”，以及一个用户名为”@ehsan8999100″的用户。 虽然使用即时通讯应用进行C2通信并不罕见，但值得注意的是，关于Telegram群组的信息存储在C2服务器中名为”t”的目录内一个名为”tga.adr”的文件中。需要指出的是，”tga.adr”文件的下载只能为特定的受害者GUID列表触发。 这家网络安全公司还发现了2017年至2020年间在Foudre活动中使用的其他较旧变种： 伪装成Amaq新闻查找器以下载和执行恶意软件的Foudre版本 一种名为MaxPinner的木马新版本，由Foudre第24版DLL下载，用于窥探Telegram内容 一种名为Deep Freeze的恶意软件变体，类似于Amaq新闻查找器，用于感染受害者并投递Foudre 一种名为Rugissement的未知恶意软件 “尽管看似在2022年销声匿迹，但Prince of Persia威胁行为者却恰恰相反，”SafeBreach表示。”我们针对这个多产且隐蔽的组织的持续研究活动，突显了关于他们过去三年活动、C2服务器以及已识别恶意软件变种的关键细节。” 此次披露正值DomainTools对Charming Kitten泄露信息的持续分析描绘出该黑客组织的形象：其运作更像是一个政府部门，同时以”文书般的精准度开展间谍行动”。该威胁行为者还被揭露是Moses Staff身份的幕后操纵者。 “运行德黑兰长期凭证钓鱼行动的同一台行政机器APT 35，也负责运行支持Moses Staff勒索软件活动的后勤工作，”该公司表示。 “所谓的黑客活动分子和政府网络部门不仅共享工具和目标，还使用同一个应付账款系统。宣传部门和间谍部门是单一工作流程的两个产物：同一内部工单制度下的不同’项目’。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部本周宣布，在一起涉及数百万美元的ATM“吐钞”计划中，对54名个人提起指控。 这项大规模合谋涉及部署名为Ploutus的恶意软件入侵美国各地的自动取款机，并强制其吐出现金。据称，被指控的成员是委内瑞拉帮派Tren de Aragua的一部分，该帮派已被美国国务院指定为外国恐怖组织。 2025年7月，美国政府宣布对该组织头目赫克托·拉斯特福德·格雷罗·弗洛雷斯及其他五名关键成员实施制裁，原因是他们参与了“非法毒品贸易、人口走私和贩卖、勒索、对妇女和儿童的性剥削以及洗钱等犯罪活动”。 美国司法部表示，2025年12月9日提交的一份起诉书指控22人涉嫌犯有银行诈骗、入室盗窃和洗钱罪。检察官还称，TdA利用“吐钞”计划在美国吸走数百万美元，并在其成员及同伙之间转移非法所得。 另外32人则在2025年10月21日提交的另一份相关起诉书中被指控，罪名包括“一项合谋实施银行诈骗罪、一项合谋实施银行入室盗窃和计算机诈骗罪、18项银行诈骗罪、18项银行入室盗窃罪以及18项破坏计算机罪”。 如果罪名成立，被告可能面临最高20年至335年不等的监禁。 “这些被告采用有条不紊的监视和入室盗窃技术将恶意软件安装到ATM机中，然后从机器中窃取并清洗资金，部分目的是为指定的外国恐怖组织TDA的恐怖活动及其他影响广泛的犯罪活动提供资金，”司法部刑事司代理助理检察长马修·R·加莱奥蒂表示。 据称，该“吐钞”行动依赖TdA在全国范围内招募数量不详的人员来部署恶意软件。这些人会先进行初步侦察，评估各ATM机的外部安全措施，然后尝试打开ATM机的外盖，以检查是否触发了警报或执法部门的反应。 完成此步骤后，威胁行为者会安装Ploutus恶意软件，方法要么是更换已预装恶意程序的硬盘，要么是连接可移动U盘。该恶意软件能够发出与ATM机现金取款模块相关的未经授权命令，从而强制提取现金。 “Ploutus恶意软件还被设计用来删除恶意软件的证据，以试图隐藏、制造假象、误导或以其他方式欺骗银行和信用合作社的员工，使其无法得知ATM机上已部署恶意软件，”司法部表示。“然后，合谋成员会按预定比例分赃。” Ploutus于2013年在墨西哥首次被发现。赛门铁克在2014年的一份报告中详细介绍了如何利用基于Windows XP的ATM机的弱点，使网络犯罪分子仅通过向被入侵的ATM机发送短信即可提取现金。FireEye在2017年的一项后续分析中，详细说明了其控制Diebold品牌ATM机以及在各种Windows版本上运行的能力。 “一旦部署到ATM机上，Ploutus-D能使‘钱骡’在几分钟内获取数千美元，”当时解释道。“‘钱骡’必须拥有打开ATM机顶部（或能够撬开）的主钥匙、连接机器的物理键盘以及一个激活码（由负责行动的‘老板’提供），才能让ATM机吐出现金。” 据该机构称，自2021年以来，美国共记录了1529起“吐钞”事件，截至2025年8月，该国际犯罪网络已造成约4073万美元损失。 “这一合谋导致全美ATM机被掏空了数百万美元，据称这些钱流向了Tren de Aragua的头目，用于资助他们的恐怖活动和目的，”美国检察官莱斯利·伍兹表示。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 尼日利亚当局宣布逮捕了三名“知名网络诈骗嫌疑人”，据称他们参与了针对大型企业的钓鱼攻击，其中包括RaccoonO365钓鱼即服务计划的主要开发者。 尼日利亚警察部队国家网络犯罪中心表示，在与微软和联邦调查局的合作调查下，确认了奥基蒂皮·塞缪尔（又名摩西·费利克斯）是该钓鱼基础设施的主要嫌疑人和开发者。 “调查显示，他运营着一个Telegram频道，通过该频道出售钓鱼链接以换取加密货币，并利用窃取或欺诈获得的邮箱凭证在Cloudflare上托管欺诈性登录门户。”尼日利亚警方在社交媒体上发布的帖子中称。 此外，在对他们住所进行的搜查行动中，查获了与该活动相关的笔记本电脑、移动设备和其他数字设备。据尼日利亚警方称，另外两名被捕者与该钓鱼即服务的创建或运营无关。逮捕行动是在拉各斯州和埃多州进行的突击搜查后执行的。 RaccoonO365是一个以经济利益为动机的威胁组织及其钓鱼即服务工具包的名称，该工具包使攻击者能够通过模仿微软365登录页面的钓鱼页面进行凭证窃取攻击。微软在追踪该威胁组织时将其命名为Storm-2246。 早在2025年9月，这家科技巨头就表示与Cloudflare合作，查封了RaccoonO365使用的338个域名。据估计，自2024年7月以来，归因于该工具包的钓鱼基础设施已导致来自94个国家的至少5000个微软凭证被盗。 尼日利亚警方称，RaccoonO365被用来建立欺诈性的微软登录门户，旨在窃取用户凭证，并利用这些凭证非法访问企业、金融机构和教育机构的邮箱平台。联合调查发现了2025年1月至9月期间多起未经授权的微软365账户访问事件，这些事件源于模仿合法微软身份验证页面的钓鱼消息。 尼日利亚警方补充说，这些活动导致了跨多个司法管辖区的商业邮箱入侵、数据泄露和经济损失。 微软和Health-ISAC在9月提起的民事诉讼指控被告约书亚·奥贡迪佩和另外四名化名被告“出售、分发、购买和实施”该钓鱼工具包，以推动复杂的鱼叉式钓鱼并窃取敏感信息，从而运营网络犯罪活动。 诉讼称，被盗数据随后被用来助长更多网络犯罪，包括商业邮箱入侵、金融诈骗、勒索软件攻击，以及侵犯知识产权。 诉讼还指认奥贡迪佩是该行动的幕后主使。他目前下落不明。当被要求置评时，微软发言人告诉The Hacker News，调查正在进行中。 事态发展的同时，谷歌起诉了Darcula钓鱼即服务的运营者，将中国公民张宇程指认为该组织的头目，并列出另外24名成员。谷歌正寻求法院命令，查封该组织背后的服务器基础设施，这些基础设施一直是一波冒充美国政府机构的大规模短信钓鱼活动的源头。 据挪威广播公司和网络安全公司Mnemonic的调查，Darcula及其同伙估计窃取了近90万张信用卡号码，其中近4万张来自美国人。该中文钓鱼工具包于2023年7月首次出现。 该诉讼的消息由NBC新闻于2025年12月17日首次报道。事态发展距离谷歌起诉与另一个名为Lighthouse的钓鱼即服务相关的、据信已影响超过120个国家100万用户的、位于中国的黑客，仅过去一个多月。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 包括华擎、华硕、技嘉和微星在内的多家主板制造商的部分型号产品，存在一个安全漏洞，可能导致其受到早期启动阶段直接内存访问攻击的影响。该漏洞涉及采用统一可扩展固件接口和输入输出内存管理单元架构的系统。 UEFI和IOMMU旨在提供安全基础，防止外围设备进行未授权的内存访问，从而有效确保支持DMA的设备在操作系统加载前无法操控或探查系统内存。 该漏洞由Riot Games的尼克·彼得森和穆罕默德·阿尔-沙里菲在某些UEFI实现中发现，其根源在于DMA保护状态存在不一致。虽然固件显示DMA保护已启用，但在关键的启动阶段，固件未能正确配置并启用IOMMU。 “这一缺陷允许具有物理访问权限的恶意PCIe设备，在操作系统级防护建立之前，读取或修改系统内存，”CERT协调中心在一份公告中表示。“因此，攻击者可能访问内存中的敏感数据，或影响系统的初始状态，从而破坏启动过程的完整性。” 成功利用该漏洞，物理在场的攻击者可以在运行未修补固件的受影响系统上，在操作系统内核及其安全功能加载之前，通过DMA事务启用预启动代码注入，并访问或篡改系统内存。 导致早期启动内存保护被绕过的漏洞如下： CVE-2025-14304 ：影响华擎、华擎服务器及华擎工业主板，涉及Intel 500、600、700和800系列芯片组。 CVE-2025-11901 ：影响华硕主板，涉及Intel Z490、W480、B460、H410、Z590、B560、H510、Z690、B660、W680、Z790、B760及W790系列芯片组。 CVE-2025-14302 ：影响技嘉主板，涉及Intel Z890、W880、Q870、B860、H810、Z790、B760、Z690、Q670、B660、H610、W790系列芯片组，以及AMD X870E、X870、B850、B840、X670、B650、A620、A620A和TRX50系列芯片组。 CVE-2025-14303 ：影响微星主板，涉及Intel 600和700系列芯片组。 受影响的供应商已发布固件更新，以纠正IOMMU初始化顺序并在整个启动过程中强制执行DMA保护。终端用户和管理员必须在更新可用后尽快应用，以防范威胁。 “在无法完全控制或依赖物理访问的环境中，及时打补丁并遵循硬件安全最佳实践尤为重要，”CERT/CC表示。“由于IOMMU在虚拟化和云环境中的隔离与信任委派方面也扮演着基础角色，此漏洞突显了确保正确配置固件的重要性，即使对于通常不在数据中心使用的系统也是如此。” Riot Games在另一篇帖子中表示，该关键漏洞可被用于注入代码，并补充说明了在机器上运行的操作系统启动其安全控制之前，如何操控与早期启动序列相关的特权状态。 “这个问题可能导致硬件作弊工具可能在不被察觉的情况下注入代码，即使主机上的安全设置看似已启用，”阿尔-沙里菲将其描述为一个“‘沉睡的保镖’问题”。 虽然预启动DMA保护旨在通过IOMMU在启动序列早期防止恶意DMA访问系统内存，但该漏洞源于固件错误地向操作系统发出信号，表明此功能已完全启用，而实际上固件在早期启动期间未能正确初始化IOMMU。 “这意味着，尽管BIOS中‘预启动DMA保护’设置看似已启用，但底层的硬件实现在启动过程的最初几秒并未完全初始化IOMMU，”阿尔-沙里菲补充道。“本质上，系统的‘保镖’看似在岗，但实际上却在椅子上睡着了。因此，当系统完全加载后，它无法100%确信没有通过DMA注入破坏完整性的代码。” 这个短暂的利用窗口可能为“复杂的硬件作弊工具”打开大门，使其能够进入系统、获得提升的权限并隐藏自身，而不触发任何警报。“通过堵上这个预启动漏洞，我们正在消除一整类此前无法触及的作弊手段，并显著提高不公平游戏的成本，”Riot Games指出。 尽管此漏洞是从游戏行业的角度被描述的，但其安全风险延伸到任何可能滥用物理访问权限来注入恶意代码的攻击。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 悉尼大学披露一起数据泄露事件：黑客入侵该校一个内部代码库后，导致数万名教职工、学生及校友的个人信息泄露。 该校表示，上周在其 IT 团队使用的在线代码仓库中发现了这一事件，并迅速采取了系统安全加固措施。该平台主要用于软件开发，但同时存储了一个已停用系统的历史数据，包含截至 2018 年 9 月该校员工的姓名、出生日期、电话号码、家庭住址及工作相关详细信息。 副校长妮可・高尔（Nicole Gower）称，目前尚无证据表明泄露数据已被滥用或公开。 “我们正积极监测数据是否存在被使用或公开的迹象，一旦发生此类情况，将立即通知相关人员，” 她表示。 该校内部调查正在进行中，预计将持续至明年。学校已向相关政府部门通报了此事。官方称，此次泄露仅限于单个平台，未影响其他校园系统，黑客身份目前仍不明朗。 初步调查结果显示，泄露数据包括约 2.05 万名现任及前任教职工、关联人员的个人信息，以及 2010 年至 2019 年的历史数据集 —— 涉及约 5000 名学生、校友及 6 名学校支持者的相关信息。 悉尼大学是澳大利亚历史最悠久的公立研究型高校之一，现有学生超 7 万人，教职工约 8000 人。该校曾在 2023 年报告过一起网络安全事件，当时因第三方服务提供商出现安全问题，导致近期入学的国际申请者数据泄露。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件详情 丹麦国防情报局在一份新闻稿中指出：“经评估，2024 年对丹麦某自来水厂发动破坏性网络攻击的亲俄组织 Z-Pentest与俄罗斯政府存在关联；2025年丹麦市镇及地区议会选举前夕，对丹麦境内网站发起DDoS攻击的无名者NoName057(16)组织，同样与俄方存在关联。俄罗斯政府将这两个组织作为针对西方混合战争的抓手，意在通过攻击制造目标国的社会不安，并报复这些国家对乌克兰的支持。” 混合战争是一种国家结合军事和非军事手段来削弱或破坏对手，而不宣战的策略。它通常混合了以下元素： 网络行动（黑客攻击、蓄意破坏、数据泄露） 虚假信息与舆论宣传 经济施压（规避制裁、能源牵制） 政治干预（操纵选举、影响力渗透） 利用代理人（黑客激进分子、雇佣兵、犯罪集团） 有限度或可否认的军事行动 混合战争的目的是制造局势不确定性、扰乱社会秩序、削弱公众对政府机构的信任、迫使对手付出代价，同时保持行动的 “合理推诿空间”，避免引发常规武装冲突。 丹麦情报部门指出，俄方借选举之机发动攻击以博取公众关注，这一伎俩在欧洲多国均有出现。自2022年俄罗斯对乌克兰发起特别军事行动以来，丹麦始终通过制裁、军事援助、人员培训及财政支持等方式为乌克兰提供援助。 丹麦国防大臣谴责上述网络攻击行为，称其“完全不可接受”。他特别提及2024年12月发生在丹麦克厄市的一起事件——黑客篡改了当地水务设施的水泵压力参数，最终导致管道爆裂。 伦德・鲍尔森表示：“这是一个明确的信号——我们一直警惕的混合战，如今已真实发生在我们身边。这一事件再次让人们聚焦欧洲当前所处的严峻局势。俄罗斯方面在丹麦境内实施混合攻击，是绝对不可接受的行径。” 丹麦官员表示，近期发生的多起网络攻击及无人机侵扰事件虽未造成大规模破坏，但暴露了本国在安全防护方面的重大漏洞。他们坦言，丹麦目前尚未做好充分准备，应对来自俄罗斯的混合攻击。 今年3月，受欧洲地区网络威胁升温影响，丹麦已将本国电信行业的网络间谍威胁等级从中等上调至高级。 丹麦社会保障局发布了一份针对电信行业的全新网络威胁评估报告，重点强调了欧洲电信企业面临的风险隐患。 国家级黑客组织常将电信运营商作为网络间谍活动的目标，通过入侵其系统获取用户数据、监控通信内容，并可能以此为跳板发动后续网络或实体攻击。 该评估报告指出，在针对海外电信行业的网络攻击中，国家级黑客已展现出对电信基础设施及通信协议的深厚技术掌握能力。 丹麦关键基础设施计算机安全事件应急响应小组（SektorCERT）曾通报，2023年5月，丹麦遭遇了该国历史上规模最大的关键基础设施网络攻击事件。 首轮攻击于当年5月11日发起，短暂停歇后，第二轮攻击在5月22日接踵而至，该应急响应小组也是在这一天监测到攻击活动。 据该机构披露，共有22家能源基础设施企业的网络系统遭到威胁行为体入侵，其中11家企业的系统被直接攻破。攻击者利用了丹麦众多关键基础设施运营商使用的Zyxel防火墙中的零日漏洞实施攻击。 专家分析认为，此次攻击由多个威胁行为体协同发起，其中至少有一个团伙与俄罗斯关联组织Sandworm存在渊源。 国际态势 近期，美国网络安全与基础设施安全局及多国合作伙伴发出预警：亲俄黑客激进组织正对全球范围内的关键基础设施展开积极攻击。 诸如CARR、Z-Pentest及NoName057(16)等亲俄黑客激进组织，常利用安全防护薄弱的虚拟网络控制台连接，入侵关键基础设施中的运营技术设备，造成不同程度的破坏，部分攻击甚至引发实体损伤。这些组织的攻击目标主要集中在水务、食品、农业及能源领域，其攻击手段的技术复杂度和攻击造成的影响，均低于高级持续性威胁组织。 FBI、CISA、NSA及多国合作机构联合发布的一份预警报告指出：“此次网络安全预警是对2025年5月6日CISA联合情况说明书《降低运营技术网络威胁的主要缓解措施》，以及欧洲刑警组织网络犯罪中心‘东木行动’内容的补充。在上述两份文件中，CISA、FBI、美国能源部、美国环境保护署与欧洲刑警组织网络犯罪中心，曾联合披露针对全球及美国关键基础设施运营技术和工业控制系统的网络攻击事件相关信息。” CARR曾对美国水务系统及洛杉矶一家肉类加工厂发动攻击，造成泄漏、外溢等实体损害。有证据显示，这些攻击活动由俄罗斯联邦武装力量总参谋部情报总局授意资助，攻击目标直指关键基础设施与选举场所。一名化名为Cyber_1ce_Killer的俄罗斯总参谋部情报总局关联人员，不仅直接指挥CARR的攻击目标选择、出资雇佣DDoS服务，其本身也是该组织的核心成员。 美国国务院已悬赏征集相关线索：提供CARR组织成员信息者，最高可获200万美元赏金；提供NoName057(16)组织关联人员线索者，赏金上限高达1000万美元。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  随着威胁行为者发起大规模的虚假在线零售商店攻击活动，2025年假日购物季面临着重大的网络安全威胁。这些欺诈性域名旨在冒充全球知名品牌，诱骗毫无戒心的消费者泄露敏感的财务信息或下载恶意软件。 该行动组织严密，利用自动化工具大量生产仿冒网站，高度模仿Zalando、Birkenstock和IKEA等合法零售商的观感。这一恶意活动利用了超过200个新注册的域名网络，这些域名主要通过中国基础设施提供商建立。犯罪分子利用”黑色星期五”、”双十一”等活动期间激增的在线购物流量，企图最大限度地扩大其影响范围。攻击途径包括在TikTok和Facebook等平台进行社交媒体推广，将用户引诱至这些虚假店铺。 一旦受害者访问这些网站，通常会看到仿冒的结账系统，用于窃取信用卡信息或将他们重定向至恶意载荷。 Bfore.ai的分析师于2025年11月发现了这一活动，并指出其依赖于隐私保护的WHOIS数据来隐藏攻击者身份。研究人员强调，该活动显示出”工业化”欺诈模式的迹象，不同活动集群可追溯到特定的托管服务提供商和自治系统。这种复杂的基础设施使攻击者能够在旧域名被检测和下线时，迅速转向并部署新域名。 对消费者的影响是严重的，除了直接的经济损失外，还可能涉及潜在的身份盗窃。该活动的规模表明，其背后是一个拥有资源以维持长期攻击的经济动机团伙。 欺骗性诱饵与规避技术 该活动采用多种欺骗性策略来规避检测并操纵用户信任。一种值得注意的方法是”议题导向”活动，即重新利用像”peaceforsecurity[.]com”这样的域名来销售时尚商品。此战术可能旨在通过使用与典型零售欺诈无关的关键词来绕过安全过滤器。 另一种技术通过混合品牌名称来制造混淆，例如一个推广无关护发产品的”lululemonsalehub”域名。这些不一致之处可以在利用品牌知名度的同时迷惑用户。此外，攻击者使用填充了无意义名称和”免运费”优惠的通用模板来营造合法性假象。 技术分析揭示了使用相同的JavaScript库和结账URL模式，例如： /collections/all /products/item123 最后，通过像”mango-flashsale[.]com”这样的域名制造季节性紧迫感，模仿合法的促销活动以促使用户仓促决策。 这些复杂的诱饵，加上共享的名称服务器和后端基础设施，展示了现代零售钓鱼活动不断演变的复杂性。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款流行的WordPress主题中发现安全漏洞，该漏洞可能允许权限最低的已登录用户获得受影响网站的完全控制权。 该问题涉及一个任意文件上传漏洞，允许”订阅者”及以上级别的用户安装并激活插件，从而可能执行恶意代码。Motors主题是一款广泛用于汽车网站的WordPress解决方案，包括汽车经销商、车辆租赁平台和分类信息列表网站。由StylemixThemes开发，目前拥有超过20，000个活跃安装。 此漏洞影响5.6.81及以下版本，已分配编号CVE-2025-64374。漏洞由Patchstack Alliance社区的成员Denver Jackson发现并负责任地报告。漏洞存在于一个允许通过后端功能安装插件的AJAX处理程序中。虽然该功能使用随机数（nonce）进行请求验证，但缺乏适当的权限检查。 由于”订阅者”级别的用户可以从WordPress管理界面获取该随机数值，任何已登录用户都可以提供任意的插件URL。这使得恶意插件可以被上传和激活，最终导致网站被完全控制。Patchstack指出，这反映了WordPress组件中普遍存在的一个更广泛的问题。随机数的设计目的是防止请求伪造，而非强制执行访问控制。 WordPress开发者文档建议：”切勿依赖随机数进行身份验证、授权或访问控制。请使用current_user_can()函数保护您的功能，并始终假设随机数可能被泄露。” 该问题已在Motors 5.6.82版本中修复，该版本引入了current_user_can权限检查。这确保了只有授权用户才能触发插件的安装和激活过程。该补丁于11月3日发布，此前在9月已向供应商披露。PatchStack今天发布的公告为开发者和网站所有者强调了几个关键教训： 仅靠随机数不足以保护特权功能 所有修改网站的操作都应执行严格的权限检查 绝不能默认假设已登录用户是可信的 强烈建议运行Motors主题的网站所有者更新至5.6.82或更高版本以降低风险。未能应用此更新将使网站暴露于WordPress最严重的漏洞类别之一。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国技术公司DXS International披露了一起影响其内部系统的网络安全事件。该公司的软件在英国国家医疗服务体系（NHS）中广泛使用。 该公司在向伦敦证券交易所发布的通知中称，于12月14日发现其办公服务器遭到未经授权的访问。DXS表示已控制住此次入侵，其临床服务始终未受影响且保持正常运行。 目前尚无NHS患者数据是否泄露的确认信息，但该公司表示已通知英国数据保护监管机构信息专员办公室（ICO）。对于患者数据是否受影响的问题，NHS英格兰的一位发言人未立即回应置评请求。 DXS表示调查仍在进行中，正与NHS网络安全团队及外部专家合作，”他们正在进行彻底调查，以确定事件的性质和范围”。公司补充称，目前认为此事不会对其财务状况造成重大不利影响。 该公司为全英格兰的全科医生诊所和初级保健网络提供临床决策支持和转诊管理工具。其产品与NHS核心系统集成。据公司自身声明，其支持了英格兰约10%的NHS转诊，软件涉及数百万注册患者的工作流程。DXS并非核心电子健康记录提供商，也不存储中心医疗记录，但患者数据会由其用于向医疗保健提供者提供临床指导的部分系统进行处理。 并非孤立事件 此次事件发生之际，人们对英国卫生技术供应商遭受攻击的担忧日益加剧。此类事件凸显了即使第三方系统不托管核心记录，其遭受攻击也可能对运营产生影响。 去年，病理学供应商Synnovis遭受勒索软件攻击后，据信至少有一名患者死亡，数千例手术和预约被取消。2022年，软件供应商Advanced遭受的另一起勒索软件攻击导致用于分诊非紧急但急需医疗电话的NHS 111关键服务暂时关闭。在那次事件中，由于IT系统受影响，医生、护士和其他工作人员被迫使用纸笔完成工作，引发了英国政府的COBR危机管理会议，官员们担心攻击可能对患者护理造成影响。Advanced随后因安全漏洞被ICO罚款300万英镑。 英国现行的网络安全法规并未自动将DXS等第三方卫生IT供应商纳入要求其满足特定安全标准的条款。政府上个月向议会提交了具有里程碑意义的《网络安全与韧性法案》，威胁对未能保护自身免受网络攻击的公司处以高额罚款。根据该法案，为包括医疗保健在内的关键领域提供IT管理服务的公司可能会被纳入监管范围。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  被称为Kimsuky的朝鲜威胁行为者，被证实与一场新的攻击活动有关。该活动通过伪装成总部位于首尔的物流公司CJ Logistics（前身为CJ Korea Express）的钓鱼网站上托管的二维码，分发一种名为DocSwap的安卓恶意软件新变种。 韩国网络安全公司ENKI表示：”该威胁行为者利用二维码和通知弹窗，诱使受害者在移动设备上安装并执行恶意软件。该恶意应用程序会解密一个内嵌的加密APK文件，并启动一个提供远程访问木马功能的恶意服务。由于安卓系统默认阻止安装来源不明的应用并显示安全警告，威胁行为者声称该应用是安全、官方的版本，以此欺骗受害者忽略警告并安装恶意软件。” 据该公司称，其中一些恶意软件伪装成包裹快递服务应用。据评估，威胁行为者正在使用冒充快递公司的短信钓鱼或钓鱼邮件，诱骗收件人点击托管着恶意应用的恶意网址。 这次攻击的一个值得注意的特点是使用基于二维码的移动重定向。当用户从桌面电脑访问网址时，会提示他们在安卓设备上扫描页面显示的二维码，以安装所谓的包裹追踪应用并查询状态。该二维码设计用于将用户重定向到”tracking.php”脚本，该脚本实现服务器端逻辑，检查浏览器的User-Agent字符串，并显示一条消息，借口因所谓的”国际海关安全政策”需要验证身份，敦促他们安装”安全模块”。 如果受害者继续安装该应用，便会从服务器（”27.102.137[.]181″）下载一个APK包（”SecDelivery.apk”）。然后，该APK文件会解密并加载嵌入其资源中的加密APK，以启动新版本的DocSwap，但在此之前会先确认其已获得读取和管理外部存储、访问互联网以及安装其他软件包的必要权限。 ENKI表示：”一旦确认所有权限，它会立即将新加载APK的MainService注册为’com.delivery.security.MainService’。在服务注册的同时，基础应用程序会启动AuthActivity。该活动伪装成一次性密码（OTP）认证界面，并使用快递单号验证用户身份。” 快递单号在APK中硬编码为”742938128549″，很可能与恶意网址在初始访问阶段一同传递。一旦用户输入提供的快递单号，应用程序将生成一个随机的六位数验证码并作为通知显示，随后提示用户输入生成的验证码。 验证码一经输入，应用程序就会打开一个指向合法网址“www.cjlogistics[.]com/ko/tool/parcel/tracking”的WebView。与此同时，木马会在后台连接到攻击者控制的服务器（”27.102.137[.]181:50005″），并接收多达57条命令，使其能够记录键盘输入、捕获音频、开始/停止摄像头录制、执行文件操作、运行命令、上传/下载文件，以及收集位置信息、短信、联系人、通话记录和已安装应用列表。 ENKI表示，还发现了另外两个伪装样本：一个是P2B空投应用，另一个是被木马化的合法VPN程序BYCOM VPN（”com.bycomsolutions.bycomvpn”）的版本。该VPN程序在Google Play商店中提供，由一家名为Bycom Solutions的印度IT服务公司开发。安全公司补充道：”这表明威胁行为者向合法的APK中注入了恶意功能，并重新打包用于攻击。” 对威胁行为者基础设施的进一步分析，发现了模仿韩国Naver和Kakao等平台的钓鱼网站，旨在窃取用户凭证。这些网站被发现与先前Kimsuky针对Naver用户的凭证窃取活动存在关联。 ENKI表示：”执行的恶意软件会启动一个RAT服务，类似于过去的案例，但展示了进化的能力，例如使用新的原生函数来解密内部APK，并融合了多种伪装行为。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： HPE已修复其OneView软件中的一个最高严重性安全漏洞，如果被成功利用，可能导致远程代码执行。 这个被标记为CVE-2025-37164的关键漏洞，其CVSS评分为10.0。HPE OneView是一款IT基础设施管理软件，旨在简化IT运营并通过集中式仪表板界面控制系统。 HPE在本周发布的公告中表示：”已在慧与OneView软件中发现一个潜在的安全漏洞。该漏洞可能被利用，允许远程未经身份验证的用户执行远程代码执行。” 该漏洞影响11.00版本之前的所有软件版本，而11.00版本已修复此漏洞。该公司还提供了一个可应用于OneView 5.20至10.20版本的热修复补丁。 值得注意的是，从6.60或更高版本升级到7.00.00版本后，或在执行任何HPE Synergy Composer重镜像操作后，必须重新应用此热修复补丁。针对OneView虚拟设备和Synergy Composer2，提供了单独的热修复补丁。 尽管HPE未提及该漏洞在野外被利用的情况，但用户尽快应用补丁以获得最佳保护至关重要。 今年6月初，该公司还发布了更新，修复了其StoreOnce数据备份和重复数据删除解决方案中的八个漏洞，这些漏洞可能导致身份验证绕过和远程代码执行。此外，还发布了OneView 10.00版本，以修复Apache Tomcat和Apache HTTP Server等第三方组件中的多个已知漏洞。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜相关联的黑客组织，已成为 2025 年全球加密货币盗窃激增的主要推手。在 1 月至 12 月初全球被盗的 34 亿多美元加密货币中，该组织窃取金额至少达 20.2 亿美元。 区块链情报公司 Chainalysis 向The Hacker News披露的《加密犯罪报告》显示，这一数字较2024年的13亿美元增加6.81亿美元，同比增幅达 51%。该公司指出：“就被盗金额而言，2025年是朝鲜加密货币盗窃史上最严重的一年，其发起的攻击占所有服务入侵事件的比例也达到创纪录的 76%。截至目前，朝鲜累计窃取的加密货币资金下限估计已达67.5亿美元。” 在朝鲜窃取的20.2亿美元中，仅2月对加密货币交易所 Bybit的攻击就造成15亿美元损失。该攻击被归因于名为 TraderTraitor（又名 Jade Sleet、Slow Pisces）的黑客集群。哈德逊・罗克本月初发布的分析报告显示，一台感染了 Lumma Stealer恶意软件的设备，因关联邮箱 “trevorgreer9312@gmail [.] com”的存在，被证实与Bybit黑客攻击的基础设施相关联。 此类加密货币盗窃是朝鲜支持的黑客组织Lazarus集团过去十年间发起的一系列广泛攻击的一部分。上月，韩国最大加密货币交易所Upbit价值3600万美元的加密货币被盗，此案有关也与Lazarus相关。Lazarus集团隶属于朝鲜侦察总局，据估计，2020年至2023年间，该组织通过超25次加密货币盗窃，窃取了至少2亿美元。 黑客组织的双重作案策略 作为全球最活跃的黑客组织之一，朝鲜黑客还长期开展一项名为 “梦想工作行动”的活动。他们通过领英或 WhatsApp 联系国防、制造、化工、航空航天和科技领域的潜在求职者，以高薪工作为诱饵，诱使其下载并运行 BURNBOOK、MISTPEN、BADCALL 等恶意软件。这些行动的最终目标具有双重性：一是收集敏感数据，二是规避国际制裁，为朝鲜政权赚取非法收入。 朝鲜黑客采用的第二种策略是，通过虚假身份或专门设立的幌子公司，将信息技术人员安插在全球各地的企业中。这包括获取加密货币服务的特权访问权限，为大规模盗窃创造条件。这一欺诈运作模式被称为 “薪资鼹鼠”。Chainalysis 指出：“2025年盗窃金额创纪录，部分原因可能是朝鲜黑客扩大了对交易所、托管机构和Web3公司的IT人员渗透，这种方式能加速初始访问和横向移动，为大规模盗窃铺路。” 资金洗白路径与相关案件判决 无论使用何种方法，被盗资金都会通过中文的钱款转移和担保服务，以及跨链桥、混币器和Huione等专门市场进行洗钱。此外，被盗资产遵循一种结构化的、多阶段的洗钱路径，该路径大约在黑客攻击后的45天内展开： 第一阶段：即时分层（0-5 天）—— 利用去中心化金融协议和混币服务，迅速将资金与盗窃源头脱钩； 第二阶段：初步整合（6-10 天）—— 将资金转移至加密货币交易所、二级混币服务以及 XMRt 等跨链桥； 第三阶段：最终整合（20-45 天）—— 通过相关服务将加密货币最终兑换为法定货币或其他资产。 Chainalysis 表示：“朝鲜黑客大量使用专业中文洗钱服务和场外交易商，这表明他们与亚太地区的非法行为者联系紧密，也与朝鲜历史上利用中国境内网络接入国际金融体系的做法一致。” 与此同时，美国司法部披露，马里兰州 40 岁男子Minh Phuong Ngoc Vong因参与朝鲜 IT 人员渗透计划，被判处 15 个月监禁。2021 年至 2024 年间，该男子伪装其教育背景、培训经历和工作经验，成功受雇于至少 13 家美国公司，包括与美国联邦航空管理局签订合同。而这些工作实际上是由海外同谋者完成的。 美国司法部表示：”Vong与他人合谋，包括一名住在沈阳、化名为William James的外国国民，欺骗美国公司雇佣Vong为远程软件开发人员。在通过关于其教育、培训和经验的重大虚假陈述获得这些工作后，Vong允许James等人使用他的计算机访问凭证来执行远程软件开发工作并收取报酬。 值得注意的是，朝鲜关联黑客的 IT 人员渗透策略正发生转变：他们越来越多地以招聘者身份，通过 Upwork、Freelancer 等平台招募合作者，以扩大运作规模。 Security Alliance上月发布的报告指出：“这些招聘者会按照固定话术接触目标，寻求‘合作者’帮助投标和交付项目，并提供账户注册、身份验证和权限共享的详细步骤。在许多案例中，受害者最终会交出自由职业者账户的完全访问权限，或安装 AnyDesk、Chrome 远程桌面等远程控制工具，这使得黑客能够以受害者的已验证身份和 IP 地址运作，规避平台审核并开展非法活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据奇安信XLab的研究，一个名为Kimwolf的新型分布式拒绝服务僵尸网络已组建了一支由至少180万台受感染设备组成的大军，这些设备包括基于安卓系统的电视、机顶盒和平板电脑，并且可能与另一个名为 AISURU 的僵尸网络存在关联。 “Kimwolf是一个使用NDK编译的僵尸网络，” 该公司在今天发布的一份报告中表示。”除了典型的DDoS攻击能力外，它还集成了代理转发、反向Shell和文件管理功能。” 据估计，这个超大规模僵尸网络在2025年11月19日至22日的三天内发出了17亿条DDoS攻击命令。大约在同一时间，其一个C2域名曾登顶Cloudflare的全球前100域名榜单，甚至一度短暂超越谷歌。 Kimwolf的主要感染目标是部署在家庭网络环境中的电视盒子。部分受影响的设备型号包括TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV和MX10。感染分布在全球，其中巴西、印度、美国、阿根廷、南非和菲律宾的感染密度较高。然而，恶意软件传播到这些设备的具体方式目前尚不清楚。 XLab表示，其调查始于2025年10月24日从一位可信的社区合作伙伴处收到Kimwolf的”第四版”样本。自那以后，上月又发现了另外八个样本。 “我们观察到，Kimwolf的C2域名至少被未知方成功关闭了三次，迫使其升级策略，转而使用ENS来强化其基础设施，这展示了其强大的进化能力，” XLab研究人员说。 不仅如此，本月早些时候，XLab成功夺取了其中一个C2域名的控制权，从而得以评估该僵尸网络的规模。 Kimwolf一个有趣的方面是它与臭名昭著的AISURU僵尸网络有关联，后者是过去一年中一些破纪录DDoS攻击的幕后黑手。据推测，攻击者在早期阶段重用了AISURU的代码，后来才选择开发Kimwolf僵尸网络以规避检测。 XLab表示，其中一些攻击可能并非仅来自AISURU，Kimwolf可能参与甚至主导了这些攻击。 “这两个主要的僵尸网络在9月至11月期间通过相同的感染脚本传播，共存于同一批设备中，” 该公司表示。”它们实际上属于同一个黑客组织。” 这一评估基于上传到VirusTotal平台的APK包的相似性，在某些情况下甚至使用了相同的代码签名证书。2025年12月8日发现了更确凿的证据：一个活跃的下载服务器被发现包含一个同时引用Kimwolf和AISURU APK文件的脚本。 恶意软件本身相当直接。一旦启动，它会确保在受感染设备上只运行一个进程实例，然后继续解密嵌入的C2域名，使用基于TLS的DNS获取C2 IP地址，并连接到该地址以接收和执行命令。 截至2025年12月12日检测到的最新版本僵尸网络恶意软件引入了一种名为EtherHiding的技术，该技术利用ENS域名从相关的智能合约中获取实际的C2 IP地址，旨在使其基础设施对打击行动更具弹性。 具体来说，这涉及到从事务的”lol”字段中提取IPv6地址，然后取该地址的最后四个字节，并用密钥”0x93141715″进行异或运算以得到实际的IP地址。 除了加密与C2服务器和DNS解析器相关的敏感数据外，Kimwolf还使用TLS加密进行网络通信以接收DDoS命令。总体而言，该恶意软件支持13种基于UDP、TCP和ICMP的DDoS攻击方法。根据XLab的数据，攻击目标位于美国、中国、法国、德国和加拿大。 进一步分析确定，超过96% 的命令涉及使用僵尸节点提供代理服务。这表明攻击者试图利用受感染设备的带宽并最大化利润。作为这项工作的一部分，一个基于Rust的命令客户端模块被部署以形成代理网络。 同时分发给节点的还有ByteConnect SDK，这是一个允许应用程序开发者和物联网设备所有者将其流量货币化的变现解决方案。 “巨型僵尸网络起源于2016年的Mirai，感染目标主要集中在家庭宽带路由器和摄像头等物联网设备上，” XLab表示。”然而，近年来，诸如Badbox、Bigpanzi、Vo1d和Kimwolf等百万级别的巨型僵尸网络信息被披露，这表明一些攻击者已经开始将注意力转向各种智能电视和电视盒子。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据卡巴斯基称，与”论坛巨魔行动” 相关的威胁行为者被确认为近期一系列针对俄罗斯境内人士的钓鱼攻击的幕后黑手。 这家俄罗斯网络安全厂商表示，其在2025年10月检测到这一新活动。该威胁行为者的来源目前尚不清楚。 “春季的网络攻击主要针对组织，而秋季的活动则瞄准了特定的个人：在俄罗斯主要大学和研究机构工作的政治学、国际关系和全球经济领域的学者，” 安全研究员 Georgy Kucherin 说。 “论坛巨魔行动”指的是一系列利用Google Chrome浏览器中一个零日漏洞 进行复杂钓鱼攻击的活动，旨在传播LeetAgent后门 和名为Dante的间谍软件植入程序。 最新的攻击浪潮同样始于伪装成 “俄罗斯科学电子图书馆” 发送的钓鱼邮件，发件地址为 “support@e-library[.]wiki”。该域名注册于2025年3月，比攻击活动开始早了六个月，这表明攻击准备工作已经进行了一段时间。 卡巴斯基指出，这种策略性的域名老化处理是为了避免因使用新注册域名发送邮件而引发通常的危险信号。此外，攻击者还在虚假域名上托管了合法eLibrary首页的副本，以维持骗局。 这些邮件引导潜在目标点击指向恶意网站的嵌入链接，以下载所谓的”抄袭报告”。一旦受害者照做，一个命名格式为 “<姓氏><名字><父称>.zip” 的ZIP压缩包便会下载到其设备上。 更重要的是，这些链接设计为一次性使用，意味着任何后续尝试访问该URL的操作都会显示一条俄语消息：”下载失败，请稍后再试”。如果用户从非Windows平台尝试下载，则会被提示”请在Windows电脑上重试”。 “攻击者还针对他们的目标——该领域的特定专业人士——精心个性化设计了钓鱼邮件，” 该公司表示。”下载的压缩包以受害者的姓氏、名字和父称命名。” 压缩包内含一个同名Windows快捷方式文件。当此LNK文件被执行时，会运行一个PowerShell脚本，从远程服务器下载并启动一个基于PowerShell的载荷。随后，该载荷会联系一个URL以获取最终阶段的DLL文件，并通过COM劫持实现持久化。同时，它还会下载并向受害者展示一个诱饵PDF文件。 最终的有效载荷是一个名为 Tuoni 的命令与控制及红队框架，使威胁行为者能够远程访问受害者的Windows设备。 “自2022年起，ForumTroll就一直在针对俄罗斯和白俄罗斯的组织和个人，” 卡巴斯基表示。”鉴于这段漫长的时间线，该APT组织很可能会继续针对这两个国家内感兴趣的实体和个人。” 此次披露之际，Positive Technologies详细介绍了两个威胁集群的活动：QuietCrabs（一个被怀疑是中国黑客组织，亦被追踪为UTA0178和UNC5221）和Thor（后者似乎自2025年5月起参与了勒索软件攻击）。 研究发现，这些入侵集合利用了Microsoft SharePoint、Ivanti Endpoint Manager Mobile、Ivanti Connect Secure 以及 Ivanti Sentry 中的安全漏洞。 QuietCrabs发起的攻击利用初始访问权限部署ASPX Web Shell，并用其传播能够下载并执行KrustyLoader 的JSP加载器，进而投放Sliver植入程序。 “Thor是一个在2025年首次被观察到攻击俄罗斯公司的威胁组织，” 研究人员 Alexander Badayev、Klimentiy Galkin 和 Vladislav Lunin 说。”作为最终载荷，攻击者使用LockBit和Babuk勒索软件，以及Tactical RMM和MeshAgent 来维持持久性访问。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文