Aggregator

HackerNews 编译，转载请注明出处： 研究人员披露一起与俄罗斯关联的钓鱼攻击活动，使用两款全新恶意软件家族 BadPaw 和 MeowMeow 针对乌克兰组织。攻击链以携带 ZIP 压缩包链接的钓鱼邮件开始。打开后，一个 HTA 文件会显示一份乌克兰语的边境过境申请诱饵文档，同时在后台秘密启动感染链。 ClearSky 的报告写道：“攻击链始于一封包含 ZIP 压缩包链接的钓鱼邮件。解压后，初始 HTA 文件会显示一份用乌克兰语撰写的关于边境过境申请的诱饵文档，以欺骗受害者。与此同时，感染程序会下载基于.NET 的加载器 BadPaw。在建立 C2 通信后，该加载器会投放功能复杂的后门 MeowMeow。” 研究人员发现，这两款恶意软件均使用.NET Reactor 加壳工具增加分析与逆向难度，表明攻击者意图规避检测并实现长期驻留。 报告继续写道：“BadPaw 采用的另一层防护是使用.NET Reactor，这是一款用于.NET 程序集的商用保护与混淆工具。该加壳工具对底层代码进行混淆，阻碍静态分析与逆向工程。” 该恶意软件还包含多重防御机制。其组件仅在使用特定参数启动时才会激活，否则显示正常界面并执行无害代码。 MeowMeow 后门增加环境检测，扫描系统是否为虚拟机，以及是否存在 Wireshark、ProcMon、Fiddler 等分析工具。若检测到沙箱或研究环境，会立即停止运行以避免被分析。 ClearSky 研究人员高置信度将此次活动归为与俄罗斯相关的网络间谍组织，较低置信度归为 APT28。评估依据三点：针对乌克兰机构、代码中存在俄语痕迹、战术与俄罗斯过往网络行动一致（包括多阶段感染链、.NET 加载器）。 与此同时，攻击链会投放名为 BadPaw 的.NET 加载器，该加载器与远程服务器建立通信，获取并投放高级后门 MeowMeow。 该活动中置信度归为俄罗斯国家级威胁组织 APT28，依据是目标范围、诱饵的地缘政治属性，以及与俄罗斯过往网络行动的技术重合点。 ClearSky 的研究详细描述了多阶段感染链，该感染链始于通过乌克兰服务商 ukr [.] net 发送的钓鱼邮件，该服务商曾在俄罗斯的攻击活动中被滥用。邮件包含一个链接，首先加载追踪像素，受害者点击时通知攻击者，随后跳转到短链接，下载 ZIP 压缩包。 压缩包内是伪装成 HTML 文档的 HTA 文件。执行时会打开关于乌克兰边境过境申请的诱饵文档，同时静默启动恶意流程。该 HTA 通过检查系统安装日期进行反分析，若为新近安装系统则终止运行，这是常见的沙箱规避手段。 报告继续写道：“释放的诱饵文档属于社会工程手段，显示为乌克兰边境过境政府申请的回执确认。该诱饵用于维持合法外观，而 HTA 文件在后台执行后续阶段。” “为规避检测并识别潜在沙箱环境，HTA 文件通过检查以下注册表项进行环境判断：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate 通过查询该值，恶意软件计算操作系统 “年龄”。若系统安装时间距运行不足 10 天，恶意软件直接退出。这是一种常见反分析技术，用于避免在新建虚拟机或自动化分析沙箱中运行。” 若条件满足，会查找原始压缩包，释放额外组件，并通过计划任务实现持久化。随后 VBS 脚本通过隐写术从图片中提取隐藏的载荷数据，释放出 PE 文件，研究人员确认为 BadPaw 加载器，该加载器最终投放 MeowMeow 后门并建立 C2 通信。 研究人员在恶意软件代码中发现俄语字符串，其中包括表示达到运行状态所需时间的内容。这些痕迹表明来源为俄罗斯，可能是操作安全（OPSEC）失误，或未针对乌克兰目标移除开发残留内容。 报告总结道：“这些俄语字符串的存在表明两种可能：威胁组织犯了操作安全错误，未针对乌克兰目标环境做代码本地化；或是在恶意软件制作阶段无意中留下了俄语开发痕迹。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Tycoon 2FA 是一款知名的钓鱼即服务（PhaaS）工具集，它允许网络犯罪分子大规模实施中间人（AitM）式凭证窃取攻击。如今，该平台已被多国执法机构与安全公司组成的联合行动小组摧毁。 这款基于订阅模式的钓鱼工具套件最早于 2023 年 8 月出现，欧洲刑警组织将其描述为全球规模最大的钓鱼犯罪活动之一。该工具通过 Telegram 和 Signal 出售，起步价为 10 天使用权 120 美元，或一个月网页版管理面板访问权限 350 美元。据称，Tycoon 2FA 的主要开发者是居住在巴基斯坦的萨阿德・弗里迪（Saad Fridi）。 该管理面板是配置、追踪和优化钓鱼活动的核心中枢。它内置预制模板、常用诱饵格式的附件文件、域名与托管配置、重定向逻辑以及受害者追踪功能。操作者还可以配置恶意内容通过附件进行分发的方式，并监控有效与无效的登录尝试。 窃取到的信息包括账号凭证、多因素认证（MFA）验证码和会话 Cookie 等，这些信息既可以在面板内直接下载，也可以转发到 Telegram 中进行近乎实时的监控。 欧洲刑警组织表示：“该平台使数千名网络犯罪分子能够秘密访问电子邮件和云服务账户。在大规模运作下，该平台每月生成数千万封钓鱼邮件，并协助攻击者未经授权访问全球近 10 万家机构，其中包括学校、医院和公共机构。” 作为此次联合行动的一部分，支撑该犯罪服务的 330 个核心域名（包括钓鱼页面和控制面板）已被关停。 情报机构 Intel 471 将 Tycoon 2FA 定性为 “危险” 平台，并表示该工具套件与超过 64,000 起钓鱼事件及数万个域名相关联，每月产生数千万封钓鱼邮件。微软公司正在以代号 Storm-1747 追踪该服务的运营者，微软称，Tycoon 2FA 成为其在 2025 年观测到的最活跃攻击平台，并促使其在 2025 年 10 月拦截了超过 1300 万封与该恶意软件服务相关的恶意邮件。 截至 2025 年年中，Tycoon 2FA 占到了微软拦截的所有钓鱼攻击尝试的约 62%，其中单月邮件量就超过 3000 万封。这家科技巨头补充称，自 2023 年以来，该服务已在全球造成约 96,000 名 distinct 钓鱼受害者，其中包括超过 55,000 名微软客户。 网络安全公司 SpyCloud 对受害者日志数据的地理分析显示，美国是已确认受害者最集中的地区（179,264 人），其次是英国（16,901 人）、加拿大（15,272 人）、印度（7,832 人）和法国（6,823 人）。 这家网络安全公司表示：“绝大多数被攻击的账户都是企业管理账户，或与付费域名相关联，这进一步证实了一个结论：Tycoon 2FA 主要针对商业环境，而非个人消费者账户。” 网络安全公司 Proofpoint 的数据显示，Tycoon 2FA 是流量规模最大的中间人钓鱼威胁来源。这家电子邮件安全厂商称，仅在 2026 年 2 月，它就监测到超过 300 万条与该钓鱼工具相关的消息。作为此次行动的私营部门合作伙伴之一，趋势科技（Trend Micro）指出，该钓鱼即服务平台拥有约 2000 名使用者。 利用 Tycoon 2FA 发起的钓鱼活动几乎不加区分地针对所有行业，包括教育、医疗、金融、非营利组织和政府部门。通过该工具发送的钓鱼邮件每月覆盖全球超过 50 万家机构。 微软表示：“Tycoon 2FA 平台使威胁行为人能够模仿微软 365、OneDrive、Outlook、SharePoint 和 Gmail 等服务的登录页面，从而冒充可信品牌。” “它还允许使用该服务的威胁行为人实现持久化控制，即使用户重置了密码，也能继续访问敏感信息，除非活跃会话和令牌被显式吊销。这种效果的实现原理是，在身份认证过程中拦截生成的会话 Cookie，同时捕获用户凭证。随后，多因素认证验证码会通过 Tycoon 2FA 的代理服务器中转到目标认证服务。” 该工具套件还采用了多种技术来规避检测，包括按键记录监控、反机器人筛选、浏览器指纹识别、高强度代码混淆、自建验证码、自定义 JavaScript 以及动态诱饵页面等。另一个关键特点是，它大量使用各类顶级域名（TLD）和短期有效完全限定域名（FQDN），并依托 Cloudflare 搭建钓鱼基础设施。 这些完全限定域名通常仅存活 24 到 72 小时，这种快速轮换是故意为之，目的是增加检测难度，并阻止安全机构建立可靠的拦截黑名单。微软还将 Tycoon 2FA 的成功归因于其高度模仿合法认证流程，从而隐秘拦截用户凭证和会话令牌。 更糟糕的是，Tycoon 2FA 的客户还使用一种名为 “账户接管跳跃”（ATO Jumping）的技术，即利用已攻陷的电子邮件账户分发 Tycoon 2FA 钓鱼链接，并尝试发起更多账户接管攻击。Proofpoint 指出：“使用这种技术能让邮件看起来像是真正来自受害者信任的联系人，从而提高攻击成功的可能性。” 像 Tycoon 这样的钓鱼工具套件在设计上具备高度灵活性，既能让技术能力不强的攻击者轻松使用，同时也能为更有经验的操作者提供高级功能。 Proofpoint 高级威胁研究员赛琳娜・拉尔森（Selena Larson）在向《黑客新闻》提供的声明中表示：“2025 年，99% 的机构遭遇了账户接管攻击尝试，67% 的机构发生了成功的账户接管事件。在这些被攻陷的账户中，59% 已经启用了多因素认证。虽然并非所有这些攻击都与 Tycoon 2FA 有关，但这一数据凸显了中间人钓鱼对企业造成的巨大影响。” “这些能够实现完全账户接管的网络攻击可能导致灾难性后果，包括勒索软件感染或敏感数据泄露。随着威胁行为人持续将身份攻击作为重点，获取企业电子邮件账户的访问权限，往往是一条可能带来毁灭性后果的攻击链的第一步。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国新泽西州最大的县之一正遭受网络攻击，全县政府部门电话线路与 IT 系统均受影响中断。 位于新泽西州北部、人口近 60 万的帕塞伊克县（Passaic County）于周三晚间发布公告，告知居民该县遭遇恶意软件攻击，IT 系统与电话线路受影响。 该县表示：“我们正与联邦及州政府官员合作，调查并控制此次事件。” 该县周三上午首次通报电话线路中断，下午确认故障由网络攻击导致。 在 2023 至 2025 年针对大型都会区的多起勒索软件攻击后，网络犯罪团伙现已将目标转向中小型地方政府。2026 年至今，已有数十个县市成为攻击目标，包括佛罗里达州、康涅狄格州和西弗吉尼亚州的多个城市。 除地方政府外，近几周多家医院也成为黑客攻击目标。密西西比州一家大型医院遭勒索软件攻击后，经过数周恢复，终于在周一恢复正常运营；此前该院系统长期中断、停诊并取消大量预约。 帕塞伊克县官员表示：“新泽西州其他多个地方政府也遭遇过类似事件”，这很可能指此前曾遭勒索软件攻击的萨默塞特县、卡姆登县、伯根县、蒙特克莱尔镇和霍博肯市。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个疑似与伊朗相关的威胁组织，通过冒充伊拉克外交部，针对伊拉克政府官员发动攻击并投放多款全新恶意软件。 Zscaler ThreatLabz 于 2026 年 1 月监测到该活动，并将其命名为 Dust Specter 进行追踪。攻击通过两条不同的感染链展开，最终投放 SPLITDROP、TWINTASK、TWINTALK 和 GHOSTFORM 恶意软件。 安全研究员 Sudeep Singh 表示：“Dust Specter 使用随机生成的 URI 路径与 C2 服务器通信，并在路径后附加校验值，确保请求来自真实受感染系统。C2 服务器还使用了地理围栏与 User‑Agent 校验。” 此次攻击的一个显著特点是：攻击者攻陷伊拉克政府相关基础设施，用于投放恶意载荷，同时还使用规避技术延迟执行，以躲避检测。 第一条攻击链以加密 RAR 压缩包开始，其中包含名为 SPLITDROP 的 .NET 加载器，它负责加载工作模块 TWINTASK 与 C2 协调模块 TWINTALK。 TWINTASK 是恶意 DLL（libvlc.dll），通过合法 vlc.exe 进行 DLL 侧加载。它每 15 秒轮询 C:\ProgramData\PolGuid\in.txt 获取新指令，并通过 PowerShell 执行，还包含通过修改注册表实现持久化的指令。脚本输出与错误信息记录在 out.txt 中。 TWINTASK 首次运行时会执行压缩包内合法程序 WingetUI.exe，使其侧加载 TWINTALK 的 DLL（hostfxr.dll）。其主要功能是与 C2 通信获取指令、与 TWINTASK 协同，并回传执行结果。支持将 C2 指令写入 in.txt，并支持文件上传与下载。 Singh 表示：“C2 协调模块与工作模块并行运行，通过文件轮询机制执行指令。TWINTALK 运行后进入心跳循环，随机延迟后再轮询 C2 获取指令。” 第二条攻击链是第一条的升级版，将 TWINTASK 与 TWINTALK 全部功能整合为单一程序 GHOSTFORM。它使用内存中直接执行 PowerShell 的方式运行来自 C2 的指令，从而避免在磁盘上留下痕迹。 这并非两条攻击链的唯一区别。部分 GHOSTFORM 样本内置硬编码 Google 表单地址，运行后会自动用默认浏览器打开。表单为阿拉伯语内容，伪装成伊拉克外交部官方调查问卷。 Zscaler 对 TWINTALK 与 GHOSTFORM 源码分析发现，其中存在占位符、表情符号与 Unicode 文本，表明攻击者可能使用生成式 AI辅助开发恶意软件。 此外，与 TWINTALK 关联的 C2 域名 meetingapp[.]site，已被 Dust Specter 在 2025 年 7 月攻击中用于搭建伪造的 Webex 会议邀请页面，诱导用户复制粘贴并运行 PowerShell 脚本 “加入会议”。该手法与 ClickFix 式社会工程攻击高度一致。 该 PowerShell 脚本会创建目录，从同一域名下载载荷并保存为可执行文件，同时创建计划任务每两小时运行该恶意程序。 Dust Specter 与伊朗关联的依据是：伊朗黑客组织长期使用轻量级自定义 .NET 后门。攻陷伊拉克政府基础设施的手法，也与 OilRig（APT34）等伊朗系组织过往攻击一致。 Zscaler 表示：“本次活动中高置信度归属 Dust Specter，通过高度仿真的社会工程诱饵冒充伊拉克外交部攻击政府官员。该活动也反映出主流趋势：ClickFix 式攻击手法与生成式 AI 在恶意软件开发中的广泛使用。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

在快速扩张的开源生态背景下，安全治理机制往往滞后于功能演进节奏，导致阶段性风险集中暴露。因此，有必要对 OpenClaw 当前的安全现状与公开安全事件进行系统性梳理与客观分析。

Researchers at Check Point have disclosed that since the eruption of hostilities on February 28th, a coalition of

The post Digital Reconnaissance: Iran-Aligned Hackers Hijack Middle Eastern Surveillance Grids Ahead of Kinetic Strikes appeared first on Penetration Testing Tools.

A vulnerability described as problematic has been identified in SEPPmail Secure Email Gateway up to 15.0.0. The impacted element is an unknown function of the component PGP Message Handler. The manipulation results in information disclosure. This vulnerability is identified as CVE-2026-2747. The attack can be executed remotely. There is not any exploit available. Upgrading the affected component is recommended.

A vulnerability was found in SEPPmail Secure Email Gateway up to 15.0.0. It has been classified as problematic. This vulnerability affects unknown code of the component PGP Signature Handler. This manipulation causes improper verification of cryptographic signature. This vulnerability appears as CVE-2026-27445. The attack may be initiated remotely. There is no available exploit. Upgrading the affected component is recommended.

A vulnerability was found in SEPPmail Secure Email Gateway up to 15.0.0. It has been declared as critical. This issue affects some unknown processing of the component SMIME Handler. Such manipulation leads to improper certificate validation. This vulnerability is traded as CVE-2026-2748. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability labeled as problematic has been found in SEPPmail Secure Email Gateway up to 15.0.0. This affects an unknown function of the component PGP Handler. The manipulation results in improper verification of cryptographic signature. This vulnerability was named CVE-2026-2746. The attack may be performed from remote. There is no available exploit. The affected component should be upgraded.

A vulnerability was found in Nozomi Arc up to 2.1.x. It has been rated as critical. This affects an unknown function. The manipulation leads to improper certificate validation. This vulnerability is traded as CVE-2025-40896. It is possible to initiate the attack remotely. There is no exploit available. Upgrading the affected component is advised.

A vulnerability categorized as problematic has been discovered in Nozomi Guardian and CMC up to 25.5.x. This impacts an unknown function of the component Alerted Nodes Dashboard. The manipulation results in cross site scripting. This vulnerability is known as CVE-2025-40894. It is possible to launch the attack remotely. No exploit is available. It is advisable to upgrade the affected component.

A vulnerability has been found in SUSE Rancher up to 6.0.2/7.0.4/8.1.1/9.0.0 and classified as problematic. Affected is an unknown function. The manipulation leads to sensitive information in log files. This vulnerability is listed as CVE-2025-62879. The attack may be initiated remotely. There is no available exploit. The affected component should be upgraded.

A vulnerability was found in 2N Telekomunikace 2N Access Commander up to 3.4.1 and classified as critical. Affected by this vulnerability is an unknown functionality of the component API Endpoint. The manipulation results in os command injection. This vulnerability is cataloged as CVE-2025-59783. The attack may be launched remotely. There is no exploit available. It is suggested to upgrade the affected component.

A vulnerability was found in 2N Telekomunikace 2N Access Commander up to 3.4. It has been declared as problematic. This affects an unknown part of the component Password Policy Handler. Such manipulation leads to improper validation of syntactic correctness of input. This vulnerability is documented as CVE-2025-59785. The attack can be executed remotely. There is not any exploit available. It is recommended to upgrade the affected component.

A vulnerability identified as problematic has been detected in 2N Telekomunikace 2N Access Commander up to 3.4. Impacted is an unknown function. The manipulation leads to improper check or handling of exceptional conditions. This vulnerability is traded as CVE-2025-59787. It is possible to initiate the attack remotely. There is no exploit available. You should upgrade the affected component.

A vulnerability, which was classified as problematic, has been found in 2N Telekomunikace 2N Access Commander up to 3.4. Affected by this vulnerability is an unknown functionality. The manipulation leads to session expiration. This vulnerability is referenced as CVE-2025-59786. Remote exploitation of the attack is possible. No exploit is available. It is advisable to upgrade the affected component.

A vulnerability identified as problematic has been detected in Checkmk up to 2.2.0/2.3.0p42/2.4.0p22. Affected is the function remove_password. This manipulation causes incorrect authorization. This vulnerability is handled as CVE-2026-3103. The attack can be initiated remotely. There is not any exploit available. You should upgrade the affected component.