HackerNews 编译，转载请注明出处： 网络安全研究人员发现了首个在真实环境中监测到的恶意微软 Outlook 插件。 在 Koi 安全公司披露的这起非常规供应链攻击中，未知攻击者认领了与一款已弃用的合法插件关联的域名，用于投放伪造微软登录页面，在此过程中窃取了超 4000 条用户凭据。该网络安全公司将此次攻击活动代号定为 AgreeToSteal。 涉事 Outlook 插件名为 AgreeTo，开发者宣传其可帮助用户在同一平台整合不同日历，并通过邮件共享日程可用性。该插件最后一次更新时间为 2022 年 12 月。 Koi 公司联合创始人兼首席技术官 Idan Dardikman 表示，此次事件标志着供应链攻击向量的进一步扩大。 Dardikman 称：“这类攻击与我们在浏览器扩展、npm 包、IDE 插件中见到的属于同一类型：依托受信任的分发渠道，内容却可在审核通过后被篡改。” “Office 插件之所以格外令人担忧，是多重因素叠加所致：插件运行在用户处理最高敏感通信的 Outlook 内，可申请读写与修改邮件的权限，且通过微软官方应用商店分发，自带天然信任属性。” “AgreeTo 事件还带来了新的问题维度：原开发者并无任何过错，他们开发了合法产品后便不再维护。攻击利用了开发者弃用项目与平台察觉之间的时间差。所有托管远程动态依赖项的应用商店都存在此类风险。” 该攻击的核心是利用了 Office 插件的运行机制，以及应用商店对已上架插件缺乏定期内容监控的漏洞。 根据微软官方文档，插件开发者需创建账号并将产品提交至合作伙伴中心，随后通过审核流程方可上架。 此外，Office 插件依赖清单文件声明 URL，每次在应用内的内嵌框架中打开插件时，都会从开发者服务器实时拉取并展示对应内容。但现有机制无法阻止恶意分子接管已过期的域名。 在 AgreeTo 事件中，插件清单文件指向一个托管在 Vercel 平台的 URL（outlook-one.vercel.app），该插件约 2023 年成为弃用软件，开发者删除 Vercel 部署后，该域名便可被他人认领。截至本文撰写时，该恶意基础设施仍在运行。 攻击者利用这一机制在该 URL 上架设钓鱼工具包，展示伪造的微软登录页面，捕获用户输入的密码，通过电报机器人 API 窃取信息，最终将受害者重定向至真实的微软登录页面。 但 Koi 公司警示称，此次事件本可能造成更严重的后果。 鉴于该插件配置了 “读写项目” 权限，可读写并修改用户邮件，威胁行为者本可利用这一防御盲区部署 JavaScript 代码，隐秘窃取受害者邮箱内容。 该发现再次凸显出对应用商店与代码仓库中上传的程序包和工具进行重新扫描、标记恶意 / 可疑行为的必要性。 Dardikman 表示，微软仅在插件初次提交时审核清单文件，一旦通过签名审核，便无法管控插件每次打开时从开发者服务器实时拉取的实际内容。因此，对 URL 实际加载内容缺乏持续监控，为非预期的安全风险埋下了隐患。 Dardikman 补充道：“Office 插件与传统软件有着本质区别。” “它们不搭载静态代码包，清单文件仅声明一个 URL，而该 URL 在任意时刻加载的内容，都会直接在 Outlook 中运行。” 在 AgreeTo 事件中，微软于 2022 年 12 月对清单文件完成签名，指向 outlook-one.vercel.app。如今该 URL 正投放钓鱼工具包，而插件仍在应用商店中上架。 为应对该威胁引发的安全问题，Koi 公司向微软提出多项整改建议： ·     当插件 URL 返回内容与审核时不一致时，触发重新审核。 ·     验证域名所有权，确保由插件开发者管理，并标记域名基础设施已变更归属的插件。 ·     建立机制，对超过一定时长未更新的插件进行下架或标记处理。 ·     展示插件安装量，用于评估影响范围。 值得注意的是，此类问题并非仅存在于微软应用商店或 Office 应用商店。 上月，Open VSX 宣布计划在微软 VS Code 扩展程序上架开源仓库前强制执行安全检测。微软 VS Code 应用商店也会对仓库中的所有程序包进行定期批量重新扫描。 Dardikman 称：“所有托管远程动态依赖项的应用商店都存在相同的结构性问题：一次审核，永久信任。” “各平台的具体机制虽有不同，但只要应用商店仅在提交时审核清单文件，却不监控后续关联 URL 的实际加载内容，就会存在催生 AgreeTo 这类攻击的核心漏洞。”       消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全领域出现了两种复杂的勒索软件家族：BQTLock 和 GREENBLOOD。它们采用截然不同的策略来破坏企业运营并勒索受害者。 虽然典型的勒索软件攻击通常遵循可预测的模式，即立即加密，但这些新型勒索软件展现了策略上的危险演变。 BQTLock 优先考虑隐蔽性和间谍活动，在文件被锁定之前，就能有效地将初始感染转化为数据泄露风险。 相反，GREENBLOOD 的设计目标是极致速度，它利用 Go 编程语言在执行后几分钟内即可加密系统并删除取证证据。 这些威胁的攻击途径在操作目标上存在显著差异。 BQTLock 在早期阶段的运行方式很像一个隐蔽的监视工具，它会将自身深度嵌入到合法的系统进程中，以避免触发安全警报。 这使得攻击者能够长期保持访问权限并窃取敏感信息而不被立即发现。 相比之下，GREENBLOOD 采用“突袭式”攻击策略，利用快速的 ChaCha8 加密技术瞬间瘫痪网络，同时通过基于 TOR 的泄露站点施加压力。 这种双重性给防御者带来了复杂的挑战，他们现在必须同时应对缓慢的间谍活动和高速的破坏。 Any.Run 分析师在最近的沙箱测试中发现了这些不同的行为，并指出有效的遏制措施需要在加密发生之前发现攻击。 借助 ANY.RUN 交互式沙箱，分析师能够实时观察完整的攻击行为链。查看 BQTLock 的完整执行链 BQTLock 攻击在沙箱中完全暴露（来源：Any.Run） 在 ANY.RUN 交互式沙箱中，勒索软件的行为和清理活动在执行过程中即可被观察到，从而能够在攻击最关键的阶段进行早期检测。 他们的研究强调，早期行为指标（例如意外的进程注入或快速的文件修改）通常是造成重大损害之前唯一可用的预警信号。查看 GREENBLOOD 的完整攻击链。 GREENBLOOD 在沙箱中暴露（来源：Any.Run） 通过在受控环境中观察这些攻击链，安全团队可以从被动恢复转向主动遏制，在威胁站稳脚跟之前将其阻止。 BQTLock 的规避和持久化机制 BQTLock 的独特之处在于其高度技术化的感染链，旨在绕过标准防御。恶意软件执行后不会立即勒索设备。 相反，它会将 Remcos 有效载荷直接注入到 Windows 核心进程 explorer.exe 中。 这种技术使恶意代码能够伪装成合法的系统活动，有效地绕过信任标准操作系统进程的传统防病毒工具。 通过这种隐蔽的方式，攻击者可以在网络中自由穿梭并提升权限而不引起注意。 为了确保对受感染机器的控制权，BQTLock 使用 fodhelper.exe 绕过用户帐户控制 (UAC)。 这种特殊操作会在未经用户许可的情况下授予恶意软件更高的管理员权限。 权限提升后，它会建立自动运行持久性，确保恶意访问在系统重启后仍然存在。 这种牢固的访问权限使攻击者能够进入第二阶段：窃取凭据并捕获屏幕截图，从而最大限度地提高勒索的筹码。 BQTLock 窃取凭据（来源：Any.Run） 建议安全专业人员关注行为监控，而不仅仅是静态文件签名。 检测 explorer.exe 和 fodhelper.exe 之间的特定交互可以作为针对此恶意软件的高保真警报。 入侵指标 (IOC)（来源：Any.Run） 此外，各组织应确保其威胁情报源已更新，以便识别与这些新型恶意软件家族相关的独特命令行参数和基础架构，从而防止重复感染。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2026 年 2 月 10 日，微软 Word 一款高危零日漏洞被披露，漏洞编号为 CVE-2026-21514，可使攻击者绕过核心安全防护机制。 该漏洞已遭在野主动利用，CVSS 3.1 基础评分为 7.8 分，时序评分为 7.2 分。 CVE-2026-21514 利用了微软 Word 基于不可信输入处理安全决策时的缺陷，漏洞分类为 CWE-807。 该漏洞可专门绕过微软为防范恶意 COM/OLE 控件而部署的对象链接与嵌入（OLE）缓解措施。 此类 OLE 控件可支持文档嵌入外部对象并与之交互，而校验机制缺失使攻击者能够绕过防护措施。 攻击向量与利用原理 该漏洞攻击向量为本地（AV:L），攻击复杂度低（AC:L），无需权限（PR:N），但需要用户交互（UI:R）。 攻击者需制作特制 Office 文档，通过钓鱼邮件或其他社会工程学手段诱骗受害者打开。 漏洞利用范围未扩大（S:U），即受漏洞影响的组件不会超出其安全权限范围影响其他资源。 与传统会触发安全告警的宏攻击不同，CVE-2026-21514 可完全绕过此类防护。 用户打开恶意文档时，漏洞利用程序会直接执行，不会弹出常规的 “启用内容” 提示或保护视图告警。 该漏洞利用代码成熟度为可利用（E:F），表明有效利用代码已存在并应用于真实攻击。 该漏洞影响多款 Office 版本，包括微软 365 企业版应用（32 位与 64 位）、Office LTSC 2021/2024 版，以及 Mac 版 Office LTSC 2021/2024。 微软已通过 Windows 版即点即用更新、Mac 系统 16.106.26020821 版本推送官方修复程序。 美国网络安全和基础设施安全局（CISA）要求联邦机构在 2026 年 3 月 3 日前完成该漏洞修复，足见其高危性。 机构应立即部署可用安全更新，部署邮件过滤规则拦截可疑 Office 文档，并对用户开展非邀约附件打开安全培训。 完成补丁修复前，可通过组策略设置限制 OLE 对象执行。 谷歌威胁情报团队与微软内部安全团队的安全研究人员合作发现并修复了该威胁。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布紧急安全更新，修复 Windows 桌面窗口管理器（DWM）中的一处高危零日漏洞。 该漏洞编号为 CVE-2026-21519，目前已遭在野利用，攻击者可借此完全控制受影响系统。 桌面窗口管理器（dwm.exe）是 Windows 核心系统进程，负责在屏幕上渲染各类视觉效果。包括透明窗口、实时任务栏缩略图，以及高分辨率显示器支持。 由于该进程管理整个视觉界面，因此在所有现代 Windows 版本中都会在后台持续运行。这种逻辑不匹配会导致程序向错误的内存位置读写数据，引发系统崩溃，或在本漏洞中导致安全突破。 在 CVE-2026-21519 漏洞中，攻击者可利用该逻辑缺陷，诱骗桌面窗口管理器进程执行恶意代码。 由于桌面窗口管理器与操作系统内核深度交互，成功利用该漏洞可使本地攻击者将权限从普通用户提升至系统（SYSTEM）级别。 系统权限可提供完整的管理控制权，攻击者可安装程序、查看或删除数据，并创建拥有完全权限的新账户。 微软将该漏洞评级为 “重要”，CVSS 评分为 7.8 分，并在 2 月安全更新中完成修复。 尽管攻击者需要获得设备本地访问权限（即已登录或攻陷低权限账户），但攻击操作简单，且无需用户交互。 该漏洞影响大量 Windows 版本，包括： 鉴于该漏洞正遭主动利用，强烈建议用户与管理员立即安装 2026 年 2 月安全更新。 官方修复程序可通过 Windows 更新与微软更新目录获取。抵御该攻击必须安装操作系统补丁，目前暂无已知有效缓解措施。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度国防领域及政府关联机构遭多轮攻击活动盯上，攻击者通过远程访问木马攻陷 Windows 与 Linux 环境，窃取敏感数据并维持对受感染主机的持久控制。 此类攻击活动以使用 Geta RAT、Ares RAT、DeskRAT 等恶意软件家族为特征，这些工具通常关联亲巴基斯坦的威胁组织 SideCopy 与 APT36（又称透明部落）。SideCopy 至少自 2019 年起活跃，据评估为透明部落的分支组织。 Aryaka 公司安全工程与人工智能战略副总裁 Aditya K. Sood 表示：“整体来看，这些攻击延续了惯用模式但持续迭代升级。” “透明部落与 SideCopy 并非重构间谍攻击模式，而是对其不断优化。” “通过扩大跨平台覆盖范围、采用内存驻留技术、尝试新型投放向量，该攻击体系在保持战略目标的同时，始终隐蔽作案。” 所有攻击活动的共性是使用钓鱼邮件，搭载恶意附件或内嵌下载链接，将目标导向攻击者控制的基础设施。这类初始入侵载体为 Windows 快捷方式（LNK）、ELF 二进制文件、PowerPoint 插件文件，一旦被打开，便会启动多级流程释放木马。 上述恶意软件家族可实现持久远程控制、系统侦察、数据收集、指令执行，支持在 Windows 与 Linux 环境中开展长期入侵后操作。 其中一条攻击链如下：恶意 LNK 文件调用 mshta.exe，执行托管在被攻陷合法域名上的 HTML 应用（HTA）文件。该 HTA 载荷内嵌 JavaScript 用于解密嵌入的 DLL 载荷，DLL 进一步处理内嵌数据块，将诱饵 PDF 写入磁盘，连接硬编码的命令与控制（C2）服务器，并展示该诱饵文件。 诱饵文档展示后，恶意软件会检测已安装的安全产品，调整持久化方式，随后在受感染主机部署 Geta RAT。值得注意的是，该攻击链由 CYFIRMA 与 Seqrite 实验室研究员 Sathwik Ram Prakki 于 2025 年 12 月下旬详细披露。 Geta RAT 支持多项指令，可采集系统信息、枚举运行进程、终止指定进程、列出已安装应用、窃取凭据、获取并替换剪贴板内容、截屏、执行文件操作、运行任意 Shell 指令、窃取外接 USB 设备数据。 与针对 Windows 的攻击同步开展的还有 Linux 版本攻击，攻击者以 Go 语言二进制文件为起点，通过从外部服务器下载的 Shell 脚本释放基于 Python 的 Ares RAT。与 Geta RAT 类似，Ares RAT 可执行多项指令窃取敏感数据，运行攻击者下发的 Python 脚本或指令。 Aryaka 公司表示，还监测到另一起攻击活动：攻击者通过恶意 PowerPoint 插件文件投放 Go 语言编写的 DeskRAT，插件运行内嵌宏代码与远程服务器建立外连，下载恶意软件。2025 年 10 月，Sekoia 与奇安信威胁研究中心已披露 APT36 使用 DeskRAT 的相关情况。 “这些攻击表明，具备充足资源、以间谍活动为目的的威胁组织，通过国防主题诱饵、伪造官方文件、区域可信基础设施，精准靶向印度国防、政府及战略部门。” “攻击范围已超出国防领域，蔓延至政策、科研、关键基础设施及同一可信生态内的国防关联机构。” “同步部署 DeskRAT、Geta RAT 与 Ares RAT，凸显出攻击者的武器库持续迭代，专为隐蔽性、持久化与长期控制优化。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已修复 Windows 11 记事本中的一处 “远程代码执行” 漏洞，该漏洞可使攻击者诱骗用户点击特制的 Markdown 链接，从而执行本地或远程程序，且不会弹出任何 Windows 安全警告。 自 Windows 1.0 发布起，微软推出了记事本这款简单易用的文本编辑器，多年来，它被广泛用于快速记录笔记、阅读文本文件、创建待办事项，或作为简易代码编辑器使用。 若用户需要支持不同字体、字号，以及粗体、斜体、列表等格式工具的富文本格式（RTF）编辑器，可使用 Windows 写字板，后续则是 WordPad。 但随着 Windows 11 的发布，微软决定停止维护 WordPad 并将其从系统中移除。 微软转而对记事本进行现代化重写，使其兼具简易文本编辑器与富文本编辑器功能，并新增 Markdown 支持，用户可实现文本格式化与插入可点击链接。 Markdown 支持意味着记事本可打开、编辑并保存 Markdown 文件（.md），这类纯文本文件通过简易符号实现文本格式化、列表与链接展示。 微软修复 Windows 记事本远程代码执行漏洞 在 2026 年 2 月补丁星期二更新中，微软披露已修复记事本的一处高危远程代码执行漏洞，漏洞编号为 CVE-2026-20841。 微软安全公告说明：“Windows 记事本应用对命令中特殊元素处理不当（命令注入），可使未授权攻击者通过网络执行代码。” 微软将该漏洞发现归功于 Cristian Papa、Alasdair Gorniak 与 Chen，并称攻击者可通过诱骗用户点击恶意 Markdown 链接实施利用。 微软解释：“攻击者可诱骗用户点击记事本中打开的 Markdown 文件内的恶意链接，使应用启动未验证的协议，加载并执行远程文件。” 公告补充：“恶意代码将以打开该 Markdown 文件的用户安全上下文执行，攻击者将获得与该用户相同的权限。” 该漏洞的新颖性迅速引发社交媒体关注，网络安全研究人员快速摸清其原理与简易的利用方式。 攻击者只需创建 test.md 这类 Markdown 文件，构造指向可执行文件的 file:// 链接，或 ms-appinstaller:// 等特殊统一资源标识符（URI）即可。 用于创建可执行文件或应用安装链接的 Markdown（来源：BTtea） 若用户在 11.2510 及更早版本的 Windows 11 记事本中打开该 Markdown 文件，并以 Markdown 模式查看，上述文本会显示为可点击链接。按住 Ctrl 键点击该链接，文件会自动执行，且系统不会向用户弹出警告。 程序无警告执行，正是微软认定的远程代码执行漏洞核心问题。 Windows 11 命令提示符无警告启动（来源：BTtea） 该漏洞还可能使攻击者构造指向远程 SMB 共享文件的链接，实现无警告执行。 经科技媒体 BleepingComputer 测试，微软现已修复该 Windows 11 记事本漏洞，对非 http:// 或 https:// 协议的链接点击行为弹出警告。 Windows 11 记事本打开非标准 URL 时弹出警告（来源：BleepingComputer） 如今点击 file:、ms-settings:、ms-appinstaller、mailto:、ms-search: 等其他类型 URI 链接时，记事本均会弹出上述对话框。 但目前尚不清楚微软为何未直接禁用非标准链接，攻击者仍可通过社会工程学诱骗用户在提示框中点击 “是”。 好消息是，Windows 11 会通过微软应用商店自动更新记事本，该漏洞除技术新颖性外，大概率不会造成实际影响。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型复杂网络威胁已出现，攻击者通过被攻陷的镜像网站与 GitHub 仓库，针对多操作系统用户发动攻击。 RU-APT-ChainReaver-L 攻击活动是近期发现的最精密供应链攻击之一，同时波及 Windows、macOS 与 iOS 平台。 该攻击活动运用多项先进技术，包括使用有效证书进行代码签名、欺骗性重定向链，以及通过合法云服务分发恶意软件，导致传统安全系统极难检测。 此次攻击的基础设施具备惊人的规模与复杂度。攻击者攻陷了两大主流文件共享镜像服务 Mirrored.to 与Mirrorace.org，二者被全球各类软件下载网站广泛使用。 通过向这些平台注入恶意代码，威胁行为者将受信任的基础设施转化为信息窃密恶意软件的投放渠道。 用户通过这些被攻陷的服务下载文件时，会经过多层中间页面重定向，此类设计可绕过安全检测，同时保持外观合法。 GRAPH 分析师在调查暗网市场中大量流出的用户凭据时，发现了该攻击活动。 研究团队将这些被盗账号溯源至一场已持续数月的协同式感染行动。 借助扩展检测与响应（XDR）平台与威胁狩猎行动，GRAPH 研究人员发现了涵盖超 100 个域名的攻击基础设施，包括命令与控制服务器、感染页面与重定向中介。 攻击运营者持续更新工具与基础设施，短时间内修改恶意软件特征码与投放方式，以规避杀毒软件检测。 攻击方式会根据受害者的操作系统有所不同。Windows 用户会被重定向至 MediaFire、Dropbox 等云存储服务，加密压缩包内包含带签名的恶意软件，可在安全软件面前伪装成合法程序。 macOS 受害者会遭遇 ClickFix 攻击，欺骗性页面诱骗用户手动执行终端命令，下载并安装 MacSync 窃密木马。 iOS 用户会被引导至苹果应用商店的虚假 VPN 应用，这些应用后续会对设备发起钓鱼攻击。 GitHub 滥用与恶意软件功能 该攻击对 GitHub 的利用，体现出攻击者对安全团队防御盲区的精准把握。 GRAPH 研究人员指出，攻击者攻陷了 50 个 GitHub 账号，其中多数为多年注册、有正常使用记录的账号，并用其托管恶意仓库。 这些账号大多在 2025 年 11 月被劫持，被用于分发破解软件与激活工具，专门针对搜索盗版软件的用户。 攻击流程（来源：GRAPH） Windows 端恶意软件为信息窃密程序，可截取屏幕、窃取加密货币钱包数据、聊天软件数据库、浏览器凭据，并复制桌面、文档、下载文件夹中的文件。 GRAPH 分析师指出，样本搭载来自多家企业的有效代码签名证书，大幅增加了检测难度。 MIRRORACE.org 供应链攻击（来源：GRAPH） macOS 版 MacSync 窃密木马采用无文件内存运行模式，可窃取浏览器数据、Ledger 与 Trezor 等加密货币钱包、SSH 密钥及 AWS 云凭证。 机构应部署全面的防御策略。攻击依托社会工程学实施，因此用户安全教育是最关键的防御环节。 安全团队应部署多层终端防护，包括可检测异常进程行为与可疑文件访问模式的 EDR 系统。 网络监控应重点关注与文件共享服务、新注册域名的连接。 机构应限制用户系统直接访问互联网，将下载流量引流至具备静态分析、动态分析与机器学习能力的文件分析平台。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜相关信息技术人员目前正冒用他人真实 LinkedIn 账号申请远程岗位，标志着该欺诈计划出现新一轮升级。 安全联盟（SEAL）在社交平台 X 的多篇帖文中表示：“这些伪造账号通常带有认证工作邮箱与身份徽章，朝鲜特工希望借此让欺诈性求职申请显得真实合规。” 此类 IT 人员攻击是朝鲜长期运作的行动，特工使用被盗或伪造身份伪装成远程工作者，谋求入职西方及其他地区企业。 该威胁同样被广大网络安全社区以 Jasper Sleet、PurpleDelta 和 Wagemole 为代号进行追踪。此类行动的最终目的分为两方面：一是获取稳定收入来源为朝鲜武器计划提供资金，二是通过窃取敏感数据实施间谍活动，部分情况下还会进一步索要赎金以避免信息泄露。 上月，网络安全公司 Silent Push 将朝鲜远程人员计划称为该国政权的 “高流量收入引擎”，威胁行为者借此还能获取敏感代码库的管理员权限，并在企业基础设施中实现无文件持久化驻留。 区块链分析公司 Chainalysis 在 2025 年 10 月发布的报告中指出：“朝鲜 IT 人员在收到薪资后，会通过多种洗钱手法转移加密货币。” “这些 IT 人员及其洗钱同伙切断链上资金来源与去向关联的手段之一，是通过链间跳转和 / 或代币兑换。” 他们利用去中心化交易所、跨链桥协议等智能合约增加资金追踪难度。 为应对该威胁，建议怀疑身份被用于欺诈求职的个人在社交媒体账号发布警示声明，同时列明官方沟通渠道与身份验证方式（如公司邮箱）。 安全联盟表示：“务必验证求职者所列账号由其提供的邮箱实际控制。” “要求对方在 LinkedIn 与你建立联系这类简单核查，即可验证其对账号的所有权与控制权。” 该信息披露之际，挪威警察安全局（PST）发布公告称，过去一年已获悉 “多起” 挪威企业遭朝鲜 IT 人员欺诈计划影响的案件。 挪威警察安全局上周表示：“这些企业受骗雇佣了疑似朝鲜 IT 人员担任居家办公岗位。” “朝鲜相关人员通过此类岗位获得的薪资，大概率被用于资助该国武器及核武器计划。” 与 IT 人员计划同步推进的还有一项名为 “感染性面试” 的社会工程学攻击活动，攻击者在领英以招聘名义接触目标后，通过伪造招聘流程诱骗目标参与面试。 当伪装成招聘人员与招聘经理的攻击者要求目标完成技能评估并最终执行恶意代码时，攻击进入恶意阶段。 在一起模仿数字资产基础设施公司 Fireblocks 招聘流程、针对技术人员的招聘伪装攻击中，威胁行为者要求求职者克隆 GitHub 仓库并执行命令安装 npm 包，从而触发恶意程序运行。 安全研究员 Ori Hershko 表示：“该攻击还使用了 EtherHiding 新型技术，利用区块链智能合约托管与调取命令与控制基础设施，提升恶意载荷的抗查封能力。”“这些操作会触发隐藏在项目中的恶意代码执行。” 执行安装流程会导致恶意程序在受害者系统中下载并运行，为攻击者在目标设备中建立立足点。 据 Abstract Security 与 OpenSourceMalware 报告，近月监测到 “感染性面试” 攻击新变种利用恶意微软 VS Code 任务文件，执行伪装成网页字体的 JavaScript 恶意程序，最终部署 BeaverTail 与 InvisibleFerret 恶意软件，实现持久化访问并窃取加密货币钱包与浏览器凭据。 Panther 安全公司记录的该入侵活动另一变种，疑似通过恶意 npm 包，借助加载器部署名为 Koalemos 的模块化 JavaScript 远程访问木马（RAT）框架。 该远程访问木马会进入信标循环，从外部服务器获取任务并执行，发送加密响应，随机休眠一段时间后重复该流程。 它支持 12 种指令，可执行文件系统操作、文件传输、信息探测指令（如主机信息查询）及任意代码执行。 与该活动相关的部分程序包名称如下： ·     env-workflow-test ·     sra-test-test ·     sra-testing-test ·     vg-medallia-digital ·     vg-ccc-client ·     vg-dev-env 安全研究员 Alessandra Rizzo 表示：“初始加载器会先执行基于 DNS 的执行门控与活动日期验证，再下载并以独立进程启动远程访问木马模块。” Koalemos 会采集系统指纹，建立加密的命令与控制通信，并提供完整远程访问能力。 Labyrinth Chollima 分化为专业化作战单元 此次进展披露之际，CrowdStrike 证实活跃的朝鲜黑客组织 Labyrinth Chollima 已分化为三个目标与作战手法迥异的集群：核心Labyrinth Chollima、Golden Chollima（亦称 AppleJeus、Citrine Sleet、UNC4736）与Pressure Chollima（亦称 Jade Sleet、TraderTraitor、UNC4899）。 据 DTEX 评估，值得注意的是，Labyrinth Chollima 与安Andariel 、BlueNoroff 同属拉撒路集团（亦称 Diamond Sleet、Hidden Cobra）旗下子集群，其中 BlueNoroff 又分化出TraderTraitor 与 CryptoCore（亦称 Sapphire Sleet）。 尽管战术不断演进，这些攻击组织仍持续共享工具与基础设施，表明朝鲜网络作战机构内部存在集中协调与资源调配机制。Golden Chollima专注于在经济发达地区实施持续、小规模的加密货币窃取，Pressure Chollima 则通过高级植入程序针对大型数字资产持有机构实施高价值窃案。而Labyrinth Chollima 的行动以网络间谍活动为目的，借助 FudModule rootkit 等工具实现隐蔽作业。 该组织同样关联 “梦幻求职行动”，这是另一项以招聘为核心的社会工程学攻击，旨在投放恶意程序以搜集情报。 CrowdStrike 表示：“基础设施与工具的共享互通表明这些作战单元保持着紧密协同。” 三个攻击组织均使用高度相似的作战手法，包括供应链攻击、人力资源主题社会工程学、木马化合法软件以及恶意 Node.js 与 Python 程序包。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Reynolds 的新型勒索软件家族细节，该勒索软件载荷内部直接内嵌了 BYOVD 组件，用于规避防御机制。 BYOVD 是一种攻击技术，指攻击者滥用合法但存在漏洞的驱动软件提升权限，并关闭终端检测与响应（EDR）方案，使恶意行为不被发现。多年来，该手段已被多个勒索软件组织采用。 Symantec 与 Carbon Black 威胁狩猎团队在报告中称：“通常，攻击中的 BYOVD 规避防御组件是独立工具，会在勒索软件载荷部署前先植入系统，用以关闭安全软件。”“但在本次攻击中，存在漏洞的驱动（NsecSoft NSecKrnl 驱动）直接与勒索软件本体捆绑在一起。” 博通网络安全团队指出，这种将规避防御组件与勒索软件载荷捆绑的手法并非首创，2020 年 Ryuk 勒索软件攻击、2025 年 8 月下旬知名度较低的 Obscura 勒索软件攻击事件中均出现过该手段。 在 Reynolds 攻击活动中，该勒索软件会释放存在漏洞的 NsecSoft NSecKrnl 驱动，并终止 Avast、CrowdStrike Falcon、帕洛阿尔托网络 Cortex XDR、Sophos（含 HitmanPro.Alert）、Symantec 终端保护等多款安全软件的相关进程。 值得注意的是，NSecKrnl 驱动存在已知安全漏洞（CVE-2025-68947，CVSS 评分 5.7），可被利用终止任意进程。该驱动已被威胁组织 Silver Fox 用于攻击活动，在投放 ValleyRAT 木马前关闭终端安全工具。 过去一年，该黑客组织曾使用 truesight.sys、amsdk.sys 等多款存在漏洞的合法驱动，通过 BYOVD 攻击解除安全软件防护。 将规避防御与勒索功能整合为单一组件，会加大防护方拦截攻击的难度，同时也让勒索软件附属团伙无需再将该步骤单独加入攻击流程。 Symantec 与 Carbon Black 表示：“本次攻击活动中值得注意的是，在勒索软件部署数周前，目标网络中已出现可疑的侧加载加载器。” 勒索软件部署次日，攻击者还在目标网络中投放了 GotoHTTP 远程访问程序，表明其意图维持对受感染主机的持久访问。 该公司称：“BYOVD 技术高效且依托合法签名文件，不易触发告警，因此深受攻击者青睐。” “将规避防御能力与勒索软件载荷捆绑的优势，也是攻击者采用该方式的原因，在于规避防御程序与勒索软件整合后更‘隐蔽’，无需在受害者网络中释放额外外部文件。” 该发现与近几周多项勒索软件相关动态相吻合： ·     一起大规模钓鱼攻击通过携带 Windows 快捷方式（LNK）附件的邮件运行 PowerShell 代码，下载 Phorpiex 加载器，进而投放 GLOBAL GROUP 勒索软件。该勒索软件的特点是所有恶意行为均在受感染系统本地执行，可适配物理隔离环境。同时该软件不会窃取数据。 ·     WantToCry 组织发起的攻击滥用合法虚拟基础设施管理服务商 ISPsystem 提供的虚拟机，大规模托管并投放恶意载荷。部分主机名已在 LockBit、Qilin、Conti、BlackCat、Ursnif 等多个勒索软件组织，以及 NetSupport RAT、PureRAT、Lampion、Lumma 窃密木马、RedLine 窃密木马等恶意软件活动的基础设施中被发现。 ·     据评估，防弹主机服务商利用 VMmanager 默认 Windows 模板的设计缺陷（每次部署均复用相同静态主机名与系统标识），将 ISPsystem 虚拟机租给其他犯罪组织，用于勒索软件攻击与恶意软件投放。这使得威胁组织可部署数千台主机名相同的虚拟机，加大溯源关停难度。 ·     DragonForce 组织推出 “企业数据审计” 服务，为附属团伙提供勒索敲诈支持，标志着勒索软件运营持续专业化。LevelBlue 公司表示：“该审计服务包含详细风险报告、通话脚本与高管信函等预制沟通材料，以及用于施压谈判的策略指导。” ·     DragonForce 以联盟模式运作，允许附属团伙打造自有品牌，同时依托其体系获取资源与服务。 ·     最新版 LockBit 5.0 勒索软件已被证实采用 ChaCha20 算法对 Windows、Linux、ESXi 环境中的文件与数据加密，一改 LockBit 2.0 与 3.0 使用的 AES 加密方式。此外，新版本新增数据销毁组件、加密前延迟执行选项、进度条加密状态追踪，优化反分析规避检测能力，并强化内存执行以减少磁盘痕迹。 ·     Interlock 勒索软件组织持续攻击英美机构，尤以教育行业为目标，其中一起攻击利用游戏反作弊驱动 GameDriverx64.sys 的零日漏洞（CVE-2025-61155，CVSS 评分 5.5），通过 BYOVD 技术关闭安全工具。该攻击还会部署 NodeSnake/Interlock 远程访问木马（又称 CORNFLAKE）窃取敏感数据，初始入侵途径为 MintLoader 感染。 勒索软件组织正逐步将目标从传统本地设备转向云存储服务，尤其是亚马逊云（AWS）配置不当的 S3 存储桶，攻击依托云原生功能删除、覆盖数据，暂停权限或窃取敏感内容，同时隐蔽作案。 据 Cyble 公司数据，GLOBAL GROUP 是 2025 年涌现的众多勒索软件组织之一，其余包括 Devman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire、The Gentlemen。ReliaQuest 数据显示，仅 2025 年第四季度，Sinobi 数据泄露网站公示数量增长 306%，成为仅次于 Qilin 与 Akira 的第三大活跃勒索软件组织。 研究员 Gautham Ashok 称：“与此同时，LockBit 5.0 卷土重来是第四季度最大变化之一，年末攻击量激增，该组织仅 12 月就公示了 110 家受害机构。”“这表明该组织可快速扩大攻击规模，将入侵转化为实质影响，并维持规模化附属团伙运作体系。” 新兴组织涌现与现有团伙合作结盟，共同推动勒索软件活动激增。2025 年勒索软件组织宣称实施 4737 起攻击，高于 2024 年的 4701 起。同期，仅窃取数据施压、不执行加密的攻击数量达 6182 起，较 2024 年增长 23%。 Coveware 在上周季度报告中称，2025 年第四季度平均赎金支付额为 591,988 美元，较第三季度暴涨 57%，主因是少数 “高额和解案”。该公司补充称，威胁组织可能回归 “数据加密” 本源，以更有效施压受害者支付赎金。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个假冒的 7-Zip 网站正在分发这款流行压缩工具的木马化安装程序，该程序会将用户的计算机转变为住宅代理节点。 住宅代理网络利用家庭用户设备路由流量，旨在规避封锁并执行凭据填充、网络钓鱼和恶意软件分发等各种恶意活动。 有用户按照 YouTube 上的电脑装机教程操作时，从仿冒 7-Zip 项目的网站下载了恶意安装程序并进行上报，该新型攻击活动由此引发广泛关注。科技媒体 BleepingComputer 已证实，该恶意网站 7zip [.] com 目前仍可访问。 该威胁行为者注册了域名 7zip[.]com（撰写本文时仍活跃），很容易诱使用户误以为他们访问的是该合法工具的官网。 此外，攻击者还复制了原始 7-Zip 网站（ 7-zip.org）的文本并模仿了其结构。 网络安全公司 Malwarebytes 的研究人员对该安装程序进行分析后发现，其搭载的数字证书已被吊销。 该恶意版本同时包含正常 7-Zip 程序，可提供工具的常规功能。但该安装程序会释放三个恶意文件： ·     Uphero.exe – 服务管理器和更新加载器 ·     hero.exe – 主要代理负载 ·     hero.dll – 支持库 此外，攻击者使用 netsh 修改防火墙规则，以允许这些二进制文件建立入站和出站连接。 最终，主机系统会通过微软的 Windows 管理规范（WMI）和 Windows API 进行特征分析，以确定硬件、内存、CPU、磁盘和网络特性。收集到的数据随后被发送至 iplogger[.]org。 “虽然初步迹象表明其具有后门类能力，但进一步分析显示，该恶意软件的主要功能是代理工具，”Malwarebytes 在解释该恶意软件的操作目标时表示。“受感染的主机被注册为一个住宅代理节点，允许第三方通过受害者的 IP 地址路由流量。” 根据分析，hero.exe 从轮换的 C2 域拉取配置，然后在 1000 和 1002 等非标准端口上打开出站代理连接。控制消息使用轻量级 XOR 密钥进行混淆。 Malwarebytes 发现，该攻击活动的范围不止于 7-Zip 诱饵，还使用了针对 HolaVPN、TikTok、WhatsApp 和 Wire VPN 的木马化安装程序。 该恶意软件使用一个轮换 C2 基础设施，流量经过 Cloudflare 基础设施并通过 TLS 加密的 HTTPS 传输。 它还通过谷歌的解析器依赖 DNS-over-HTTPS，这降低了防御者监控标准 DNS 流量的可见性。 该恶意软件会检测 VMware、VirtualBox、QEMU、Parallels 等虚拟化环境及调试工具，规避安全分析行为。 Malwarebytes 在关注到独立安全研究人员对该恶意软件的分析及真实用途披露后，启动了相关调查。研究人员 Luke Acha 率先查明 Uphero/hero 恶意软件的用途。 研究人员 s1dhy 对基于异或加密的通信协议进行逆向分析与解码，证实了其代理行为。数字取证与应急响应（DFIR）工程师 Andrew Danis 将假冒 7-Zip 安装程序关联至这一假冒多款软件品牌的大型攻击活动。 Malwarebytes 公布了分析过程中发现的攻击指标（域名、文件路径、IP 地址）及主机相关特征数据。 建议用户不要点击 YouTube 视频或搜索推广链接中的网址，应在常用软件的官方下载域名添加书签。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文