HackerNews 编译，转载请注明出处： 研究人员发现了一场网络间谍活动，黑客将恶意工具隐藏在广泛使用的虚拟机软件中。这种策略表明，黑客正通过创新手段绕过常见的安全防御系统。 罗马尼亚网络安全公司比特梵德（Bitdefender）在周二的报告中称，该活动自 7 月起持续活跃，幕后威胁行为者为Curly COMrades组织，该组织被认为是为俄罗斯利益服务的。 今年早些时候，该组织被指针对格鲁吉亚的政府及司法机构，以及摩尔多瓦的一家能源公司发动间谍活动。比特梵德在最新报告中未指明此次的受害者，但表示调查是在格鲁吉亚国家计算机应急响应小组（CERT-GE）的协助下开展的。 报告显示，黑客滥用 Windows 内置功能 Hyper-V 维持对受害者网络的长期秘密访问。Hyper-V 允许用户运行虚拟机，这种软件能让一台计算机模拟出多个独立系统的运行效果。 攻击者安装了一个仅占用 120 兆字节磁盘空间的阿尔派 Linux（Alpine Linux）虚拟机。在该虚拟机内部，他们运行了两款定制恶意软件工具 ——CurlyShell 和 CurlCat，用于控制受感染系统并窃取数据。 比特梵德表示：“该虚拟机并未搭载大型攻击框架或渗透测试工具，而是一款轻量化植入程序，专为特定目的设计。” 这种方法让黑客得以绕过常见的威胁检测工具，这类工具通常仅监控 Windows 主操作系统，而非运行于其中的虚拟机。 格鲁吉亚当局随后查封了该活动中使用的一台受感染服务器，为研究人员绘制攻击者的基础设施地图提供了帮助。 比特梵德指出，Curly COMrades 组织至少自 2024 年起开始活跃，其目标通常是 “处于地缘政治变革中的国家的关键机构”，且活动与俄罗斯政府的地缘政治目标一致。该组织的核心诉求似乎是持续获取网络访问权限，并窃取用于间谍活动的凭证信息。 研究人员补充称，黑客严重依赖公开可用的开源工具，这表明他们 “更倾向于隐蔽性、灵活性和最小化检测风险，而非利用新型漏洞”。 格鲁吉亚和摩尔多瓦均为前苏联加盟共和国，仍是俄罗斯网络及信息作战的重点目标。摩尔多瓦近期指控俄罗斯通过网络攻击和协同虚假信息宣传，试图干预其议会选举 —— 此次选举中亲欧洲政党赢得多数席位。 格鲁吉亚也一直是莫斯科混合战术的针对对象，这些战术结合了军事施压、经济限制和宣传攻势，旨在削弱其国家机构，阻碍其民主与经济改革进程。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一群欧洲记者表示，他们通过数据经纪人提供的免费数据集，轻松获取了数百名欧盟委员会工作人员的位置数据，这引发了外界对欧洲严苛数字隐私法实际效力的质疑。 这项调查于周二由欧洲新闻媒体联盟发布，其依赖的数据集包含欧洲议会 756 台设备的约 5800 个定位点，以及欧盟委员会总部 264 台设备的约 2000 条位置 “信号记录”。这些位置数据多由用户手机中的普通应用收集后售卖给数据经纪人，后者再转售给各类机构。 欧盟委员会发言人向记者表示，官员们 “对公民及委员会官员的地理定位数据交易感到担忧”。该发言人透露，欧盟委员会已向工作人员发布新指导意见，告知如何关闭设备上的广告追踪功能，并已将相关调查结果通报给各成员国的计算机安全事件响应团队（CSIRTs）。 据悉，记者获取的数据样本还包含部分欧盟委员会高层官员的位置历史记录。其中一份 “行动档案” 详细记录了一名欧洲议会工作人员的日常通勤路线，包括在餐厅和超市的停留轨迹。 尽管这些数据样本远不及付费客户可获取的信息全面，但记者仍成功锁定了 5 名现任或曾任欧盟相关职务人员的私人住址，其中 3 人目前或曾经身居 “高级职位”。 尽管欧盟《通用数据保护条例》（GDPR）被誉为全球最严格的数字隐私法规，但欧洲大陆在监管数据经纪人方面却行动迟缓。数据经纪行业已发展成为规模逾十亿美元的庞大产业，专门交易个人位置等隐私信息，而此类数据泄露事件并非个例 —— 去年数据经纪公司 Gravy Analytics 曾发生数据泄露，导致数千万人的详细位置信息（包括住址和工作地点）曝光。法国数据保护局（CNIL）虽曾于 2023 年对违规数据经纪人 Tagadamedia 处以 7.5 万欧元罚款，但整体来看，数据经纪人常因间接获取数据等原因游离于现有法规监管范围之外，形成监管漏洞。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织与欧洲司法组织联手开展全球行动，捣毁涉案 6 亿欧元加密货币诈骗网络，已有 9 人因涉嫌参与某加密货币洗钱网络被捕。 据欧洲司法组织（Eurojust）今日发布的声明，这场行动于 10 月 27 日至 29 日期间在塞浦路斯、西班牙和德国同步开展，被捕嫌疑人被控参与诈骗相关洗钱活动。 执法部门在嫌疑人住所实施逮捕的同时，还开展了搜查行动，共查获银行账户资金 80 万欧元（约 91.8 万美元）、加密货币 41.5 万欧元（约 47.6 万美元）以及现金 30 万欧元（约 34.4 万美元）。部分信源显示，此次搜查还扣押了价值超 10 万欧元（约 11.48 万美元）的奢侈品手表，相关涉案房产仍在评估中。 除欧洲司法组织外，法国、比利时、塞浦路斯、德国和西班牙的执法机构也参与了这场 “同步化” 行动，欧洲刑警组织（Europol）为调查提供了关键支持。 欧洲司法组织表示：“该犯罪网络搭建了数十个伪装成合法网站的虚假加密货币投资平台，以高回报为诱饵吸引投资者。他们通过社交媒体广告、陌生电话推销、虚假新闻报道以及伪造名人或成功投资者的推荐证言等多种方式招募受害者。” 一旦受害者向这些虚假平台投入资金，其加密资产便会通过区块链技术被洗钱转移，该犯罪网络最终非法获利约 6 亿欧元。执法部门透露，犯罪分子会将资金在多个钱包和交易所之间流转，以此掩盖资金来源。 欧洲司法组织指出，此次洗钱及诈骗网络的调查工作始于受害者投诉无法取回投资款之后，最终以上周开展的突袭行动收尾。另有消息显示，法国当局在 2023 年收到多起加密货币诈骗报案后，相关调查便已启动。 此次案件披露之际，欧洲刑警组织表示，加密货币和区块链技术的非法使用正变得日益专业化、精密化和有组织化，应对这种 “无国界特性” 的威胁需要采取同等规模的协同应对措施。 该机构强调：“执法部门、私营部门合作伙伴及学术界正迅速提升应对复杂加密货币相关犯罪和洗钱活动威胁的能力。先进工具减少了对人工追踪的依赖，而一系列成功的跨境行动则彰显了合作的力量。” 据悉，涉案嫌疑人目前正在多个国家接受司法审理，面临有组织诈骗、洗钱、提供无资质投资服务及参与犯罪团伙等多项指控。根据法国法律，此类违法行为最高可判处 10 年监禁和 100 万欧元（约 115 万美元）罚款。比利时、塞浦路斯、德国和西班牙的当局仍在持续收集证据，并调查可能存在的其他涉案人员。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日披露了一款名为 “SesameOp” 的新型后门恶意软件细节，该后门创新性地将 OpenAI Assistants 应用程序接口（API）用作指挥与控制（C2）通信通道。 微软事件响应部门的检测与响应团队（DART）在周一发布的技术报告中指出：“该后门的威胁行为者并未依赖传统手段，而是滥用 OpenAI 作为指挥与控制通道，以此在受入侵环境中秘密通信并协调恶意活动。” 报告进一步解释：“后门的某个组件会将 OpenAI Assistants API 用作存储或中继机制，获取恶意指令后由恶意软件执行。” 这家科技巨头透露，该植入式恶意软件于 2025 年 7 月在一次复杂安全事件调查中被发现。在该事件中，不明身份的威胁行为者已在目标环境中维持持久访问长达数月，但微软未披露受影响受害者的具体信息。 深入调查显示，此次入侵活动包含一套 “复杂配置” 的内部网页木马（Web Shell），这些木马专门用于执行来自 “持久化、战略性部署” 的恶意进程所中继的指令。而这些恶意进程又借助了被恶意库篡改的微软 Visual Studio 实用程序，这种技术手段被称为 AppDomainManager 注入 —— 一种通过劫持.NET 应用加载过程来执行恶意代码的隐蔽技术，比传统的 DLL 旁加载更易实施。 SesameOp 是一款定制化后门，核心设计目标是维持持久访问权限，让威胁行为者能够秘密控制受感染设备，这表明此次攻击的核心目的是实现长期潜伏以开展间谍活动。 OpenAI Assistants API 原本旨在帮助开发者将人工智能驱动的代理直接集成到应用程序和工作流程中，但该 API 已被 OpenAI 列入弃用计划，将于 2026 年 8 月停止服务，取而代之的是全新的 Responses API，后者在灵活性、性能和功能上均有提升。 根据微软披露的攻击链，SesameOp 包含一个加载器组件（“Netapi64.dll”）和一个基于.NET 的后门程序（“OpenAIAgent.Netapi64”）。后门程序利用 OpenAI API 作为指挥与控制通道，获取加密后的恶意指令，解密后在本地执行，执行结果则以消息形式回传至 OpenAI 平台，形成完整的隐蔽通信闭环。 微软表示：“该动态链接库（DLL）通过Eazfuscator.NET进行高度混淆处理，专为隐蔽性、持久化及利用 OpenAI Assistants API 实现安全通信而设计。Netapi64.dll 会根据宿主可执行文件附带的特制.config 文件指令，通过.NET AppDomainManager 注入技术在运行时加载到宿主程序中。” 为规避安全扫描，其恶意载荷还采用了 AES 和 RSA 双重加密结合 GZIP 压缩的防护机制。 从 OpenAI 获取的助手列表中，消息描述字段支持三种指令类型： SLEEP（休眠）：使进程线程按指定时长休眠 Payload（有效载荷）：从指令字段提取消息内容，在独立线程中调用执行 Result（结果）：将处理结果以新消息形式传输至 OpenAI，同时将描述字段设为 “Result”，向威胁行为者告知载荷执行输出已就绪 目前该恶意软件的幕后操作者身份尚未明确，但这一事件凸显了威胁行为者持续滥用合法工具实施恶意活动的趋势 —— 通过伪装成正常网络流量以规避检测。微软透露已与 OpenAI 共享相关调查结果，OpenAI 已识别并禁用了疑似被攻击者使用的 API 密钥及关联账户。 针对此次威胁，微软建议企业安全团队采取多项缓解措施：严格审计防火墙日志，监控未授权的外部服务连接；在所有设备上启用篡改防护功能；将终端检测与响应（EDR）系统配置为拦截模式，主动阻止恶意行为执行。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司确认，谷歌旗下一款名为 “Big Sleep” 的人工智能（AI）网络安全代理工具，在其 Safari 浏览器所使用的 WebKit 组件中发现了 5 个不同的安全漏洞。这些漏洞若被成功利用，可能导致浏览器崩溃或内存损坏。 具体漏洞信息如下： CVE-2025-43429：缓冲区溢出漏洞，处理恶意构造的网页内容时可能导致进程意外崩溃（已通过改进边界检查修复） CVE-2025-43430：未明确说明的漏洞，处理恶意构造的网页内容时可能导致进程意外崩溃（已通过改进状态管理修复） CVE-2025-43431 及 CVE-2025-43433：两个未明确说明的漏洞，处理恶意构造的网页内容时可能导致内存损坏（已通过改进内存处理修复） CVE-2025-43434：释放后使用漏洞，处理恶意构造的网页内容时可能导致 Safari 浏览器意外崩溃（已通过改进状态管理修复） 苹果已于本周一（11 月 3 日）发布相关漏洞补丁，该补丁包含在 iOS 26.1、iPadOS 26.1、macOS Tahoe 26.1、tvOS 26.1、watchOS 26.1、visionOS 26.1 及 Safari 26.1 等系统更新中。以下设备及操作系统可获取该更新： iOS 26.1 与 iPadOS 26.1：iPhone 11 及后续机型、12.9 英寸 iPad Pro（第三代及后续机型）、11 英寸 iPad Pro（第一代及后续机型）、iPad Air（第三代及后续机型）、iPad（第八代及后续机型）、iPad mini（第五代及后续机型） macOS Tahoe 26.1：运行 macOS Tahoe 系统的 Mac 电脑 tvOS 26.1：Apple TV 4K（第二代及后续机型） visionOS 26.1：所有型号的 Apple Vision Pro watchOS 26.1：Apple Watch Series 6 及后续机型 Safari 26.1：运行 macOS Sonoma 和 macOS Sequoia 系统的 Mac 电脑 “Big Sleep” 前身为 “Project Naptime（午睡项目）”，是谷歌于去年推出的 AI 代理工具，由 DeepMind 与谷歌 Project Zero 团队联合研发，旨在实现自动化漏洞发现功能。该工具采用多智能体协作架构，模拟人类安全专家的分析流程，漏洞验证准确率达 92%，效率较人工审计提升 300 倍，已成功应用于多个关键开源项目的安全加固。 今年早些时候，谷歌曾披露该大型语言模型辅助框架在 SQLite 数据库中发现一个安全漏洞（CVE-2025-6965，CVSS 评分 7.2），并指出该漏洞 “存在被恶意攻击者利用的风险”。这一漏洞是栈缓冲区下溢漏洞，传统模糊测试工具未能检测到，而 Big Sleep 通过分析代码提交记录成功发现，成为 AI 代理工具首次在实际环境中发现可利用内存安全漏洞的案例。 尽管苹果本周一发布的安全公告中所列漏洞均未被标记为在野利用，但保持设备更新至最新版本始终是保障安全的最佳实践，可实现最优防护效果。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正利用钓鱼邮件分发带有恶意程序的附件，其攻击目标疑似俄罗斯和白俄罗斯的国防领域。 根据 Cyble 与 Seqrite 实验室的多份报告，该攻击行动旨在向已攻陷的主机植入一个持久化后门。该后门将 OpenSSH 与定制化的 Tor 隐藏服务结合使用，且通过 obfs4 技术对流量进行混淆处理。 Seqrite 将此活动命名为 Operation SkyCloak。据悉，钓鱼邮件会以军事文件相关内容作为诱饵，诱使收件人打开一个 ZIP 压缩包。该压缩包内含一个隐藏文件夹（其中包含另一个压缩文件），以及一个 Windows 快捷方式（LNK 文件）；一旦打开该快捷方式，便会触发多阶段感染链。 安全研究员萨特维克・拉姆・普拉基与卡蒂克库马尔・吉瓦尼表示：“这些快捷方式会触发 PowerShell 命令，而这些命令构成了初始投放阶段；除 LNK 文件外，另一个压缩文件会被用于搭建完整的感染链。” 他们补充称，这些压缩文件已于 2025 年 10 月从白俄罗斯上传至 VirusTotal 平台。 其中一个中间模块是 PowerShell 加载器，它主要负责执行反分析检查以规避沙箱环境，同时会将一个 Tor 洋葱地址（“yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd [.] onion”）写入文件 “hostname” 中，该文件路径为 “C:\Users < 用户名 >\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\”。 在反分析检查环节，恶意软件会验证两个条件：一是系统中近期存在的 LNK 文件数量大于或等于 10 个，二是当前进程数量大于或等于 50 个。若任一条件未满足，PowerShell 将立即终止执行。 Cyble 指出：“这些检查是恶意软件感知环境的机制。与真实用户工作站相比，沙箱环境通常用户生成的快捷方式更少，进程活动也更弱。” 一旦通过环境检查，脚本会显示存储在上述 “logicpro” 文件夹中的 PDF 诱饵文档，同时通过创建一个名为 “githubdesktopMaintenance” 的计划任务来实现持久化。该任务会在用户登录后自动运行，并于每天协调世界时（UTC）10:21 定期执行。 该计划任务旨在启动 “logicpro/githubdesktop.exe”，而此文件实则是 “sshd.exe” 的重命名版本 ——“sshd.exe” 是与 Windows 版 OpenSSH 相关联的合法可执行文件。这一操作能让威胁行为者搭建 SSH 服务，且该服务仅允许与存储在同一 “logicpro” 文件夹中的预部署授权密钥进行通信。 除通过 SFTP 启用文件传输功能外，恶意软件还会创建第二个计划任务，配置为执行 “logicpro/pinterest.exe”。这是一个定制化的 Tor 二进制文件，用于创建隐藏服务；该服务会通过 obfs4 混淆网络流量，与攻击者的.onion 地址通信。此外，它还会为远程桌面协议（RDP）、SSH、服务器消息块（SMB）等多个关键 Windows 服务配置端口转发，以便通过 Tor 网络访问系统资源。 一旦连接成功建立，恶意软件会先窃取系统信息，再通过 curl 命令发送一个唯一的.onion URL 主机名（用于标识已攻陷的系统）。当威胁行为者通过命令与控制（C2）信道接收到受害者的.onion URL 后，便能最终获得对已攻陷系统的远程访问权限。 目前尚不清楚该攻击行动的幕后主体，但两家安全厂商均表示，其特征与针对国防及政府领域、且与东欧相关的间谍活动相符。Cyble 以中等置信度评估认为，此次攻击与乌克兰计算机应急响应小组（CERT-UA）追踪的威胁行为者 “UAC-0125” 此前发起的行动，存在战术重叠。 该公司补充道：“攻击者通过隐蔽的 Tor 服务访问 SSH、RDP、SFTP 和 SMB，既能实现对系统的完全控制，又能隐藏自身身份。所有通信均通过预安装的加密密钥，定向到匿名地址进行传输。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦检察官指控三名嫌疑人于 2023 年 5 月至 11 月期间，利用 BlackCat勒索软件入侵五家美国公司的网络，并对其实施勒索。 这三名嫌疑人均为美国公民，分别是瑞安・克利福德・戈德堡、凯文・泰勒・马丁，以及一名居住在佛罗里达州、身份未公开的同谋者（代号 “同谋者 1”）。 他们被指针对以下企业发起攻击：佛罗里达州坦帕市的一家医疗设备公司、马里兰州的一家制药公司、加利福尼亚州的一间医生诊所、加利福尼亚州的一家工程公司，以及弗吉尼亚州的一家无人机制造商。 《芝加哥太阳时报》于上周末率先报道了这一起诉案，称事件发生时，马丁与 “同谋者 1” 正受雇于一家名为 DigitalMint 的公司，担任勒索软件威胁谈判员；而戈德堡则是网络安全公司 Sygnia 的事件响应经理。 目前这三人已不再受雇于上述公司。DigitalMint 与 Sygnia 均表示，已就此事配合执法部门调查。2025 年 7 月，彭博社曾报道，美国联邦调查局（FBI）正调查 DigitalMint 的一名前员工，怀疑其从勒索软件付款中抽取分成。 根据起诉书内容，戈德堡、马丁及该同谋者被指控蓄意合谋，通过以下方式 “谋取私利”：未经授权访问受害者的网络或计算机、窃取数据、在受害者系统中植入 “黑猫” 勒索软件以索要加密货币付款，并瓜分非法所得。具体攻击事件包括： 2023 年 5 月 13 日左右，被告攻击上述医疗设备公司，索要约 1000 万美元赎金。该公司最终支付了当时价值约 127.4 万美元的虚拟货币。 2023 年 5 月左右，被告攻击上述制药公司，索要金额未公开的赎金。 2023 年 7 月左右，被告攻击上述医生诊所，索要约 500 万美元赎金。 2023 年 10 月左右，被告攻击上述工程公司，索要约 100 万美元赎金。 2023 年 11 月左右，被告攻击上述无人机制造商，索要约 30 万美元赎金。 据悉，被告未能从其他受害者处勒索到资金。目前马丁已提出无罪抗辩；但法庭记录显示，戈德堡在接受 FBI 讯问时供认，他受该未公开同谋者招募，参与 “尝试向部分公司勒索赎金”，且实施攻击是为了偿还债务。第三名嫌疑人（同谋者 1）尚未被起诉。 戈德堡与马丁均被控三项罪名：合谋通过勒索干扰跨州商业活动、通过勒索干扰跨州商业活动，以及故意破坏受保护计算机。若罪名成立，两人最高可面临 50 年联邦监禁。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了两款不同的安卓木马 ——BankBot-YNRK 与 DeliveryRAT，它们能够从受感染设备中窃取敏感数据。 据对 BankBot-YNRK 三个不同样本展开分析的 CYFIRMA（安全公司）介绍，该恶意软件具备规避分析的功能：首先会检测自身是否运行在虚拟化或仿真环境中，随后提取设备制造商、型号名称等信息，确认是否处于真实设备上。 BankBot-YNRK 还会检测设备是否为 OPPO 品牌，或是否运行 ColorOS 系统。 CYFIRMA 表示：“该恶意软件还包含识别特定设备的逻辑，会验证设备是否为谷歌 Pixel 或三星机型，并检查其型号是否在预设的‘已识别 / 支持型号列表’中。这使得恶意软件仅对目标设备启用特定功能或优化，避免在未识别型号上执行。” 传播该恶意软件的 APK 安装包名称如下。三款应用均以 “IdentitasKependudukanDigital.apk” 命名，这一名称疑似试图仿冒印尼官方应用 “数字居民身份”（Identitas Kependudukan Digital）。 com.westpacb4a.payqingynrk1b4a com.westpacf78.payqingynrk1f78 com.westpac91a.payqingynrk191a 恶意应用安装后，设计用途包括窃取设备信息，并将音乐、铃声、通知等各类音频流音量调至零，防止受影响用户收到来电、短信及其他应用内通知的提醒。 该恶意软件还会与远程服务器（“ping.ynrkone [.] top”）建立通信，收到 “OPEN_ACCESSIBILITY”（开启辅助功能）指令后，会诱导用户启用辅助功能以实现自身目的，包括获取更高权限及执行恶意操作。 不过，该恶意软件仅能针对安卓 13 及以下版本设备发起攻击。2023 年底推出的安卓 14 新增了一项安全功能，禁止通过辅助功能自动申请或授予应用额外权限。 CYFIRMA 指出：“在安卓 13 及以前版本中，应用可通过辅助功能绕过权限请求；但在安卓 14 中，这种行为已无法实现，用户必须通过系统界面直接授予权限。” BankBot-YNRK 利用安卓的 JobScheduler 服务在设备上实现持久化，确保设备重启后仍能启动。它还支持多种指令，可获取设备管理员权限、管理应用、与设备交互、通过 MMI 代码转接来电、拍摄照片、执行文件操作，以及窃取联系人、短信、位置信息、已安装应用列表和剪贴板内容。 该恶意软件的其他部分功能如下： 通过程序篡改应用名称与图标仿冒 “谷歌新闻”，并通过 WebView（网页视图）打开 “news.google [.] com”； 捕获屏幕内容，重建银行应用等程序的 “框架 UI”（skeleton UI），为窃取账号密码提供便利； 滥用辅助功能打开预设列表中的加密货币钱包应用，自动执行 UI 操作以收集敏感数据并发起未授权交易； 获取 62 款待攻击金融应用的列表； 显示 “个人信息正在验证” 的悬浮提示，同时执行恶意操作，包括为自身申请额外权限、将自身添加为设备管理员应用。 CYFIRMA 表示：“BankBot-YNRK 具备全面功能，旨在对受感染安卓设备实现长期控制、窃取金融数据并执行欺诈交易。” 与此同时，F6（安全机构）披露，威胁分子正分发 DeliveryRAT 的更新版本，以外卖服务、电商平台、银行服务及包裹追踪应用为伪装，针对俄罗斯安卓用户。据评估，这一移动威胁自 2024 年年中起开始活跃。 这家俄罗斯安全公司称，该恶意软件通过 “恶意软件即服务”（MaaS）模式传播，依托名为 “Bonvi Team” 的 Telegram 机器人，用户可通过该机器人获取 APK 文件或分发恶意软件的钓鱼链接。 随后，威胁分子会通过 Telegram 等即时通讯工具联系受害者，以 “跟踪虚假电商平台订单” 或 “获取远程工作机会” 为由，诱导受害者下载恶意应用。无论采用何种方式，该应用都会请求获取通知权限与电池优化设置权限，以便收集敏感数据并在后台持续运行而不被终止。 此外，这款恶意应用还能访问短信与通话记录，并在手机桌面启动器（home screen launcher）中隐藏自身图标，导致非技术用户难以将其从设备中卸载。 部分版本的 DeliveryRAT 还具备发起分布式拒绝服务（DDoS）攻击的能力，具体方式包括：向外部服务器传输的 URL 链接发送并发请求，或诱导用户扫描二维码以捕获数据。 这两款安卓恶意软件家族的发现，恰逢 Zimperium（移动安全公司）发布一份报告。该报告显示，自 2024 年 4 月以来，已发现超 760 款安卓应用滥用近场通信（NFC）技术，非法获取支付数据并发送给远程攻击者。 这些仿冒金融应用的虚假程序会诱导用户将其设为默认支付方式，同时利用安卓的主机卡模拟（HCE）功能，窃取非接触式信用卡及支付数据。 这些信息会被传输至威胁分子运营的 Telegram 频道或专用监听应用（tapper app）。随后，被盗 NFC 数据会被用于即时从用户账户提现，或在销售点（PoS）终端消费。 这家移动安全公司表示：“已有约 20 家机构被仿冒，主要是俄罗斯的银行与金融服务机构，同时也包括巴西、波兰、捷克共和国及斯洛伐克的机构。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 不法分子正将目标日益聚焦于货运与物流公司，试图通过植入远程监控管理（RMM）软件非法牟利，最终实现货物盗窃。 据 安全公司Proofpoint调查，该威胁团伙至少自 2025 年 6 月起开始活跃。他们与有组织犯罪集团合作，入侵陆路运输行业相关机构，核心目标是窃取实体货物。在这类 “网络赋能型盗窃” 中，食品饮料类商品是最主要的被盗对象。 研究人员奥莱・维拉德森与塞莱娜・拉森在一份提交给The Hacker News的报告中表示：“被盗货物很可能通过网络销售或运至海外。在已观测到的攻击活动中，攻击者会先入侵企业，再利用非法获取的权限竞标真实货运订单，最终完成盗窃。” 与历史攻击的关联与差异 此次攻击活动与 2024 年 9 月披露的一系列攻击存在相似性 —— 当时攻击者针对北美运输物流公司，使用 Lumma Stealer、StealC、NetSupport RAT 等信息窃取工具与远程访问木马（RAT）实施入侵。但目前尚无证据表明两类攻击出自同一威胁团伙。 在 Proofpoint 此次监测到的入侵浪潮中，身份不明的攻击者采用了多种攻击手段： 劫持已泄露的电子邮件账户，接管现有对话； 向资产型承运人、货运经纪公司及综合供应链服务商发送钓鱼邮件； 利用被入侵的账户在货运信息平台（load boards）发布虚假货运信息。 报告指出：“攻击者通过被盗账户在货运平台发布虚假订单，再向咨询这些订单的承运人发送含恶意链接的邮件。这种手段利用了货运谈判中固有的信任关系与时效性压力。” 攻击实施流程与工具滥用 毫不意外，邮件中的恶意链接会指向带有陷阱的 MSI 安装程序或可执行文件（EXE），这些文件会部署 ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able、LogMeIn Resolve 等合法 RMM 工具。在部分案例中，攻击者会组合使用多款工具，例如通过 PDQ Connect 投放并安装 ScreenConnect 与 SimpleHelp。 一旦获取远程访问权限，攻击者会先开展系统与网络侦察，随后植入 WebBrowserPassView 等凭证窃取工具，获取更多账号密码，进一步渗透企业内网。 在至少一起案例中，攻击者还滥用获取的权限：删除现有货运订单、屏蔽调度员通知；将自己的设备添加到调度员电话分机；以被入侵承运人的名义预订货运订单，并协调运输流程。 RMM 工具被滥用的核心原因 使用 RMM 软件对攻击者而言有多重优势： 无需自行开发定制恶意软件，降低技术门槛； 这类工具在企业环境中广泛应用，可帮助攻击者 “隐身”，通常不会被安全解决方案标记为恶意程序。 Proofpoint 早在 2025 年 3 月就曾指出：“攻击者创建并传播受控的远程监控工具相当容易。由于这些工具常被用作合法软件，终端用户对安装 RMM 工具的警惕性，往往低于对其他远程访问木马的警惕性。此外，这类工具的安装程序通常带有数字签名，属于合法载荷，因此可能避开杀毒软件或网络检测。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布修复程序后，一组此前未被发现的 Windows 图形设备接口（GDI）漏洞得以曝光。这些漏洞可被用于远程代码执行与信息泄露。 漏洞与格式异常的增强型图元文件（EMF）及 EMF + 记录相关，会在图像渲染过程中导致内存损坏。该发现进一步揭示了 Windows 图形处理相关的攻击面范围。 这三个漏洞已在 2025 年 5 月、7 月、8 月的 “周二补丁日” 更新中被纳入修复，目前已完成深度分析。 漏洞存在于 Windows 对 GDI 操作的处理流程中，尤其涉及负责处理矢量图形、文本及打印操作的 GdiPlus.dll 和 gdi32full.dll 文件。研究人员通过针对 EMF 格式的模糊测试（fuzzing），直接发现了这些漏洞。 已发现的三个漏洞 这些漏洞的追踪编号及评级如下： CVE-2025-30388：评级 “重要”，被利用可能性较高 CVE-2025-53766：评级 “严重”，可实现远程代码执行 CVE-2025-47984：评级 “重要”，与信息泄露相关 三个漏洞均通过构造特定图元文件，触发 “越界内存访问” 问题： 其中一个漏洞源于无效矩形对象，攻击者可借此影响文本渲染过程中的内存写入操作 另一个漏洞会在缩略图生成时绕过扫描线边界检查 第三个漏洞与打印作业初始化阶段的字符串处理有关，当 “空终止” 假设不成立时，会泄露堆内存数据 攻击可能的实施方式 特制的 EMF + 文件可操纵颜色、透明度（alpha）数值、堆内存分配行为及指针计算。 Check Point 研究团队（CPR）证实，攻击者可通过该漏洞写入超出缓冲区限制的受控值，或读取超出预期范围的内存数据。在部分场景下，甚至无需用户交互，就能获取敏感信息或破坏系统安全。 研究人员表示：“我们在安全修复程序发布后发布此博文，旨在进一步提升公众对这些漏洞的认知，并为 Windows 用户提供防御思路与缓解建议。” 延伸阅读：《Windows 漏洞相关报道：Windows 10 终止支持临近，仍有大量用户未升级》 微软已发布补丁 微软针对以下文件版本修复了上述漏洞： GdiPlus.dll：10.0.26100.3037 至 10.0.26100.4946 版本 gdi32full.dll：10.0.26100.4652 版本 缓解措施包括：为矩形数据新增验证检查、对扫描线边界进行裁剪、修正打印处理程序中的指针运算。修复程序通过以下更新推送：5 月的 KB5058411、7 月的 KB5062553、8 月的 KB5063878。 此次事件凸显，接受不可信内容的复杂图形处理流程仍存在持续风险。研究人员强调，用户需主动安装补丁并提高防御意识，同时指出这些漏洞还影响了 Mac 和 Android 平台的微软 Office 软件。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文