HackerNews 编译，转载请注明出处： 名为AdaptixC2的开源命令与控制框架正被越来越多的威胁行为体使用，其中部分与俄罗斯勒索软件团伙存在关联。 AdaptixC2是一款新兴的可扩展后渗透与对抗模拟框架，专为渗透测试设计。其服务端组件采用Golang编写，GUI客户端则使用C++ QT实现跨平台兼容性。该框架具备全加密通信、命令执行、凭证与截图管理、远程终端等丰富功能。 该框架的早期版本由GitHub用户”RalfHacker”于2024年8月公开发布，该用户自称是渗透测试员、红队操作员和恶意软件开发者。尽管AdaptixC2是作为道德红队活动的开源工具推出，但显然已引起网络犯罪分子的关注。 近几个月来，多家黑客组织已开始采用AdaptixC2，包括与Fog和Akira勒索软件行动相关的威胁行为体，以及一名在攻击中利用CountLoader投放多种后渗透工具的初始访问经纪人。 Palo Alto Networks旗下Unit 42团队上个月分析了该框架的技术特点，称其作为模块化多功能框架能够”全面控制受感染机器”，并已被用于通过Microsoft Teams实施的假冒技术支持诈骗以及通过AI生成的PowerShell脚本进行攻击。 网络安全公司Silent Push表示，RalfHacker在GitHub简介中自称”恶意软件开发者”的表述引起了他们的警觉。调查发现该账号所有者关联的多个GitHub账户邮箱，以及一个拥有超过28,000订阅者的Telegram频道“RalfHackerChannel”，该频道专门转发AdaptixC2相关消息。 在2024年8月AdaptixFramework频道的消息中，RalfHacker曾表示有兴趣启动一个”当前非常流行的公共C2框架”项目，并希望其能成为像Empire一样受欢迎的后渗透和对抗模拟框架。 尽管目前尚无证据表明RalfHacker直接参与与AdaptixC2或CountLoader相关的恶意活动，但Silent Push指出：”通过其使用Telegram进行营销推广，以及该工具随后被俄罗斯威胁行为体大量使用的情况，都显示出与俄罗斯犯罪地下世界的关联，这些现象均敲响了严重的安全警钟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大营销机构之一的日本跨国广告与公关公司电通集团近日发布公告，确认其美国子公司Merkle遭受网络攻击，导致员工及客户数据泄露。 根据公司发布的安全事件通知，电通集团表示：”我们在负责集团海外业务的客户体验管理子公司Merkle的部分网络中检测到异常活动。我们立即启动了事件响应程序，主动关闭了部分系统，并迅速采取措施将影响降至最低，目前系统已恢复运行。”作为应急响应计划的一部分，公司采取了将部分系统离线的措施以遏制攻击蔓延。 电通确认黑客从Merkle网络中窃取了文件，涉及供应商、客户和员工数据，包括个人信息、薪资资料和国家保险详细信息。公司正在通知受影响个体，并为其提供免费的暗网监控服务。 “调查发现某些文件从Merkle网络中被窃取。经审查，这些文件包含现任及前任员工的个人信息，”电通在声明中表示，”调查仍在进行中，但目前我们预计文件包括银行和薪资详情、工资、国家保险号码以及个人联系方式。” 公司声明其日本本土网络系统未受影响，但目前尚无法评估此次事件对业务造成的财务影响。截至2024年12月31日，电通集团拥有约67,667名员工。2024财年，公司报告合并营收为1.41万亿日元（按当前汇率约合102亿欧元）。 Merkle作为电通集团旗下美国营销与客户体验机构，专注于数据驱动型绩效营销，利用分析、技术和数字平台帮助客户优化体验并推动增长。该公司在全球拥有超过16,000名员工，年收入约15亿美元。 目前尚不确定此次事件是否为勒索软件攻击，截至目前尚无任何勒索组织声称对Merkle或电通遭受的攻击负责。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员何塞·皮诺近日披露了Chromium的Blink渲染引擎中存在一个名为”Brash”的高危漏洞，攻击者可通过单个恶意链接在数秒内使众多基于Chromium的浏览器崩溃。 “Brash”漏洞利用document.title API缺乏速率限制的缺陷，以每秒数百万次的速度向浏览器发送DOM更新请求，导致主线程过载。 该漏洞会引发CPU使用率飙升、浏览器冻结和系统减速，影响涵盖桌面端、Android及嵌入式设备。 攻击分三个阶段实施： 预加载阶段：在内存中预存100个独特的512字符十六进制字符串，以最大化更新吞吐量 爆发注入：快速执行三重更新（默认爆发量8000次，1毫秒间隔），实现每秒约2400万次标题写入 持续饱和：持续注入使UI/主线程饱和，数秒内即可导致CPU占用率飙升、标签页冻结，最终浏览器崩溃 经测试，以下基于Chromium/Blink引擎的浏览器均受影响： Chrome：15-30秒内崩溃 Edge：15-25秒内崩溃 Vivaldi/Arc/Dia浏览器：15-30秒内崩溃 Opera：约60秒内崩溃 Perplexity Comet：15-35秒内崩溃 ChatGPT Atlas：15-60秒内崩溃 Brave：30-125秒内崩溃 以下浏览器不受影响： Firefox（使用Gecko引擎） Safari及所有iOS浏览器（使用WebKit引擎） 皮诺警告，”Brash”可能被武器化并造成严重后果： 定时攻击：可预设精确执行时间，将攻击从干扰工具转变为时间精准武器 经济破坏：针对AI智能体和无头浏览器的爬取活动，可导致自动化交易、价格监控、SEO爬虫等关键业务中断 系统依赖风险：同时发生的多系统故障将暴露企业对自动化系统的关键依赖弱点 专家总结指出：”Brash的诞生证明了当基础保护措施缺失时会发生的状况。该漏洞并非存在于复杂代码中，而是源于本应受限的API缺乏速率限制这一基本设计缺陷。它对全球30亿Chromium用户的影响表明，核心组件的架构缺陷会带来巨大的全球性后果——这不是一个孤立漏洞，而是影响整个Chromium生态系统的设计缺陷。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与俄罗斯有关联的知名勒索软件团伙再次发起攻击，此次声称已入侵日本连锁超市集团Super Value Co.，并在暗网上公开泄露了员工与财务数据。 涉嫌发动此次勒索软件攻击的Qilin团伙，已在其暗网泄露网站上将日本零售商Super Value Co.列为受害者。该超市主要在日本埼玉县及东京都市圈运营结合超市与家居中心的混合零售综合体，以及独立的食品超市。 攻击团伙在其泄露网站上提供了据称属于受害者的被盗数据样本，这是勒索攻击中威胁行为体常用的施压手段，旨在迫使公司支付赎金。 攻击者分享的数据样本中包含大量载有敏感信息的日文内部文件，涉及： 人力资源文件（暴露员工个人信息及雇佣数据） 安保密钥移交证明文件 绩效报告 工伤事故报告表 现金丢失事件报告表 薪资文件 财务报表（包括门店月销售额、盈利与亏损状况） 销售、产品订单及交货单日志 具体而言，人力资源文件泄露了员工的个人身份证号、全名、完整家庭住址、出生日期、年龄、性别、入职日期、雇佣类型（全职/兼职）、职位、部门/销售区域或工作地点、状态及离职/退休日期（部分记录）、电话号码、工作事故数据、工资及工作安排。 目前尚无法确认这些声称的真实性，以及数据是否确实属于该日本零售商。Cybernews已联系该公司，但尚未获得回复。 若数据被证实属实，将使公司及其员工面临欺诈和身份盗窃的风险。Cybernews研究人员指出：”就公司而言，这些样本主要揭示了其运营细节，可能将商业策略暴露给竞争对手。”此外，由于未包含员工个人联系方式，社会工程学攻击更可能针对公司而非个人展开。 Qilin是勒索软件领域的重要角色。这个与俄罗斯有关联的团伙以医院和制造业为攻击目标而闻名。该组织于2022年首次出现在勒索软件领域，但其暗网泄露网站声称其自2021年便开始运作。 自今年9月初以来，Qilin已列出超过88名受害者，在过去12个月内跃升为最活跃的勒索软件团伙。根据Cybernews内部监控工具Ransomlooker的数据，自2023年以来该团伙已声称入侵947名受害者。 本月，Qilin还声称入侵了德克萨斯州的电力合作社，并泄露了美国大型药房福利管理公司MedImpact的数据。该团伙近期对英国NHS合作伙伴Synnovis实验室的攻击造成了严重后果，导致医院被迫转移患者并取消超过1万个预约和手术。 值得注意的是，这个臭名昭著的俄罗斯相关团伙LockBit已与DragonForce和Qilin勒索软件组成联盟。专家认为，该联盟可能通过共享资源改进攻击策略并提高攻击频率。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Ribbon是一家实时通信技术公司，为全球企业及关键基础设施领域，提供安全云通信、IP 及光网络解决方案。 其总部位于美国得克萨斯州，服务用户涵盖电信、银行、政府等领域的数十家大型企业，美国国防部也包括在列。这一背景使得此次国家级攻击更具威胁性。 攻击者潜伏近一年 10月23日，Ribbon在提交给美国证券交易委员会的第三季度财报（10-Q 文件）中首次披露了此次数据泄露事件。 文件第 57 页“网络安全事件披露” 部分写道：“2025 年 9 月初，公司发现有国家级未授权威胁行为体入侵了公司的 IT 网络。” 公司初步分析显示，攻击者的首次入侵可追溯至2024年12月。不过，关于初始入侵时间的最终结论，仍需等待完整的调查结果来盖棺定论。 Barrier Networks 公司首席技术官瑞安・麦科尼奇表示：“此次大型电信提供商遭遇攻击，进一步证明网络世界已成为所有对手的首选‘战场’。” 他指出：“我们尚不清楚幕后是哪个国家，也不知道他们的攻击手法，但黑客在被发现前已潜伏近一年，这一事实着实令人担忧。” 风险声明 Ribbon 的产品主打帮助用户将固定、移动及企业网络，从传统环境转型为安全的 IP 及云架构。其客户及合作伙伴包括： 电信服务商：威瑞森、美国电话电报公司、康卡斯特、英国电信、世纪互联、德国电信、软银、TalkTalk、塔塔集团等。 政府与公共机构：美国国防部、洛杉矶市、得克萨斯大学。 金融机构：美国银行、摩根大通、富国银行。 技术合作伙伴：帕洛阿尔托网络、慧与、英特尔、爱立信、飞塔以及 F5 Networks。 Ribbon声明称：“网络安全是客户网络的首要关切，物品们始终重视与客户的长期合作”。 得知入侵后，公司 “立即启动事件响应计划，联系联邦执法部门，并联合多家第三方网络安全专家开展调查”。 Ribbon 还表示，已成功将威胁行为体驱逐出网络，“截至目前的调查，未发现黑客访问客户系统或其他重要公司信息的证据”。 但公司也承认，“两台笔记本电脑上存储的、主网络之外的部分客户文件，似乎已被威胁行为体访问”，不过未透露受影响客户的名称，仅表示已通知相关方。 路透社报道称，被访问的是 “4 份较早期文件”。此外，Ribbon 已采取即时预防措施，进一步加强网络防护以避免未来再发此类事件，并表示 “对此次事件引发的担忧深表歉意，已与 3 家受影响客户直接沟通”。 网络安全研究人员认为，尽管 Ribbon 称 “政府客户未受影响”，但这一情况仍需全面核实。鉴于国家级威胁行为体正将目标聚焦于关键基础设施及其他电信企业，这些机构做好攻击防御准备至关重要。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 国防承包商L3Harris的一名前高管于周三认罪，承认向一名俄罗斯经纪人出售间谍软件漏洞利用工具。 根据美国司法部发布的新闻稿，曾主管L3Harris旗下间谍软件与零日漏洞部门Trenchant的彼得·威廉姆斯，将商业机密出售给一家”公开自称向包括俄罗斯政府在内的各类客户转售网络漏洞利用工具”的俄罗斯网络工具经纪人。 威廉姆斯对其两项窃取商业机密的指控认罪。官方称他在2022年至2025年的三年期间窃取并兜售这些信息。司法部表示，被出售的物料属于国家安全软件，包含至少八个”敏感且受保护的网络漏洞利用组件”，这些工具原本仅限向美国政府及经批准的盟友销售。 每项指控最高可判处10年监禁并处罚金。 检方指出，威廉姆斯因出售这些机密被承诺获得数百万美元的加密货币报酬。官方称他与该俄罗斯经纪人签订了多份合同，涉及初始销售及“后续技术支持”。 “这些国际网络经纪人是新一代国际军火商，我们将持续警惕其活动，”美国检察官珍妮·费里斯·皮罗在声明中表示。 皮罗指出，威廉姆斯的罪行不仅给L3Harris造成3500万美元损失，更向非盟友的外国网络行为体提供了“可能已被用于攻击众多无辜受害者的尖端网络漏洞利用工具”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现10个恶意npm软件包，这些包被设计用于在Windows、Linux和macOS系统上投放信息窃取程序。 Socket安全研究员Kush Pandya表示：“该恶意软件采用四层混淆技术隐藏有效负载，显示虚假验证码以伪装成合法程序，通过IP地址对受害者进行指纹识别，并下载一个24MB的PyInstaller打包信息窃取程序，能够从Windows、Linux和macOS系统的密钥环、浏览器和认证服务中窃取凭证。” 这些npm包于2025年7月4日上传至注册表，累计下载量超过9,900次，具体包括： deezcord.js dezcord.js dizcordjs etherdjs ethesjs ethetsjs nodemonjs react-router-dom.js typescriptjs zustand.js 此次多阶段凭证窃取行动通过伪装成TypeScript、discord.js、ethers.js等热门npm库的仿冒包进行。安装后，恶意软件会显示虚假验证码提示，并输出看似正常的安装信息，让开发者误以为安装过程正常进行。然而在后台，该软件包会捕获受害者的IP地址并发送至外部服务器，随后投放主恶意软件。 每个软件包中的恶意功能都会通过”postinstall”钩子在安装时自动触发，启动名为”install.js”的脚本。该脚本会检测受害者的操作系统，并在新的命令提示符（Windows）、GNOME终端（Linux）或终端（macOS）窗口中启动经过混淆的有效负载。 Pandya指出：”通过生成新的终端窗口，恶意软件能够独立于npm安装进程运行。开发者在安装过程中瞥见终端窗口时，只会看到新窗口短暂出现，而恶意软件会立即清屏以避免引起怀疑。” “app.js”中的JavaScript代码通过四层混淆技术隐藏，包括使用动态生成密钥的XOR密码、对有效负载字符串进行URL编码，以及使用十六进制和八进制运算混淆程序流程等，这些设计都旨在抵抗分析。 攻击的最终目标是从同一服务器获取并执行一个全能型信息窃取程序。该程序能够全面扫描开发者计算机，从网页浏览器、配置文件和SSH密钥中搜索密钥、认证令牌、凭证和会话cookie。 该窃密程序还包含针对不同平台的特定实现，使用keyring npm库从系统密钥环中提取凭证。收集到的信息会被压缩成ZIP文件并外泄至服务器。 Socket公司强调：“系统密钥环存储着关键服务的凭证，包括电子邮件客户端、云存储同步工具、VPN连接、密码管理器、SSH密码、数据库连接字符串等与操作系统凭证存储集成的应用程序。通过直接攻击密钥环，恶意软件绕过了应用级安全防护，直接获取解密形式的存储凭证。这些凭证可让攻击者立即访问企业邮箱、文件存储、内部网络和生产数据库。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰境内的多个组织近日遭到源自俄罗斯的威胁行为者攻击，其目的在于窃取敏感数据并维持对受感染网络的持久访问权限。 根据赛门铁克和Carbon Black威胁猎人团队发布的最新报告，此次攻击活动持续针对一家大型商业服务组织进行了两个月的渗透，同时对一家当地政府实体进行了一周的入侵。 攻击主要采用“离地生存”技术和双重用途工具，仅辅以最低限度的恶意软件，从而减小数字足迹并长期保持隐蔽。 “攻击者通过在面向公众的服务器上部署Webshell获得对商业服务组织的访问权限，很可能是利用了一个或多个未修复的漏洞，”这两支隶属于博通公司的网络安全团队在报告中表示。 攻击中使用的Webshell之一是Localolive，微软此前曾警告称该工具被与俄罗斯有关的沙虫组织下属团队在多年度行动”BadPilot”中使用。LocalOlive旨在协助投送Chisel、plink和rsockstun等后续载荷，至少自2021年底开始被活跃使用。 针对该商业服务组织的恶意活动最早可追溯至2025年6月27日，攻击者利用初始立足点投放Webshell并实施侦察。研究还发现，攻击者运行PowerShell命令将设备的下载目录排除在Microsoft Defender防病毒扫描范围之外，并设置计划任务每30分钟执行一次内存转储。 攻击时间线与技术细节 在接下来的几周内，攻击者实施了多种恶意行为，包括： 将注册表配置单元副本保存至名为1.log的文件 投放更多Webshell 使用Webshell枚举用户目录中的所有文件 运行命令列出所有以”kee”开头的运行进程（可能旨在定位KeePass密码存储库） 列出第二台设备上的所有活跃用户会话 运行位于下载文件夹中的”service.exe”和”cloud.exe”可执行文件 在第三台设备上运行侦察命令并使用Microsoft Windows资源泄漏诊断工具执行内存转储 修改注册表以允许RDP连接 在第四台设备上运行PowerShell命令获取Windows配置信息 运行RDPclip获取远程桌面连接中的剪贴板访问权限 安装OpenSSH以方便远程访问计算机 运行PowerShell命令允许OpenSSH服务器在22端口上的TCP流量 创建计划任务，使用域账户每30分钟运行未知PowerShell后门（link.ps1） 运行未知Python脚本 在下载文件夹中部署合法的MikroTik路由器管理应用程序（“winbox64.exe”） 值得关注的是，乌克兰计算机应急响应小组曾在2024年4月记录过“winbox64.exe”的使用，当时它与沙虫组织针对乌克兰能源、供水和供热供应商的攻击活动有关。 赛门铁克和Carbon Black表示，虽然未发现此次入侵与沙虫组织直接关联的证据，但指出其”确实显示出源自俄罗斯的特征”。该网络安全公司还透露，这些攻击的特点在于部署了多个PowerShell后门和疑似恶意软件的可疑可执行文件，但目前尚未获取这些样本进行分析。 “虽然攻击者在入侵过程中使用的恶意软件数量有限，但大部分恶意活动都涉及合法工具，包括系统原生工具或攻击者引入的双重用途软件，”报告强调，“攻击者展现出对Windows原生工具的深入了解，并展示了熟练攻击者如何推进攻击、窃取凭证等敏感信息，同时在目标网络上留下最小痕迹。” 行业背景与趋势 此报告发布之际，Gen Threat Labs详细披露了Gamaredon组织利用WinRAR中一个已修复安全漏洞（CVE-2025-8088，CVSS评分：8.8）攻击乌克兰政府机构的行为。 该公司在X平台上发文称：“攻击者正在滥用CVE-2025-8088（WinRAR路径遍历漏洞）投递RAR压缩包，这些压缩包会静默将HTA恶意软件放入启动文件夹——除了打开压缩包内的良性PDF文件外，无需任何用户交互。这些诱饵经过精心设计，可诱骗受害者打开武器化压缩包，延续了以往攻击活动中出现的激进攻击模式。” Recorded Future的最新报告也印证了这一趋势，该报告发现俄罗斯网络犯罪生态系统正受到”终端游戏”等国际执法行动的积极影响，促使俄罗斯政府与电子犯罪组织的关系从被动容忍转向主动管理。对泄露聊天记录的进一步分析显示，这些威胁组织内的高级人物通常与俄罗斯情报部门保持联系，通过提供数据、执行任务或利用贿赂和政治关系获得豁免权。与此同时，网络犯罪团伙正在分散运营以规避西方和国内的监控。 尽管长期以来众所周知俄罗斯网络犯罪分子只要不攻击该地区运营的企业或实体就可以自由活动，但克里姆林宫现在似乎采取了更为细致的方法：在需要时招募或合作人才，在攻击符合其利益时视而不见，并在威胁行为者变得”政治上不便或对外尴尬”时选择性执法。 由此可见，这种“黑暗契约”实质上是多种因素的结合体：既是商业企业，也是影响力和信息获取的工具，同时当它威胁到国内稳定或面临西方压力时也会成为负担。该公司在《黑暗契约》系列报告的第三部分中指出：“俄罗斯网络犯罪地下世界在国家控制和内部不信任的双重压力下正在分裂，而专有论坛监控和勒索软件联盟聊天记录显示运营者之间的偏执情绪日益加剧。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日在OpenAI ChatGPT Atlas等智能体浏览器中发现新的安全隐患，这些浏览器底层的人工智能模型容易遭受上下文投毒攻击。 AI安全公司SPLX设计的攻击场景中，攻击者可建立特定网站，向ChatGPT和Perplexity运行的浏览器及AI爬虫提供差异化内容。该技术被命名为“AI定向伪装”。 这种手法实为搜索引擎伪装技术的变种——即向用户和搜索引擎爬虫呈现不同网页版本，最终达到操纵搜索排名目的。在此类攻击中，攻击者仅通过简单的用户代理检查即可针对不同供应商的AI爬虫优化内容，实现内容交付操控。 安全研究人员指出：”由于这些系统依赖直接检索，任何提供给它们的内容都会成为AI概述、摘要或自主推理中的’事实依据’。这意味着只需一条条件规则——’如果用户代理是ChatGPT，则提供此替代页面’——就能塑造数百万用户看到的所谓权威输出。” SPLX警告，AI定向伪装虽然原理简单，却可能成为强大的虚假信息武器，破坏用户对AI工具的信任。通过诱导AI爬虫加载替代内容，该技术还能引入偏见，影响依赖此类信号的系统输出。 “AI爬虫与早期搜索引擎一样容易被欺骗，但其下游影响更为深远。随着搜索引擎优化逐渐融合人工智能优化，这种攻击正在扭曲现实认知。” 与此同时，hCaptcha威胁分析小组发布的分析报告显示，针对20种常见滥用场景的测试中，各类浏览器智能体几乎无需越狱即可执行恶意请求。研究还发现，所谓”被阻止”的操作多数源于工具功能限制而非内置防护机制。值得注意的是，当被要求执行调试任务时，ChatGPT Atlas会完成高风险操作。 研究进一步披露，Claude Computer Use和Gemini Computer Use能够无限制执行密码重置等危险账户操作，后者甚至在电商平台表现出暴力破解优惠券的攻击性行为。测试还发现Manus AI可无障碍完成账户接管和会话劫持，而Perplexity Comet会主动实施SQL注入以窃取隐藏数据。 “这些智能体经常超额完成任务：在无用户指令时尝试SQL注入，在页面注入JavaScript以绕过付费墙等。我们观察到几乎完全缺失的安全防护措施，预示着攻击者很快会将这类智能体用于攻击任何下载它们的合法用户。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家俄罗斯本土网络安全公司发现，由国家支持的黑客组织Cloud Atlas再次发起网络间谍活动，利用即将召开的行业论坛作为诱饵，瞄准了该国农业领域。 这是近几个月来该组织第二次针对俄罗斯农业工业企业发起攻击，恰逢本月末莫斯科即将举行的俄罗斯农业论坛筹备期。据F6研究人员分析，黑客发送了伪装成论坛官方日程的钓鱼邮件，内含利用旧版Microsoft Office漏洞（CVE-2017-11882）的恶意文件——该漏洞虽于2017年修复，但至今仍被网络犯罪分子广泛利用。 该漏洞早在2023年就被Cloud Atlas利用过，当时他们通过涉及俄乌战争的钓鱼邮件，攻击了俄罗斯一家农业企业和一家国有研究公司。 此漏洞允许攻击者执行恶意代码并可能完全控制系统，使其能够安装软件、修改或删除数据以及创建新用户账户。 研究人员指出，Cloud Atlas（亦被追踪为Inception）在2025年全年活动频次显著增加，尤其针对俄罗斯和白俄罗斯目标。F6还发现迹象表明，一家国防企业也是该组织10月的攻击目标之一，不过未提供技术细节。 报告显示，Cloud Atlas持续优化其工具和传播方法，在保持长期使用的感染链的同时，尝试使用不同的有效载荷。 研究人员表示：”Cloud Atlas持续使用相同战术并利用早已曝光的漏洞，表明其攻击仍然有效——这主要归因于未受保护或维护不善的系统，以及人为因素。” Cloud Atlas至少自2014年开始活跃，是一个由国家支持的间谍组织，以攻击俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的机构而闻名。其行动侧重于数据窃取和监控，但背后具体是哪个国家仍不明确。 该组织通常依赖多阶段钓鱼攻击，发送模仿政府通讯、商业邀约或媒体资料的邮件。其恶意软件常使用定制加载器和加密通信以保持隐蔽并外泄窃取数据。 研究人员补充道：”这些因素使Cloud Atlas成为对组织网络安全极具威胁且持续存在的攻击者。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文