HackerNews 编译，转载请注明出处： 以 Velvet Tempest 为代号追踪的勒索软件威胁组织，正利用 ClickFix 技术与合法的 Windows 工具部署 DonutLoader 恶意软件与 CastleRAT 后门。 网络诱骗威胁情报公司 MalBeacon 的研究人员在一个模拟的组织环境中，对黑客的行为进行了为期 12 天的观测。 Velvet Tempest，同时也以 DEV‑0504 为代号进行追踪，是一个至少在五年内以附属机构身份参与勒索软件攻击的威胁组织。 该组织与部署多款破坏力极强的勒索软件家族相关联：Ryuk（2018‑2020）、REvil（2019‑2022）、Conti（2019‑2022）、BlackMatter、BlackCat/ALPHV（2021‑2024）、LockBit 以及 RansomHub。 Velvet Tempest 勒索软件部署时间线（来源：MalBeacon） 此次攻击由 MalBeacon 在 2 月 3 日至 16 日期间于一个美国非营利组织的复刻环境中监测到，该环境拥有超过 3000 个终端与 2500 多名用户。 在获取访问权限后，Velvet Tempest 操作者执行了手动操作，包括对 Active Directory 进行侦察、主机发现、环境信息收集，同时使用 PowerShell 脚本窃取存储在 Chrome 中的凭据。 该脚本托管在一个 IP 地址上，研究人员将该 IP 与 Termite 勒索软件入侵所用的工具部署服务器相关联。 据研究人员介绍，Velvet Tempest 通过恶意广告活动获取初始访问权限，该活动引导至一个结合 ClickFix 与验证码的页面，指示受害者将一段经过混淆的命令粘贴到 Windows 运行对话框中。 Velvet Tempest 使用的 ClickFix 诱饵（来源：MalBeacon） 粘贴的命令触发了嵌套的 cmd.exe 调用链，并利用 finger.exe 获取首批恶意软件加载器。其中一个载荷是一个伪装成 PDF 文件的压缩包。 在后续阶段中，Velvet Tempest 使用 PowerShell 下载并执行命令，以获取更多载荷、通过 csc.exe 在临时目录编译 .NET 组件，并在 C:\ProgramData 中部署基于 Python 的组件以实现持久化。 此次行动最终部署了 DonutLoader，并加载了 CastleRAT 后门。CastleRAT 是一款远程控制木马，与以分发多种 RAT 与信息窃取工具（如 LummaStealer）闻名的 CastleLoader 加载器相关联。 Termite 勒索软件此前已宣称对多家知名受害者发起攻击，包括 SaaS 提供商 Blue Yonder 与澳大利亚大型试管婴儿机构 Genea。 尽管 Velvet Tempest 通常实施双重勒索攻击 —— 即在窃取企业数据后对受害者系统进行加密，但 MalBeacon 的报告指出，在本次观测到的入侵事件中，该威胁组织并未部署 Termite 勒索软件。 多个勒索软件组织已在攻击中采用 ClickFix 技术。Sekoia 曾在 2025 年 4 月报告称，Interlock 勒索软件团伙使用该社会工程方法攻破企业网络。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，威胁行为者正越来越多地在其行动中使用人工智能，以加速攻击、扩大恶意活动规模，并降低网络攻击各个环节的技术门槛。 根据微软威胁情报发布的一份最新报告，攻击者正将生成式人工智能工具用于广泛任务，包括侦察、钓鱼、基础设施搭建、恶意软件开发以及入侵后活动。 在多数情况下，人工智能被用于撰写钓鱼邮件、翻译内容、总结窃取的数据、调试恶意软件，以及辅助脚本编写或基础设施配置。 “微软威胁情报已观察到，当前绝大多数人工智能的恶意使用都集中于利用大语言模型生成文本、代码或媒体内容。威胁行为者利用生成式人工智能撰写钓鱼诱饵、翻译内容、总结窃取的数据、生成或调试恶意软件，以及搭建脚本或基础设施框架。” 微软警告称。 “对于这些用途而言，人工智能发挥了力量倍增器的作用，降低了技术阻力并加快了执行速度，而人类操作者仍保留对攻击目标、攻击对象和部署决策的控制权。” 威胁行为者在网络攻击生命周期中对人工智能的使用（来源：微软） 被用于支撑网络攻击的人工智能 微软已观察到多个威胁组织将人工智能融入网络攻击，包括代号为 Jasper Sleet（Storm-0287）和 Coral Sleet（Storm-1877）的朝鲜籍行为者，他们将该技术用于远程 IT 人员渗透计划。 在这些行动中，人工智能工具帮助生成逼真的身份信息、简历和通信内容，以在西方企业获得雇佣资格，并在入职后维持访问权限。 “Jasper Sleet 利用生成式人工智能平台简化伪造数字身份的制作流程。例如，Jasper Sleet 行为者会提示人工智能平台生成符合特定文化背景的姓名列表和邮箱地址格式，以匹配特定身份档案。例如，威胁行为者可能在此场景中使用以下类型的提示词来利用人工智能： 示例提示词 1：“创建 100 个希腊姓名的列表。” 示例提示词 2：“使用姓名 Jane Doe 创建一组邮箱地址格式。” Jasper Sleet 还利用生成式人工智能审阅专业平台上软件开发及 IT 相关岗位的招聘信息，提示工具提取并总结所需技能。这些输出结果随后被用于为特定职位量身定制伪造身份。 ❖ 微软威胁情报” 报告还描述了人工智能如何被用于辅助恶意软件开发与基础设施搭建，威胁行为者利用人工智能编码工具生成和优化恶意代码、排查错误，或将恶意软件组件移植到不同编程语言。 并非只有微软观察到威胁行为者越来越多地使用人工智能支撑攻击并降低入门门槛。 谷歌近期报告称，威胁行为者在网络攻击的所有阶段都在滥用 Gemini 人工智能，这与亚马逊在相关攻击活动中观察到的情况一致。 亚马逊以及 Cyber and Ramen 安全博客近期也报告了一起攻击活动，其中威胁行为者使用多个生成式人工智能服务，成功攻破了超过 600 个 FortiGate 防火墙。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI 于上周五开始推出 Codex Security—— 这是一款由人工智能（AI）驱动的安全代理工具，旨在发现漏洞、验证漏洞有效性并提出修复方案。 该功能目前处于研究预览阶段，ChatGPT Pro、企业版、商业版和教育版用户可通过 Codex 网页端使用，未来一个月内可免费调用。 “该工具会深入构建你的项目上下文信息，以识别其他智能代理工具遗漏的复杂漏洞；它能呈现可信度更高的检测结果，并提供可切实提升系统安全性的修复方案，同时避免无关紧要的小漏洞带来的干扰。” 该公司表示。 Codex Security 是 Aardvark 工具的升级版本 ——OpenAI 曾在 2025 年 10 月推出 Aardvark 私有测试版，旨在帮助开发者和安全团队大规模检测并修复安全漏洞。 在过去 30 天的测试阶段中，Codex Security 扫描了外部代码仓库中超过 120 万次代码提交，识别出 792 个关键级漏洞和 10561 个高严重级漏洞。这些漏洞涉及多个开源项目，包括 OpenSSH、GnuTLS、GOGS、Thorium、libssh、PHP 和 Chromium 等。其中部分漏洞如下所列： ·     GnuPG – CVE-2026-24881、CVE-2026-24882 ·     GnuTLS – CVE-2025-32988、CVE-2025-32989 ·     GOGS – CVE-2025-64175、CVE-2026-25242 ·     Thorium – CVE-2025-35430、CVE-2025-35431、CVE-2025-35432、CVE-2025-35433、CVE-2025-35434、CVE-2025-35435、CVE-2025-35436 据这家 AI 公司介绍，这款应用安全代理的最新版本利用其前沿模型的推理能力，并结合自动化验证机制，最大限度降低误报风险，同时提供可落地执行的修复方案。 OpenAI 对同一批代码仓库的持续扫描数据显示，该工具的检测精准度不断提升，误报率持续下降 —— 所有仓库的误报率降幅均超过 50%。 在向 The Hacker News 提供的声明中，OpenAI 表示，Codex Security 旨在通过以下方式提升有效信息占比：将漏洞发现过程锚定在系统上下文环境中，并在向用户呈现检测结果前先验证其有效性。 具体而言，该代理工具的工作流程分为三步：分析代码仓库，掌握项目中与安全相关的系统结构，并生成可编辑的威胁模型，明确系统功能及最易受攻击的环节；构建完系统上下文后，Codex Security 以此为基础识别漏洞，并根据漏洞的实际影响程度对检测结果进行分类，同时在沙箱环境中对标记的漏洞进行压力测试以验证其有效性；最终阶段，代理工具提出与系统行为最匹配的修复方案，以减少回归问题，同时让方案更易于审核和部署。 OpenAI 称：“当 Codex Security 配置为适配你项目的环境后，它可在运行中的系统上下文里直接验证潜在漏洞。这种更深度的验证能进一步降低误报率，并支持生成可运行的概念验证（PoC），为安全团队提供更充分的证据和更清晰的修复路径。” Codex Security 发布的数周前，Anthropic 刚推出 Claude Code Security 工具，该工具可帮助用户扫描软件代码库中的漏洞并提出补丁建议。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在钓鱼攻击活动中滥用专用顶级域名 .arpa 与 IPv6 反向 DNS，从而更轻易地绕过域名信誉检测与邮件安全网关。 .arpa 是保留给互联网基础设施使用的特殊顶级域名，而非用于普通网站。它主要用于反向 DNS 解析，即让系统将 IP 地址映射回对应的主机名。 IPv4 反向解析使用 in-addr.arpa 域名，而 IPv6 使用 ip6.arpa。在这类解析中，DNS 会查询由 IP 地址反向排列并附加在上述域名后的主机名。 例如，www.google.com 对应的 IP 地址为 192.178.50.36（IPv4）与 2607:f8b0:4008:802::2004（IPv6）。使用 dig 工具查询 Google 的 192.178.50.36 这一 IP 时，会解析到一个 in-addr.arpa 主机名，并最终指向一个常规主机名。 查询 Google 的 IPv6 地址 2607:f8b0:4008:802::2004 可以看到，它首先解析到一个 ip6.arpa 主机名，然后再解析到一个常规主机名，如下所示。 钓鱼活动对 .arpa 域名的滥用 Infoblox 观测到的一起钓鱼攻击活动，利用了 ip6.arpa 反向 DNS 顶级域名。该域名通常通过 PTR 记录将 IPv6 地址映射回主机名。 然而，攻击者发现，如果他们申请到属于自己的 IPv6 地址段，就可以滥用该 IP 段对应的反向 DNS 区域，为钓鱼网站配置额外的 DNS 记录。 在正常的 DNS 功能中，反向 DNS 域名仅用于 PTR 记录，使系统能够查询与某个 IP 地址关联的主机名。 但攻击者发现，一旦控制了某段 IPv6 地址对应的 DNS 区域，部分 DNS 管理平台允许他们配置其他类型的记录，这些记录可被滥用于钓鱼攻击。 Infoblox 解释称：“我们发现威胁行为者利用 Hurricane Electric 与 Cloudflare 创建这类记录 —— 两者均拥有良好信誉，攻击者正是利用了这一点 —— 并且我们确认其他一些 DNS 服务商也允许此类配置。” “我们的测试并非全覆盖，但我们已向发现存在安全漏洞的服务商进行了通报。图 2 展示了威胁行为者创建钓鱼邮件中所用域名的流程。” 为搭建相关基础设施，攻击者首先通过 IPv6 隧道服务获取一段 IPv6 地址。 Infoblox 关于 .arpa 顶级域在钓鱼邮件中如何被滥用的分析综述 (来源：Infoblox) 在获得地址段的控制权后，攻击者利用该 IPv6 地址段生成反向 DNS 主机名，并使用随机生成的子域名，使其难以被检测或拦截。 攻击者并未按预期配置 PTR 记录，而是创建 A 记录，将这些反向 DNS 域名指向承载钓鱼网站的基础设施。 该攻击活动中的钓鱼邮件使用奖品、调查奖励或账户通知等诱饵。这些诱饵以图片形式嵌入邮件，图片链接指向 IPv6 反向 DNS 记录，例如 d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa，而非常规主机名，因此目标用户不会看到奇怪的 arpa 主机名。 当受害者点击钓鱼邮件中的图片时，设备会通过 DNS 服务商解析由攻击者控制的反向 DNS 服务器。 使用.arpa 主机名展示图片和链接的 HTML 代码 (来源：Infoblox) 在部分案例中，权威域名服务器由 Cloudflare 托管，反向 DNS 域名解析到 Cloudflare IP 地址，从而隐藏后端钓鱼基础设施的真实位置。 点击图片后，受害者会经过流量分发系统（TDS）跳转，该系统通常根据设备类型、IP 地址、网页来源等条件判断访客是否为有效目标。若通过验证，则跳转到钓鱼网站；否则跳转到合法网站。 Infoblox 表示，这类钓鱼链接生命周期很短，仅活跃数天。链接失效后，会跳转到域名错误页面或其他合法网站。 研究人员认为，此举是为了增加安全研究人员分析和调查钓鱼攻击的难度。 此外，由于 .arpa 域名是为互联网基础设施保留的，它不包含普通注册域名所具备的信息，例如 WHOIS 信息、域名年龄、联系方式等。这使得邮件网关与安全工具更难检测恶意域名。 研究人员还观测到，该钓鱼活动同时使用了其他技术，例如劫持悬空 CNAME 记录与子域名影子化技术，使攻击者能够通过与合法机构关联的子域名投放钓鱼内容。 Infoblox 解释称：“我们发现超过 100 个案例中，威胁行为者劫持了知名政府机构、大学、电信公司、媒体机构和零售商的 CNAME 记录。” 通过将安全工具所信任的反向 DNS 功能武器化，攻击者可以生成能够绕过传统检测手段的钓鱼 URL。 与往常一样，防范此类钓鱼攻击的最佳方式是避免点击邮件中意外出现的链接，而是直接通过官方网站访问相关服务。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 维基媒体基金会今日遭遇安全事件，一款自传播 JavaScript 蠕虫篡改用户脚本并破坏 Meta-Wiki 页面。 维基编辑首先在 “村舍水泵（技术版）” 板块上报该事件，用户发现大量自动化编辑行为向随机页面植入隐藏脚本并实施破坏。 维基媒体工程师暂时限制全平台编辑功能，同时调查攻击并回滚篡改内容。 JavaScript 蠕虫细节 据维基媒体 Phabricator 问题追踪系统显示，事件源于俄文维基上的恶意脚本被执行，导致维基百科全局 JavaScript 脚本被植入恶意代码。 该恶意脚本存储于 User:Ololoshka562/test.js[存档]，最早上传于 2024 年 3 月，据称与此前维基项目攻击所使用的脚本相关。 BleepingComputer 分析编辑记录发现，该脚本今日早些时候首次被维基媒体员工账号执行，当时该账号正在测试用户脚本功能。目前尚不清楚脚本是被故意执行、测试中意外加载，还是因账号被盗触发。 BleepingComputer 分析存档的 test.js 脚本发现，其通过向登录用户的 common.js 和维基百科全局 MediaWiki:Common.js（所有用户共用） 注入恶意 JavaScript 加载器实现自传播。 MediaWiki 支持全局和用户专属 JavaScript 文件（如 MediaWiki:Common.js、User:<用户名>/common.js），这些文件在编辑者浏览器中执行，用于自定义维基界面。 当 test.js 脚本在登录编辑者的浏览器中加载后，会利用该编辑者的会话和权限尝试修改两个脚本： ·     用户级持久化：覆盖 User:<用户名>/common.js，植入加载器 —— 该用户登录浏览维基时会自动加载 test.js 脚本。 ·     全站级持久化：若用户拥有对应权限，脚本会编辑全局 MediaWiki:Common.js，使所有使用该全局脚本的编辑者都执行恶意代码。 向 MediaWiki:Common.js 注入自传播 JavaScript 蠕虫的代码（来源：BleepingComputer） 若全局脚本被成功篡改，所有加载该脚本的用户都会自动执行加载器，进而重复相同步骤（包括感染自身 common.js）。 遭感染的维基媒体用户 common.js 脚本（来源：BleepingComputer） 该脚本还能通过 Special:Random 维基指令获取随机页面，编辑页面插入图片及以下隐藏 JavaScript 加载器： BleepingComputer 分析显示，事件中约 3996 个页面被篡改，85 名用户的 common.js 文件被替换，被删除的页面数量尚未可知。 遭 JavaScript 蠕虫篡改的页面（来源：BleepingComputer） 随着蠕虫扩散，工程师暂时限制全平台编辑功能，同时回滚恶意修改、移除注入脚本的引用。清理过程中，维基媒体基金会员工还回滚了平台上大量用户的 common.js 文件。被篡改的页面现已被 “屏蔽”，不再显示在修改记录中。 截至发稿，注入代码已被清除，编辑功能恢复正常。但维基媒体尚未发布详细事后报告，说明休眠脚本被执行的具体原因，以及蠕虫被控制前的扩散范围。 更新内容：维基媒体基金会向 BleepingComputer 发布声明称，恶意代码仅活跃 23 分钟，期间仅篡改 / 删除 Meta-Wiki 内容（现已恢复）。 声明全文：“今日早些时候，维基媒体基金会员工正对维基百科上用户编写的代码进行安全审查。审查过程中激活了一段休眠代码，随后发现该代码具有恶意性质。作为预防措施，我们暂时禁用维基百科及其他维基媒体项目的编辑功能，同时清除恶意代码并确认平台可安全使用。此次故障的安全问题现已解决。 恶意代码仅活跃 23 分钟，期间篡改 / 删除 Meta-Wiki 内容（现已恢复），未造成永久性损害。无证据表明维基百科遭蓄意攻击，也无个人信息泄露。我们正制定额外安全措施，降低同类事件再次发生的风险。相关更新将通过基金会公开事件日志持续发布。”   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露了一个影响 Context7 MCP Server 的高危漏洞，该工具被广泛用于向 AI 编程助手提供开发文档。 该漏洞被命名为 ContextCrush，攻击者可通过受信任的文档渠道，向 AI 开发工具注入恶意指令。 漏洞由 Noma Labs 研究人员在 Upstash 运营的 Context7 平台中发现。Context7 让开发者在集成开发环境中，直接为 Cursor、Claude Code、Windsurf 等 AI 助手提供最新的库文档。 该服务拥有约 5 万 GitHub Star、超过 800 万 npm 下载量，已成为 AI 辅助开发流程中的常见基础组件。 ContextCrush 漏洞原理 漏洞源于平台的 Custom Rules（自定义规则） 功能，库维护者可通过该功能向 AI 提供专用指令，帮助助手更好地解析文档。研究人员发现，这些指令会原样下发给 AI，不经过任何过滤或净化。 由于指令通过受信任的 MCP 服务器传输，AI 会将其视为合法指引，并以开发者电脑的权限执行。 这意味着攻击者可在文档注册库中植入恶意规则，并借助 Context7 的基础设施分发给开发者的 AI 工具，且无需与受害者系统直接交互。 研究人员概述了一种典型的攻击链： ·     使用 GitHub 账号在 Context7 注册新库 ·     在 Custom Rules 中插入恶意指令 ·     等待开发者通过 AI 编程助手查询该库 ·     触发后，AI 会利用现有系统权限执行有害操作 已验证的影响与安全风险 测试中，研究人员成功演示了被投毒的库条目如何攻陷开发环境。 AI 助手被指令搜索敏感 .env 文件、将内容传到攻击者控制的仓库，并以 “清理任务” 为名删除本地文件。由于指令与合法文档一同下发，AI 无法可靠区分。 安全分析师警告，MCP 服务器架构存在固有信任问题。聚合用户生成内容并通过可信渠道分发的工具，可能无意中把文档变成 AI 可执行指令。 Noma Labs 还强调，GitHub 声誉、热度排名、信任评分等指标均可被操纵，恶意库可轻易伪装成可信库。 在 2 月 18 日漏洞披露后，Upstash 次日开始修复，并于 2 月 23 日正式发布补丁，加入规则净化与额外安全防护。目前无证据表明该漏洞已被实际利用。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用 User Registration & Membership 插件中的高危漏洞，该插件在超过 6 万个 WordPress 网站上安装使用。 该插件由 WPEverest 开发，提供会员与用户注册管理功能，包括自定义表单、PayPal/Stripe 支付集成、银行转账及数据分析。 该漏洞编号为 CVE-2026-1492，CVSS 评分 9.8 分（高危）。由于插件在注册时允许用户指定角色，黑客可未授权创建管理员账户。 管理员账户拥有网站完全权限，可安装插件 / 主题、编辑 PHP、修改安全配置、篡改内容，甚至锁定合法管理员。 获得该权限的攻击者可窃取用户数据库等数据，并植入恶意代码向访客分发恶意程序。 WordPress 安全公司 Defiant（Wordfence 开发商）在过去 24 小时内，在客户环境中拦截了超过 200 次针对该漏洞的利用尝试。 漏洞影响 5.1.2 及以下所有版本。开发者已在 5.1.3 版本中发布修复。建议网站管理员更新至最新版本 5.1.4（上周发布）。 若无法更新，建议暂时禁用或卸载插件。 据 Wordfence 数据，CVE-2026-1492 是该插件今年披露的最严重漏洞。 黑客持续针对 WordPress 网站，用于恶意活动：分发恶意软件、钓鱼、搭建 C2、代理流量或存储被盗数据。 2026 年 1 月，黑客开始利用 Modular DS 插件的最高危漏洞 CVE-2026-23550，可远程绕过认证并以管理员权限访问受影响网站。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员披露一起与俄罗斯关联的钓鱼攻击活动，使用两款全新恶意软件家族 BadPaw 和 MeowMeow 针对乌克兰组织。攻击链以携带 ZIP 压缩包链接的钓鱼邮件开始。打开后，一个 HTA 文件会显示一份乌克兰语的边境过境申请诱饵文档，同时在后台秘密启动感染链。 ClearSky 的报告写道：“攻击链始于一封包含 ZIP 压缩包链接的钓鱼邮件。解压后，初始 HTA 文件会显示一份用乌克兰语撰写的关于边境过境申请的诱饵文档，以欺骗受害者。与此同时，感染程序会下载基于.NET 的加载器 BadPaw。在建立 C2 通信后，该加载器会投放功能复杂的后门 MeowMeow。” 研究人员发现，这两款恶意软件均使用.NET Reactor 加壳工具增加分析与逆向难度，表明攻击者意图规避检测并实现长期驻留。 报告继续写道：“BadPaw 采用的另一层防护是使用.NET Reactor，这是一款用于.NET 程序集的商用保护与混淆工具。该加壳工具对底层代码进行混淆，阻碍静态分析与逆向工程。” 该恶意软件还包含多重防御机制。其组件仅在使用特定参数启动时才会激活，否则显示正常界面并执行无害代码。 MeowMeow 后门增加环境检测，扫描系统是否为虚拟机，以及是否存在 Wireshark、ProcMon、Fiddler 等分析工具。若检测到沙箱或研究环境，会立即停止运行以避免被分析。 ClearSky 研究人员高置信度将此次活动归为与俄罗斯相关的网络间谍组织，较低置信度归为 APT28。评估依据三点：针对乌克兰机构、代码中存在俄语痕迹、战术与俄罗斯过往网络行动一致（包括多阶段感染链、.NET 加载器）。 与此同时，攻击链会投放名为 BadPaw 的.NET 加载器，该加载器与远程服务器建立通信，获取并投放高级后门 MeowMeow。 该活动中置信度归为俄罗斯国家级威胁组织 APT28，依据是目标范围、诱饵的地缘政治属性，以及与俄罗斯过往网络行动的技术重合点。 ClearSky 的研究详细描述了多阶段感染链，该感染链始于通过乌克兰服务商 ukr [.] net 发送的钓鱼邮件，该服务商曾在俄罗斯的攻击活动中被滥用。邮件包含一个链接，首先加载追踪像素，受害者点击时通知攻击者，随后跳转到短链接，下载 ZIP 压缩包。 压缩包内是伪装成 HTML 文档的 HTA 文件。执行时会打开关于乌克兰边境过境申请的诱饵文档，同时静默启动恶意流程。该 HTA 通过检查系统安装日期进行反分析，若为新近安装系统则终止运行，这是常见的沙箱规避手段。 报告继续写道：“释放的诱饵文档属于社会工程手段，显示为乌克兰边境过境政府申请的回执确认。该诱饵用于维持合法外观，而 HTA 文件在后台执行后续阶段。” “为规避检测并识别潜在沙箱环境，HTA 文件通过检查以下注册表项进行环境判断：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate 通过查询该值，恶意软件计算操作系统 “年龄”。若系统安装时间距运行不足 10 天，恶意软件直接退出。这是一种常见反分析技术，用于避免在新建虚拟机或自动化分析沙箱中运行。” 若条件满足，会查找原始压缩包，释放额外组件，并通过计划任务实现持久化。随后 VBS 脚本通过隐写术从图片中提取隐藏的载荷数据，释放出 PE 文件，研究人员确认为 BadPaw 加载器，该加载器最终投放 MeowMeow 后门并建立 C2 通信。 研究人员在恶意软件代码中发现俄语字符串，其中包括表示达到运行状态所需时间的内容。这些痕迹表明来源为俄罗斯，可能是操作安全（OPSEC）失误，或未针对乌克兰目标移除开发残留内容。 报告总结道：“这些俄语字符串的存在表明两种可能：威胁组织犯了操作安全错误，未针对乌克兰目标环境做代码本地化；或是在恶意软件制作阶段无意中留下了俄语开发痕迹。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Tycoon 2FA 是一款知名的钓鱼即服务（PhaaS）工具集，它允许网络犯罪分子大规模实施中间人（AitM）式凭证窃取攻击。如今，该平台已被多国执法机构与安全公司组成的联合行动小组摧毁。 这款基于订阅模式的钓鱼工具套件最早于 2023 年 8 月出现，欧洲刑警组织将其描述为全球规模最大的钓鱼犯罪活动之一。该工具通过 Telegram 和 Signal 出售，起步价为 10 天使用权 120 美元，或一个月网页版管理面板访问权限 350 美元。据称，Tycoon 2FA 的主要开发者是居住在巴基斯坦的萨阿德・弗里迪（Saad Fridi）。 该管理面板是配置、追踪和优化钓鱼活动的核心中枢。它内置预制模板、常用诱饵格式的附件文件、域名与托管配置、重定向逻辑以及受害者追踪功能。操作者还可以配置恶意内容通过附件进行分发的方式，并监控有效与无效的登录尝试。 窃取到的信息包括账号凭证、多因素认证（MFA）验证码和会话 Cookie 等，这些信息既可以在面板内直接下载，也可以转发到 Telegram 中进行近乎实时的监控。 欧洲刑警组织表示：“该平台使数千名网络犯罪分子能够秘密访问电子邮件和云服务账户。在大规模运作下，该平台每月生成数千万封钓鱼邮件，并协助攻击者未经授权访问全球近 10 万家机构，其中包括学校、医院和公共机构。” 作为此次联合行动的一部分，支撑该犯罪服务的 330 个核心域名（包括钓鱼页面和控制面板）已被关停。 情报机构 Intel 471 将 Tycoon 2FA 定性为 “危险” 平台，并表示该工具套件与超过 64,000 起钓鱼事件及数万个域名相关联，每月产生数千万封钓鱼邮件。微软公司正在以代号 Storm-1747 追踪该服务的运营者，微软称，Tycoon 2FA 成为其在 2025 年观测到的最活跃攻击平台，并促使其在 2025 年 10 月拦截了超过 1300 万封与该恶意软件服务相关的恶意邮件。 截至 2025 年年中，Tycoon 2FA 占到了微软拦截的所有钓鱼攻击尝试的约 62%，其中单月邮件量就超过 3000 万封。这家科技巨头补充称，自 2023 年以来，该服务已在全球造成约 96,000 名 distinct 钓鱼受害者，其中包括超过 55,000 名微软客户。 网络安全公司 SpyCloud 对受害者日志数据的地理分析显示，美国是已确认受害者最集中的地区（179,264 人），其次是英国（16,901 人）、加拿大（15,272 人）、印度（7,832 人）和法国（6,823 人）。 这家网络安全公司表示：“绝大多数被攻击的账户都是企业管理账户，或与付费域名相关联，这进一步证实了一个结论：Tycoon 2FA 主要针对商业环境，而非个人消费者账户。” 网络安全公司 Proofpoint 的数据显示，Tycoon 2FA 是流量规模最大的中间人钓鱼威胁来源。这家电子邮件安全厂商称，仅在 2026 年 2 月，它就监测到超过 300 万条与该钓鱼工具相关的消息。作为此次行动的私营部门合作伙伴之一，趋势科技（Trend Micro）指出，该钓鱼即服务平台拥有约 2000 名使用者。 利用 Tycoon 2FA 发起的钓鱼活动几乎不加区分地针对所有行业，包括教育、医疗、金融、非营利组织和政府部门。通过该工具发送的钓鱼邮件每月覆盖全球超过 50 万家机构。 微软表示：“Tycoon 2FA 平台使威胁行为人能够模仿微软 365、OneDrive、Outlook、SharePoint 和 Gmail 等服务的登录页面，从而冒充可信品牌。” “它还允许使用该服务的威胁行为人实现持久化控制，即使用户重置了密码，也能继续访问敏感信息，除非活跃会话和令牌被显式吊销。这种效果的实现原理是，在身份认证过程中拦截生成的会话 Cookie，同时捕获用户凭证。随后，多因素认证验证码会通过 Tycoon 2FA 的代理服务器中转到目标认证服务。” 该工具套件还采用了多种技术来规避检测，包括按键记录监控、反机器人筛选、浏览器指纹识别、高强度代码混淆、自建验证码、自定义 JavaScript 以及动态诱饵页面等。另一个关键特点是，它大量使用各类顶级域名（TLD）和短期有效完全限定域名（FQDN），并依托 Cloudflare 搭建钓鱼基础设施。 这些完全限定域名通常仅存活 24 到 72 小时，这种快速轮换是故意为之，目的是增加检测难度，并阻止安全机构建立可靠的拦截黑名单。微软还将 Tycoon 2FA 的成功归因于其高度模仿合法认证流程，从而隐秘拦截用户凭证和会话令牌。 更糟糕的是，Tycoon 2FA 的客户还使用一种名为 “账户接管跳跃”（ATO Jumping）的技术，即利用已攻陷的电子邮件账户分发 Tycoon 2FA 钓鱼链接，并尝试发起更多账户接管攻击。Proofpoint 指出：“使用这种技术能让邮件看起来像是真正来自受害者信任的联系人，从而提高攻击成功的可能性。” 像 Tycoon 这样的钓鱼工具套件在设计上具备高度灵活性，既能让技术能力不强的攻击者轻松使用，同时也能为更有经验的操作者提供高级功能。 Proofpoint 高级威胁研究员赛琳娜・拉尔森（Selena Larson）在向《黑客新闻》提供的声明中表示：“2025 年，99% 的机构遭遇了账户接管攻击尝试，67% 的机构发生了成功的账户接管事件。在这些被攻陷的账户中，59% 已经启用了多因素认证。虽然并非所有这些攻击都与 Tycoon 2FA 有关，但这一数据凸显了中间人钓鱼对企业造成的巨大影响。” “这些能够实现完全账户接管的网络攻击可能导致灾难性后果，包括勒索软件感染或敏感数据泄露。随着威胁行为人持续将身份攻击作为重点，获取企业电子邮件账户的访问权限，往往是一条可能带来毁灭性后果的攻击链的第一步。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国新泽西州最大的县之一正遭受网络攻击，全县政府部门电话线路与 IT 系统均受影响中断。 位于新泽西州北部、人口近 60 万的帕塞伊克县（Passaic County）于周三晚间发布公告，告知居民该县遭遇恶意软件攻击，IT 系统与电话线路受影响。 该县表示：“我们正与联邦及州政府官员合作，调查并控制此次事件。” 该县周三上午首次通报电话线路中断，下午确认故障由网络攻击导致。 在 2023 至 2025 年针对大型都会区的多起勒索软件攻击后，网络犯罪团伙现已将目标转向中小型地方政府。2026 年至今，已有数十个县市成为攻击目标，包括佛罗里达州、康涅狄格州和西弗吉尼亚州的多个城市。 除地方政府外，近几周多家医院也成为黑客攻击目标。密西西比州一家大型医院遭勒索软件攻击后，经过数周恢复，终于在周一恢复正常运营；此前该院系统长期中断、停诊并取消大量预约。 帕塞伊克县官员表示：“新泽西州其他多个地方政府也遭遇过类似事件”，这很可能指此前曾遭勒索软件攻击的萨默塞特县、卡姆登县、伯根县、蒙特克莱尔镇和霍博肯市。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文