HackerNews 编译，转载请注明出处： 美国司法部本周宣布，两名美国网络安全行业从业者，已就其参与BlackCat（又名Alphv） 勒索软件攻击 相关指控认罪。 去年 10 月，美方曾指控三名人员针对多家美国本土企业实施勒索软件攻击。其中两名嫌疑人分别为来自得克萨斯州、36 岁的凯文・马丁，以及一名未公开身份的人士 —— 二人此前均在威胁情报与事件响应公司数字明特担任勒索软件谈判专员。第三名嫌疑人是来自佐治亚州、40 岁的瑞安・戈德堡，他曾任职于网络安全企业赛格尼娅，担任事件响应经理。 美方指控这三人非法入侵多家企业系统，窃取核心机密信息，并投放BlackCat勒索软件。 据司法部对该犯罪团伙运作模式的描述，这三名嫌疑人实为BlackCat勒索软件的附属成员。他们会将从受害者处获取的赎金抽取 20%，上缴给该勒索软件运营组织的管理者，以此换取文件加密恶意软件的使用权，以及专用敲诈勒索管理平台的访问权限。 司法部透露，三人曾从一名受害者处，通过比特币收取了 120 万美元赎金。 戈德堡与马丁均承认犯有敲诈勒索共谋罪—— 二人利用勒索软件瘫痪企业运营，以此实施敲诈。他们或将面临最高 20 年监禁，案件量刑听证会定于 2026 年 3 月 12 日举行。 2021 年 11 月至 2023 年 12 月期间，执法部门开展专项行动瓦解了该网络犯罪团伙，而在此期间，BlackCat勒索软件运营组织已针对超 1000 家机构发起攻击。该团伙并未就此销声匿迹，而是继续活动数月之久，直至从全康医疗处榨取 2200 万美元赎金后，才以 “跑路骗局” 的方式彻底收手。 自 2024 年初起，美国政府已悬赏 1000 万美元，征集与BlackCat 勒索软件团伙核心成员有关的线索，但截至目前，尚未公布相关抓捕指控进展。 值得注意的是，就在戈德堡与马丁认罪消息公布的数天前，乌克兰籍人士阿尔乔姆・斯特里扎克，也已在美国一家法院就其涅斐勒姆”勒索软件附属成员 的相关指控认罪。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两名网络安全从业人员上周认罪，他们此前受业已解散的 “阿尔法 HV / 黑猫” 网络犯罪组织指使，发起多起勒索软件攻击，相关行为已构成犯罪。 瑞安・戈德堡与凯文・马丁均承认一项 “合谋以勒索手段妨碍商业活动” 罪名，最高可面临 20 年监禁，二人的量刑听证会定于 3 月 12 日举行。 40 岁的戈德堡来自佐治亚州，曾任职于网络安全事件响应公司西格尼亚；36 岁的马丁来自得克萨斯州，曾是数字铸币公司的勒索软件谈判专家。两人于三个月前被提起公诉，戈德堡于 9 月 22 日被捕，马丁则在 10 月 14 日落网。 法庭文件显示，2023 年 4 月至 12 月期间，二人与另一名未公开身份的同伙联手，借助 “阿尔法 HV / 黑猫” 勒索软件对多家机构发动攻击 —— 他们利用自身在网络安全事件响应领域的职务便利，向多名受害者实施勒索。 检察官透露，受害者包括佛罗里达州一家医疗企业、马里兰州一家制药公司、加利福尼亚州一家诊所、弗吉尼亚州一家无人机企业以及加利福尼亚州一家工程公司。 起诉书指出，三人发起的攻击导致诊所的患者照片被窃取，并被发布在该勒索软件团伙的泄密网站上。 两人从佛罗里达州那家医疗企业勒索得约 120 万美元，并将其中 20% 上交 “阿尔法 HV” 组织管理人员，其余攻击均未得逞。据悉，戈德堡在接受联邦调查局问话 10 天后，便于 6 月与其妻子购买了飞往巴黎的单程机票。 美国司法部助理部长泰森・杜瓦表示：“这两人利用自身精湛的网络安全专业能力实施勒索软件攻击，而这类犯罪本应是他们职责所在、全力阻止的行为。” 美国联邦检察官贾森・雷丁・基尼奥内斯补充道：“戈德堡与马丁利用受信任的权限和技术能力，对美国受害者实施勒索，从数字胁迫行为中牟利。” 数字铸币公司发表声明称，对马丁的行为予以强烈谴责，其行为均是 “在公司毫不知情、未获许可且未参与的情况下擅自实施”。 声明指出：“他的行为严重违背公司价值观与道德准则。调查期间，我们全程配合美国司法部的工作，并支持这一判决结果，认为这是追究责任的关键一步。” 西格尼亚公司此前向Recorded Future News透露，公司得知相关情况后，立即解雇了戈德堡。 该公司于 11 月表示：“尽管西格尼亚并非本次调查对象，但我们正与联邦调查局保持密切合作。” 由于案件属于正在进行的联邦调查，公司暂无法提供更多信息。 “阿尔法 HV / 黑猫” 曾是业内极为猖獗的勒索软件团伙，2024 年遭执法部门打击后宣告解散。该团伙曾对拉斯维加斯最大酒店、某市值数十亿美元的房地产巨头发动破坏性攻击，后续又通过勒索软件摧毁了联合健康集团的核心系统，最终选择关闭运营。 美国司法部称，该团伙通过 “勒索软件即服务” 模式，在全球范围内攻击了超 1000 名受害者。联邦调查局为此研发了解密工具，据称帮助受害者避免了 9900 万美元的赎金损失。 戈德堡与马丁的案件，让网络保险及勒索软件谈判行业再次陷入舆论焦点。该行业长期以来饱受诟病，其与网络犯罪团伙的复杂互动关系以及在网络安全事件中的应对策略，一直存在较大争议。 联邦调查局特工负责人布雷特・斯基尔斯提醒：“机构在委托第三方处理勒索软件事件响应时，应开展尽职调查；发现可疑或违规行为需及时举报；一旦遭遇勒索软件攻击，应立即向联邦调查局及其他执法伙伴报告，以保障自身的安全与隐私。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与俄罗斯有关联的勒索软件团伙宣称，已从马萨诸塞州一家拥有 75 年历史的会计事务所窃取了纳税申报数据和社保号码，目前正静待受害者支付赎金。 随着报税季日益临近，网络犯罪分子正加紧对纳税人和会计事务所发起攻击。 此次遭到攻击的是马萨诸塞州老牌会计事务所CSA 税务咨询公司，该公司主营税务相关服务，而发起攻击的正是Lynx勒索软件团伙。 12 月 26 日，该团伙在暗网的数据泄露网站发布公告，声称已窃取这家公司及其客户的相关数据。这种公开窃取数据的行为，是勒索软件团伙逼迫受害者支付赎金的惯用手段，此次Lynx团伙显然也是故技重施。该团伙在其网站上声称，他们的行事宗旨是避免对目标机构造成不必要的损害。 其公告中写道：“我们的运作模式倡导通过沟通协商解决问题，而非制造混乱与破坏。” 截至目前，CSA 税务咨询公司尚未公开证实此次数据泄露事件。cybernews已就此联系该公司寻求置评，目前仍在等待回应。 据称遭窃取的数据包含哪些内容？ 为证实攻击属实，该团伙公布了据称是这家公司的数据截图。cybernews对这些数据样本进行核查后发现，被盗数据可能包含以下信息： 完整姓名 社会保障号码 实际居住地址 配偶医疗保险承保协议 服务发票 个人所得税申报数据 美国国税局电子申报签名授权表 企业内部通信记录 若这些数据被证实真实有效，CSA 税务咨询公司的客户将面临钓鱼攻击和身份盗用的风险。 cybernews研究团队表示：“这类数据会让钓鱼攻击极具迷惑性。试想一下，当有人打电话给你，不仅知道你的住址、配偶姓名，还掌握你近期报税的具体细节，你很容易就会相信对方。” 山猫勒索软件团伙是什么来头？ 该团伙于 2024 年年中首次进入公众视野，采用勒索软件即服务 的运营模式，主攻金融、建筑和制造行业的机构。 据cybernews自主研发的监控工具 Ransomlooker监测数据显示，自 2024 年以来，该团伙已将 294 家机构列为攻击目标，是勒索软件领域的主要作恶势力之一。 此前，该团伙曾宣称入侵了医疗巨头亨利・谢恩公司旗下的 TriMed 医疗子公司，并在暗网上泄露了其敏感数据，这一事件后续得到了 TriMed 公司的证实。 该团伙还宣称，英国知名建筑企业多德集团是其近期的攻击目标之一。 今年 9 月，Lynx团伙声称从美国最大的寿司及海鲜供应商真世界集团有限责任公司窃取了数据。 除此之外，据称遭到该团伙攻击的目标还包括达乐公司、美国第二大鸡蛋生产商玫瑰园农场，以及哥伦比亚广播公司旗下的主要附属电视台WDEF 电视台。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国两家银行近日相继发声，提醒客户其信息受到了今年 8 月一起针对知名金融软件公司的勒索软件攻击影响。 工匠银行与维拉银行上周向缅因州监管机构通报，近期发生的数据泄露事件，源头正是Marquis Software遭遇的网络攻击。这家软件公司此前曾披露，约在 8 月 14 日遭受勒索软件攻击，导致数十家企业客户及数千名下游用户受到波及。 维拉银行在致受害者的信函中说明，Marquis Software是该行 “客户沟通与数据分析服务商”。 这家总部位于得克萨斯州的银行表示：“该服务商有权访问你的相关数据，一方面用于向你推送重要的必要信息更新，另一方面也用于分析何种银行产品与服务最契合你的需求。我们是在服务商签订数据安全保护相关合同后，才向其开放数据访问权限的。” 此次事件共导致 37318 人的信息被盗，但信函中并未提及具体失窃的信息内容。 总部位于特拉华州的工匠银行透露，该行于 10 月收到Marquis Software的事件通知，经核查发现，有 32344 人的姓名及社会保障号码因这次网络攻击泄露。 两家银行均强调，黑客并未入侵银行自身系统，被盗信息均为 “由Marquis Software负责维护的数据”。 Marquis Software为美国数百家信用社及银行提供数据分析、合规解决方案与数字营销工具，维拉银行和工匠银行是最新一批披露受该公司攻击事件波及的下游金融机构。 Marquis Software在其发布的事件公告中表示，公司于 8 月发现攻击后，已第一时间向联邦执法部门报案。 经调查，此次入侵的根源是其梭子鱼防火墙设备存在安全漏洞。该公司称，被盗的个人信息包括姓名、住址、电话号码、社会保障号码、纳税人识别号、不含安全码或访问码的金融账户信息，以及出生日期。 10 月 27 日至 11 月 25 日期间，Marquis Software已通知至少 74 家银行、信用社及金融机构，告知其信息涉及本次数据泄露。除了向缅因州、南卡罗来纳州、华盛顿州、艾奥瓦州等多地监管机构提交自身的事件报告外，该公司还代多家金融机构发布了数据泄露通知。 对于受影响金融机构数量是否持续增加、以及受害者总人数等问题，马奎斯软件未回应置评请求。 多家律所及网络安全研究人员通过汇总多州数据泄露登记系统的受害者统计数据推算，此次事件的受害者人数或在 78.8 万至 135 万之间。 网络安全公司 “比较科技” 还获取到了一封已被删除的泄露通知函，该函件来自艾奥瓦州的第一社区信用社，其中提到Marquis Software已向发起此次攻击的黑客组织支付了赎金。 针对赎金支付相关问题，Marquis Software同样未予置评。目前，尚无任何勒索软件团伙公开宣称对此次攻击负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非洲 19 个国家的执法机构联手打击网络犯罪，取得重大胜利。在为期一个月的 Operation Sentinel中，警方于 11 月 27 日行动结束时，共逮捕 574 名嫌疑人，并成功捣毁 6 种勒索软件变种。 该行动于 10 月 27 日启动，11 月 27 日结束，重点打击三大日益猖獗的网络威胁：企业邮箱入侵诈骗（BEC）、数字勒索和勒索软件攻击。执法部门已禁用 6000 多个恶意链接，追回约 300 万美元非法资金，而此次行动调查的案件相关损失估计超过 2100 万美元。“哨兵行动” 充分展现了快速国际合作在防范重大经济损失方面的巨大成效。 典型案例 塞内加尔：一家大型石油企业遭遇精密的企业邮箱入侵诈骗，诈骗分子入侵企业内部邮件系统，伪装成高管批准了一笔 790 万美元的电汇。塞内加尔当局在数小时内冻结了收款账户，成功阻止了转账。 加纳：一家金融机构遭到勒索软件攻击，100 太字节数据被加密，约 12 万美元被盗。加纳当局通过先进的恶意软件分析，锁定了勒索软件类型，开发出解密工具，成功恢复近 30 太字节数据，并逮捕多名嫌疑人。行动还捣毁了一个横跨加纳与尼日利亚的网络诈骗团伙，该团伙通过仿冒知名快餐品牌的专业网站和移动应用，骗取 200 多名受害者共 40 万美元。加纳警方逮捕 10 名嫌疑人，缴获 100 多台电子设备，关闭 30 台诈骗服务器。 贝宁：执法部门关闭 43 个恶意域名，禁用 4318 个与勒索相关的社交媒体账户，逮捕 106 人。 喀麦隆：警方迅速阻止了一场针对汽车销售平台的钓鱼攻击，并在数小时内紧急冻结相关银行账户。 国际刑警组织网络犯罪部主任尼尔・杰顿表示：“非洲地区网络攻击的规模和复杂程度正不断升级。‘哨兵行动’体现了非洲执法部门保护民众生计与关键基础设施安全的坚定决心。” 此次行动的成功离不开行业领军企业的协作支持，包括西姆鲁团队（Team Cymru）、影子服务器基金会（The Shadowserver Foundation）、趋势科技（Trend Micro）、TRM 实验室（TRM Labs）和乌普萨拉安全公司（Uppsala Security），这些机构为追踪攻击源头和冻结非法资产提供了关键技术支持。“哨兵行动” 有 19 个国家参与，并得到英国外交、联邦和发展办公室通过非洲联合打击网络犯罪计划（AFJOC）提供的支持。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国与欧洲政府机构于周四联合发布最新技术通告，帮助企业防御自2023年起持续攻击中小型企业的Akira勒索软件团伙。这份对2024年4月原始通告的更新文件，新增了该组织在攻击中利用的策略与漏洞清单。 据通告显示，截至9月下旬，Akira团伙据信已通过勒索攻击获利超2.44亿美元。”Akira勒索软件不仅窃取资金，更破坏支撑医院、学校及企业运转的核心系统，”FBI网络部门助理主任布雷特·莱瑟曼指出，”每个受入侵的网络背后，都是真实的人群和社区在遭受冷酷网络罪犯的伤害。” 除FBI外，美国国防部、卫生与公众服务部共同参与了通告修订，欧洲刑警组织及法国、德国与荷兰执法机构也介入此次更新。该团伙据称主要瞄准制造业、教育、信息技术及医疗保健领域。 攻击手法揭秘 多家机构披露：”Akira威胁行为体通过窃取登录凭证或利用CVE-2024-40766等漏洞，获取SonicWall等VPN产品的访问权限。在某些案例中，他们通过初始访问中介或暴力破解VPN终端，凭借被盗VPN凭证实现初始入侵。此外，攻击者还部署密码喷洒技术，使用SharpDomainSpray等工具窃取账户凭证。” 该组织同时滥用AnyDesk、LogMeIn等远程访问工具维持对受害者网络的控制，并混入管理员活动以隐藏行踪。在部分事件中，应急响应人员发现Akira会卸载终端检测与响应系统。FBI警告称，在某些案例中攻击者在获得初始访问权限后仅两小时即完成数据窃取。 与Conti团伙的潜在关联 通告明确指出Akira与已解散的Conti勒索团伙存在联系，Conti在俄罗斯入侵乌克兰前夕解散前曾发动多起高关注度攻击。网络安全与基础设施安全局网络安全部门执行助理主任尼克·安德森在记者会上确认，Akira”可能与已解散的Conti勒索团伙存在某些关联”，但拒绝透露其是否与俄罗斯政府存在联系。 莱瑟曼补充说明：”虽然Akira与俄罗斯政府无直接关联，但我们确知Conti勒索团伙曾一度在俄罗斯境内活动，且部分成员可能与该组织存在联系。如同任何采用联盟计划的勒索组织，其成员可能遍布全球各地。” 重大攻击事件追溯 研究人员早前指出Akira与Conti勒索软件存在深度相似性，区块链分析显示多笔Akira赎金交易流向了Conti领导团队关联钱包。该团伙近期声称对BK Technologies公司发起网络攻击——这家佛罗里达企业为美国国防承包商及数十个警局、消防部门生产无线电设备。该公司上月向投资者预警9月遭遇安全事件，黑客窃取了非公开信息及现任/前任员工数据。 Akira还宣称对斯坦福大学、多伦多动物园、南非国有银行、外汇经纪商伦敦资本集团等数十个知名机构实施攻击。通告同时为受勒索团伙影响的K-12学校提供了专项防护建议。安德森强调：”Akira等组织带来的勒索威胁真实存在，各机构需严肃对待并迅速实施防护措施。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织SafePay声称对德国视频监控提供商Xortec的成功攻击负责，并将该公司列入其数据泄露网站。勒索软件支付截止日期为2025年10月27日。 Xortec GmbH总部位于法兰克福，在德国各地设有办事处，是一家增值分销商和系统集成商，专注于视频监控、IP网络和安全解决方案。该公司为企业及安装服务客户提供摄像头、网络录像机、门禁系统、布线与咨询服务。Xortec于2021年被Beyond Capital Partners收购，是一家快速增长的B2B公司，拥有数十名员工，年收入超过750万欧元，其增长主要由大型安装项目驱动。 该公司的客户主要为B2B类型：包括系统集成商、专业安装商、系统厂商以及在全球（尤其是在德语区及更广泛的国际市场）运营的经销商。鉴于其核心业务聚焦于视频监控和通信解决方案，Xortec提供的产品与服务构成了零售、物流、公共及私人基础设施和关键设施等多个行业安全基础架构的支撑。 对Xortec这类公司的攻击可能因其在安全供应链中的角色而产生广泛影响。攻击者可能在安装商使用的硬件或软件中植入后门，从而泄露客户数据、监控布局和运输记录。遭篡改的固件可能破坏对数千个已部署系统的信任。若Xortec的物流运营受阻，其影响将波及经销商和最终用户，甚至可能涉及交通或公用事业等关键行业——这使得此次入侵事件成为一个超越单一公司范畴的、系统性的、多层级风险。 SafePay是一个自2024年底开始活跃的快速崛起的勒索软件组织。该组织独立运营，采用数据窃取与加密的双重勒索策略，其攻击目标遍布制造业、医疗保健和政府等全球多个行业。该网络犯罪组织在获取访问权限后的24小时内迅速行动，并且会避开俄罗斯系统，这暗示其可能源于东欧地区。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Resecurity 的最新报告详细说明了麒麟勒索软件即服务（RaaS）团伙如何依赖全球防弹托管网络来支持其勒索行动。Resecurity 的这份报告将探讨麒麟 RaaS 运营对防弹托管（BPH）基础设施的依赖，重点关注分布在全球不同地区的流氓提供商网络。 麒麟是当今勒索组织中最为活跃且强大的威胁团伙之一。最引人注目的是，他们最近声称对日本啤酒巨头朝日集团控股公司 9 月的勒索软件攻击负责，该攻击使朝日集团的运营和生产功能瘫痪了近两周。Resecurity 的调查人员与麒麟操作员进行了私下交流，得知威胁行为者正试图以 1,000 万美元的价格出售被盗的朝日数据。这些要求是在 10 月 11 日收到的，当时朝日集团的运营刚刚中断，这可能是麒麟排除中间人、加快对受害者施压的一种策略。 10 月 15 日，麒麟宣布了新的目标和已确认的受害者，包括但不限于： 西班牙税务管理机构（Agencia Tributaria），西班牙王国的税收机构 美国的 Centurion Family Office Services LLC 美国的 Rasi Laboratories，一家生产开发营养保健品的制造商，专注于胶囊、片剂、益生菌和功能性食品等膳食补充剂 位于美国俄克拉荷马州塔尔萨的 Victory Christian Center，一个以社区为中心的教堂 美国里士满行为健康管理局（RBHA），一个致力于为里士满市居民提供全面心理健康、智力障碍、药物滥用及预防服务的州级组织 非洲的 Turnkey Africa，一家为非洲保险行业提供技术解决方案的领先提供商 美国的 Charles River Properties，一家总部位于马萨诸塞州沃尔瑟姆的房地产经纪公司 美国的新泽西财产责任保险担保协会 法国南部 Pyrénées-Orientales 部门的圣克劳德市（Commune De Saint Claude），一个市政服务机构 法国南部 Pyrénées-Orientales 部门的 Ville-Elne，一个市镇 此前，在 10 月 14 日，麒麟宣布大众汽车集团法国公司（大众汽车股份公司的子公司）、德克萨斯州的 San Bernard 电力合作社和 Karnes 电力合作社已被攻破。 针对汽车行业尤其值得关注，特别是考虑到此前捷豹路虎（JLR）事件以及勒索软件活动的破坏性后果。麒麟可能是受到数据泄露成功结果的启发，或者他们与提供此类组织访问权限的初始访问代理（IAB）合作，这些访问权限在暗网上出售。 鉴于公布的受害者数量和新被攻击的组织数量，10 月可以说是麒麟最“丰收”的一个月。很明显，该团伙正在增加对美国的攻击，此前曾攻击过佛罗里达州里维埃拉海滩市和科布县等地方市政机构。该团伙已公布了来自不同市场领域和地理区域的 50 多个新受害者，包括克罗地亚、格林纳达、法国、德国、匈牙利、意大利、韩国、巴基斯坦和卡塔尔。 麒麟勒索软件团伙的一个显著特点是其与地下防弹托管（BPH）运营商的密切联系，这些运营商使网络犯罪分子能够秘密托管非法内容和基础设施，使其超出执法部门的管辖范围。例如，自该团伙出现以来，它一直引用多个文件共享托管来检索存储在复杂法律管辖区的受害者数据。 BPH 服务的隐蔽性使得网络安全研究人员和执法机构难以识别其运营商并摧毁其基础设施。这使得打击网络犯罪和保护用户免受网络威胁的努力变得复杂。与麒麟相关的防弹托管已进入“私密模式”，并在流行的暗网社区中实施了退出骗局。然而，截至 2025 年 10 月 15 日，与本报告中描述的活动相关的所有法人实体（位于俄罗斯和香港）仍在继续运营。 与麒麟这样的勒索软件团伙的联系证实了这种活动的有组织性，这是现代跨国网络犯罪团伙的典型特征，它们以盈利为目的运营，并利用司法管辖区的挑战来掩盖其活动。     消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正滥用开源数字取证与事件响应工具Velociraptor，开展勒索软件攻击。此类攻击疑似由黑客组织Storm-2603策划，该组织以部署Warlock与LockBit勒索软件闻名。 上月，网络安全公司Sophos记录下该黑客组织对这款安全工具的滥用行为。 据思科网络安全团队分析，攻击者首先利用SharePoint本地部署版本中的“ToolShell漏洞”获取初始访问权限，随后植入Velociraptor的旧版本（0.73.4.0版）；该版本存在权限提升漏洞（CVE-2025-6264），攻击者可借此实现“任意命令执行”，最终完全控制目标终端设备。 在2025年8月中旬的一起攻击事件中，黑客采取了多项关键行动：尝试创建“域管理员账户”以提升权限，在已入侵的网络环境中横向移动，并利用获取的权限运行Smbexec等工具，通过SMB协议远程启动程序。 研究发现，在窃取数据、植入Warlock、LockBit及Babuk三款勒索软件之前，黑客会先修改ActiveDirectory中的“组策略对象”（GPOs）、关闭实时防护功能以破坏系统防御机制，并采取手段躲避安全检测。此次发现也是首次证实Storm-2603与Babuk勒索软件的部署存在关联。 Velociraptor由Rapid7公司于2021年收购后负责维护。该公司此前向TheHackerNews表示，已注意到Velociraptor被滥用的情况；与其他安全工具及管理工具类似，这款工具若落入不法分子手中，也可能被用于恶意目的。 针对最新披露的攻击事件，Rapid7威胁分析高级总监ChristiaanBeek指出：“这种行为属于‘工具滥用’，而非软件本身存在漏洞。攻击者只是将原本用于合法数据收集与协同管理的功能，改造成了攻击手段。” Storm-2603于2025年6月首次出现，此后将LockBit既用作攻击工具，也作为自身勒索软件的开发基础。值得注意的是，Warlock曾以“wlteaml”为名义，成为LockBit勒索软件联盟的最后一个附属成员，而一个月后，LockBit就遭遇了数据泄露事件。 Halcyon表示：“Warlock从一开始就计划部署多款勒索软件，目的是混淆攻击溯源、躲避检测，并加速扩大攻击影响。该组织展现出的纪律性、资源储备与访问能力，符合‘与国家相关联的威胁行为体’特征，而非opportunistic勒索软件团伙。” Halcyon还指出，Storm-2603为勒索软件添加新功能的开发周期仅需48小时，这一特点反映出其团队具备结构化的工作流程。分析进一步称，这种集中化、有组织的项目架构，表明该团队拥有专用的基础设施与工具链。 对Storm-2603开发时间线的深入调查显示，该组织在2025年3月搭建了“AK47指挥控制（C2）框架”的基础设施，次月便完成了该工具的首个原型开发。同样在4月，该组织在48小时内实现了攻击策略转型：从“仅部署LockBit”转为“同时部署LockBit与Warlock”。 尽管Storm-2603随后以附属成员身份加入LockBit联盟，但其自主勒索软件的开发工作并未停止，最终于6月以“Warlock”为品牌正式推出。几周后，研究人员发现该组织将ToolShell漏洞作为零日漏洞利用，同时从2025年7月21日起开始部署Babuk勒索软件。 Halcyon评价道：“该组织在4月实现策略快速转型（48小时内从单一勒索软件转为多勒索软件部署），7月又加入Babuk部署——这一系列动作体现出其三大能力：运营灵活性、检测规避能力、溯源混淆战术，以及利用泄露开源勒索软件框架进行开发的专业技术水平。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种名为 ClayRat 的安卓间谍软件攻击活动正迅速演变，该软件通过伪装成 WhatsApp、谷歌相册（Google Photos）、TikTok 和 YouTube 等热门应用，借助 Telegram 频道与仿冒钓鱼网站的组合手段，将俄罗斯用户列为攻击目标。 移动安全公司 Zimperium 的研究员维什努・普拉塔帕吉里在一份提交给《黑客新闻》（The Hacker News）的报告中指出：“一旦激活，该间谍软件可窃取短信、通话记录、通知和设备信息，调用前置摄像头拍照，甚至能直接从受害者设备发送短信或拨打电话。” 该恶意软件还具备自我传播功能 —— 会向受害者手机通讯录中的所有联系人发送恶意链接。这一行为表明，攻击者采用了极具攻击性的策略，将已被入侵的设备用作恶意软件的传播载体。 这家移动安全公司表示，过去 90 天内，他们已检测到不少于 600 个恶意软件样本和 50 个投放器（dropper）。且该恶意软件的每一次迭代都会新增多层混淆技术，以规避安全检测、绕过防护机制。其名称 “ClayRat” 源于可远程操控受感染设备的命令与控制面板（C2 面板）。 此次攻击链的运作流程如下：先将毫无防备的访问者重定向至攻击者控制的仿冒网站，再引导至其掌控的 Telegram 频道；在频道中，攻击者通过人为抬高下载量、发布伪造好评来伪造 “热门” 假象，诱骗用户下载 APK 安装文件。 在另一些案例中，部分仿冒网站声称提供 “YouTube 增强版”（YouTube Plus）及各类高级功能，实则暗藏 APK 文件 —— 这些文件能绕过谷歌为安卓 13 及更高版本系统设置的安全防护，突破 “禁止侧载应用” 的限制。 该公司解释道：“为绕过平台限制及新版安卓系统新增的防护壁垒，部分 ClayRat 样本以‘投放器’形式存在：用户可见的应用仅是一个轻量级安装程序，会显示伪造的谷歌应用商店（Play Store）更新界面，而真正的加密恶意载荷（payload）则隐藏在应用的资源文件中。这种基于会话的安装方式降低了用户的风险感知，从而提高了‘用户访问网页后即安装间谍软件’的成功率。” 一旦完成安装，ClayRat 会通过标准 HTTP 协议与 C2 服务器通信，并请求用户将其设为默认短信应用 —— 借此获取敏感内容的访问权限与消息功能控制权，进而秘密窃取通话记录、短信、通知，并向所有联系人进一步传播恶意软件。 该恶意软件的其他功能还包括：拨打电话、获取设备信息、调用设备摄像头拍照，以及向 C2 服务器发送设备上所有已安装应用的列表。 ClayRat 的威胁性不仅体现在其监控能力上，更在于它能自动将受感染设备转化为传播节点 —— 这使得攻击者无需任何人工干预，就能迅速扩大攻击范围。 与此同时，卢森堡大学与谢赫・安塔・迪奥普大学的学者发现，在非洲销售的经济型安卓智能手机中，部分预装应用拥有过高权限，其中某厂商提供的应用程序竟会向外部第三方传输设备标识符与位置信息。 这项研究对从 7 款非洲市场智能手机中收集的 1544 个 APK 文件进行了分析，结果显示：“145 个应用（占比 9%）会泄露敏感数据，249 个应用（占比 16%）在暴露关键组件时缺乏足够防护措施；此外，许多应用还存在其他风险：226 个应用会执行特权或危险命令，79 个应用会对短信进行操作（读取、发送或删除），33 个应用会执行静默安装操作。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文