HackerNews 编译，转载请注明出处： 美国司法部周五宣布，五名涉案人员对协助朝鲜IT工作者实施欺诈的指控表示认罪。这些人员通过盗用美国公民身份，帮助朝鲜IT工作者获取在美国企业的工作机会，违反了国际制裁规定。 这五名人员包括奥德里库斯·法格纳赛、杰森·萨拉查、亚历山大·保罗·特拉维斯、奥列克桑德·迪登科和埃里克·恩特克雷兹·普林斯。其中法格纳赛、萨拉查和特拉维斯在2019年9月至2022年11月期间，明知故犯地允许境外IT工作者使用他们的美国身份入职美国公司。 这三名被告还充当协调人，将公司配发的笔记本电脑安置在自己住所，并擅自安装远程桌面软件，制造这些IT工作者是在美国境内远程工作的假象。更甚的是，萨拉查和特拉维斯还曾代替境外IT工作者接受雇主的药检。 乌克兰籍的迪登科则通过其运营的网站”Upworksell.com“，盗用美国公民身份并将其出售给IT工作者，帮助他们成功入职40家美国公司。迪登科还通过在美国境内设立”笔记本电脑农场”的方式，为境外IT工作者提供设备托管服务。据悉，他管理的虚假身份多达871个，并同意上缴超过140万美元的非法所得。 普林斯则通过其创立的Taggcar公司，在2020年6月至2024年8月期间向美国企业输送”认证”IT工作者，并在其佛罗里达住所运营笔记本电脑农场，从中获利超过8.9万美元。 美国司法部指出：”这些欺诈性就业计划共影响超过136家美国受害企业，为朝鲜政权创造了超过220万美元收入，并危及18名美国公民的身份安全。” 作为系列执法行动的一部分，美国司法部还提交了两项民事没收诉讼，要求没收2025年3月从朝鲜黑客组织APT38处查获的价值超过1500万美元的加密货币。这些数字资产被指控是通过攻击境外虚拟货币平台非法获取。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列国家数字机构（INDA）近日披露，伊朗国家支持的威胁组织APT42正在针对伊斯兰革命卫队（IRGC）关注的重点目标展开新一轮间谍活动。该行动被命名为”SpearSpecter”，自2025年9月初持续活跃至今。 研究发现，攻击者系统性地瞄准高级国防和政府官员，采用高度个性化的社交工程手段：通过邀请目标参加知名会议或安排重要会晤建立信任关系。值得注意的是，攻击范围甚至延伸至目标人物的家庭成员，以此扩大攻击面并对主要目标施加更大压力。 APT42组织（亦被称为APT35、Charming Kitten等）自2022年底被公开披露以来，一直以实施极具说服力的长期社交工程攻击著称。攻击者会伪装成目标熟识的联系人，经过数日甚至数周的信任培养后，才发送恶意载荷或诱导点击陷阱链接。 INDA研究人员指出，SpearSpecter campaign展现出高度灵活性——攻击者会根据目标价值和行动目标调整策略。部分攻击将受害者重定向至仿冒会议页面以窃取凭证；若旨在获取长期访问权限，则会部署近年来反复出现的PowerShell后门TAMECAT。 具体攻击链显示，攻击者冒充可信的WhatsApp联系人，发送伪装成会议所需文件的恶意链接。点击后通过”search-ms:”协议处理程序，最终投递托管于WebDAV的Windows快捷方式文件（伪装成PDF）。该LNK文件会连接Cloudflare Workers子域名获取批处理脚本，进而加载具备模块化功能的TAMECAT后门。 这款PowerShell框架特别采用HTTPS、Discord和Telegram三重通信信道进行命令控制，确保即使某个通道被阻断仍能维持访问权限。其功能包括：实施系统侦察、窃取特定类型文件、盗取浏览器数据、收集Outlook邮箱内容，并以15秒间隔持续截屏。所有窃取数据均通过HTTPS或FTP外传。 TAMECAT还采用多种隐身技术：加密遥测数据与控制载荷、混淆源代码、利用合法系统工具隐藏恶意行为，且主要内存运行以减少磁盘痕迹。 INDA总结称：”SpearSpecter campaign的基础设施融合了敏捷性、隐蔽性和操作安全性，展现出针对高价值目标实施长期间谍活动的精密能力。攻击者通过混合使用合法云服务与自控资源，实现了无缝初始访问、持久命令控制和隐蔽数据外泄。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯港口运营商 “港口联盟”（Port Alliance）表示，其数字基础设施关键部分遭遇 “境外” 网络攻击，运营中断已进入第三天。这是俄乌冲突背景下，影响关键设施的一系列网络安全事件中的最新一起。 该公司在周四的声明中称，攻击者发起了分布式拒绝服务（DDoS）攻击，并试图入侵其网络。港口联盟指出，攻击目标是破坏该公司通过波罗的海、亚速 – 黑海、远东及北极地区海港开展的煤炭和矿物肥料出口相关业务，扰乱运营秩序。 尽管此次攻击规模大、强度高，但公司表示旗下码头及相关设施仍正常运转。“所有关键系统保持可用，港口和码头的业务流程未受影响。” 据港口联盟透露，黑客动用了包含 1.5 万多个全球唯一 IP 地址的僵尸网络，其中部分 IP 来自俄罗斯境内，且不断更换攻击策略以规避安全防御。 港口联盟在多条关键运输线路运营着 6 个海运码头，煤炭和矿物肥料的年货运量超 5000 万吨。目前该公司未指明攻击来自特定黑客组织。 自 2022 年俄罗斯对乌克兰发起特别军事行动以来，针对交通物流网络的网络攻击愈发频繁。俄乌双方黑客频繁使用 DDoS 攻击，扰乱对方基础设施。 同日，乌克兰 WOG 加油站连锁企业报告遭遇大规模网络攻击，其在线服务暂时中断，当晚恢复正常，但未披露更多细节。 盟国也面临数字威胁。本周早些时候，丹麦政府及多家国防企业的网站遭 DDoS 攻击短暂下线，丹麦当局称攻击可能源自俄罗斯。亲俄组织 “NoName057” 声称对此次攻击负责，但其说法的真实性难以核实。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由多国执法机构组成的国际联盟周四宣布，已成功摧毁全球网络犯罪分子广泛使用的三大恶意软件工具。这项代号为”终局行动”的专项打击从欧洲刑警组织海牙总部协调指挥，最新阶段成功瓦解了Rhadamanthys信息窃取器、VenomRAT远程访问木马以及Elysium僵尸网络。 此次行动始于11月10日，欧洲刑警组织称已铲除”导致全球数十万用户感染恶意软件“的基础设施。参与方包括澳大利亚、比利时、加拿大、丹麦、法国、德国、希腊、立陶宛、荷兰、英国和美国当局。 行动期间，VenomRAT工具的主要嫌疑人在希腊落网（本月早些时候被捕，姓名与国籍未公开），执法部门同步对11处地点实施突击搜查（德国1处、希腊1处、荷兰9处），查封20个域名并在全球范围关停或干扰逾1025台服务器。 欧洲刑警组织透露，被摧毁的恶意软件基础设施”包含数十万台受感染计算机，窃取凭证数量达数百万条”，且多数受害者对此毫不知情。”信息窃取器主犯掌握超过10万个属于受害者的加密钱包，潜在价值高达数百万欧元。” 目前约有200万个受影响邮箱地址及740万条密码可供查询。民众可访问politie.nl/checkyourhack与haveibeenpwned.com网站核查设备是否受损并获取应对指南。 “终局行动”官网已发布关于摧毁Rhadamanthys信息窃取器的宣传视频，显示执法机构正追查其开发运营者及客户群体，鼓励知情者提供线索。VenomRAT的明网站点现已被接管，页面醒目提示：”执法机构已查封该域名相关数据库及信息，任何运营或使用此类网络犯罪服务者将面临调查与起诉。” 此次行动延续了2024年首次行动中”史上最大规模僵尸网络打击”的凌厉攻势，今年早前第二阶段则直接针对勒索软件生态中的核心人员。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个被遗弃在互联网上的数据库导致英国历史影像档案馆”弗朗西斯·弗里斯”超过30万条用户记录暴露。该无需认证的Elasticsearch数据库最初由Cybernews研究人员发现，其中包含用户个人信息及私密消息。 成立于1860年的弗朗西斯·弗里斯公司坐落于索尔兹伯里，以其珍藏的1860至1970年间英国城镇乡村历史照片闻名。公司主要销售基于这些珍贵档案的冲印照片、书籍及个性化影像制品。研究人员通过泄露信息中提及的英国遗产网站francisfrith.com锁定数据源，最终确认属于负责该公司产品制造的Heritage Resource Management Ltd客户。 经分析，该开放数据库内含用户全名、邮箱地址及部分通过私信透露的实体住址，近4.4万条客户咨询记录同时曝光。泄露数据涵盖新旧账户，最早可追溯至近二十年前的2006年。 尽管未涉及金融账户或密码，但泄露数据仍构成重大隐私威胁——尤其对在消息中透露家庭住址的用户影响更甚。网络安全研究人员警告，攻击者可能利用这些信息冒充弗朗西斯·弗里斯品牌实施精准网络钓鱼：受影响的用户或收到关于定制照片马克杯或书籍订单的伪造邮件。 此类钓鱼邮件通常诱导用户访问恶意网站，进而窃取账户凭证或信用卡信息。这些网站还可能暗藏键盘记录恶意软件，若用户误装可能导致财务账户被清空。 Cybernews团队已联系该公司及英国社区应急响应小组，涉事数据库随后被安全加固。但截至发稿前，该公司未就事件作出任何回应。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，德国检方宣布，一名疑似极右翼分子因涉嫌通过暗网网站策划刺杀高级政要被逮捕。据联邦检察官办公室透露，49岁德波双国籍嫌疑人马丁·S已于本周早些时候在多特蒙德落网。 该嫌疑人被指控创建网络平台，通过募集加密货币捐款来资助其针对多名民选官员发布的”死刑令”。该网站不仅包含制造爆炸物的指导手册，还披露潜在受害者的个人信息，据信自今年6月起持续活跃。 德国媒体报道该网站目前已被关闭。虽然官方未公开目标人物名单，但《明镜周刊》披露其包括前总理安格拉·默克尔与奥拉夫·肖尔茨，以及多名前部长与其他公众人物。警方还查获针对数十名政客、法官和检察官的”犯罪档案”与”死刑判决书”，以及涉及种族主义、反犹太主义和阴谋论的宣传材料。 该嫌疑人自2020年因参与新冠抗议活动引起安全部门注意。调查显示其长期与多特蒙德新纳粹势力保持联系，并频繁参加极右翼集会。当地媒体将马丁·S与”帝国公民运动”关联——该组织否认现代德国合法性，坚称1945年前的德意志帝国仍应存续。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国正组建一支专项打击组，旨在清剿遍布东南亚的电诈窝点。过去五年来，这些犯罪网络已从美国民众手中窃取超百亿美元资金。 财政部宣布，该”电诈中心打击组”将由来自司法部、特勤局、国务院及联邦调查局的探员与检察官组成。该团队将重点针对缅甸、柬埔寨与老挝地区，”调查、瓦解并起诉性质最恶劣的东南亚电诈中心及其头目”。相关机构计划通过制裁、资产没收及刑事起诉等手段端除电诈窝点，同时为受害者提供部分赔偿并开展反诈宣教。 据官方统计，2024年仅因东南亚”杀猪盘”、虚假投资骗局及欺诈性加密货币平台，美国居民损失金额就高达至少100亿美元。目前仅少数受害者向联邦调查局报案，且极少数人能追回资金——更多人因此倾尽毕生积蓄。 财政部高官约翰·赫尔利指出：”盘踞在缅甸的犯罪网络正通过网络骗局从勤劳的美国民众手中掠夺数十亿美元。这些网络同时从事人口贩运，并助长缅甸残酷的内战。政府将持续动用一切手段追缉这些网络罪犯——无论其藏身何处——保护美国家庭免遭剥削。” 制裁措施详解 财政部周三同时宣布，对支持缅甸电诈窝点的武装团体实施制裁。外国资产控制办公室将克伦民主仁爱军及其三名首领列入制裁名单，该武装团体是支持缅甸军政府的多支力量之一。 制裁名单还包括泰国籍人士查姆·萨旺、泰国环亚国际控股集团公司及卓思达公司，上述实体被指控充当缅甸武装团体的联络枢纽，协助克伦民主仁爱军等地方武装发展电诈产业。 美国官员透露，电诈窝点产生的收益既流向有组织犯罪集团，也为持续肆虐缅甸内战的武装团体提供资金。调查人员追踪到部分被骗资金流向位于缅甸克伦邦妙瓦迪镇的”泰昌”电诈园区，该园区处于克伦民主仁爱军控制区，由该武装部队准将赛觉拉实际掌控。 根据指控，克伦民主仁爱军为泰昌园区提供武装保护，并虐待遭人口贩运被迫在此工作的受害者。”该武装士兵殴打戴手铐电诈工人的画面曾被录像，获救受害者声称遭受电击、在黑屋中被悬吊双臂等暴行，”财政部声明称，”通过参与电诈运营，克伦民主仁爱军获得资助其持续非法活动的资金。该武装还与中国有组织犯罪集团合作从事毒品、人口、武器及野生动物贩运，并进行洗钱活动。” 美国和平研究所前缅甸事务主任杰森·塔沃指出，2023至2024年间的执法行动迫使缅甸大量电诈活动从果敢转移至掸邦南部与克伦邦。今年9月，财政部曾对位于缅泰边境水谷谷的电诈中心相关方实施制裁，该地区自缅甸内战爆发后已成为电诈枢纽。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个臭名昭著的关联俄罗斯勒索软件团伙声称，已从意大利最大的工业气体生产商之一窃取 159GB 数据，并已启动公开泄露倒计时。 这起勒索软件攻击的幕后黑手是关联俄罗斯的网络犯罪团伙 “珠穆朗玛峰集团”（Everest Group），该团伙已在暗网的泄露站点上将西亚德集团（SIAD Group）列为受害者。 西亚德集团是意大利领先的化工及工业气体公司，生产和分销应用于食品、医疗、汽车、冶金和化工制造等多个行业的气体产品。其业务还包括液化石油气（LPG）和天然气供应。 除气体生产外，该公司还研发气体处理设备、压缩机和自动化系统，并提供家庭及医院医疗保健服务。西亚德集团于 1927 年在贝加莫成立，2024 年营业额超过 11 亿欧元。 目前，该团伙尚未发布数据样本佐证其说法。受害者站点上的帖子包含一个计时器，显示该公司需在 8 天内联系网络犯罪分子，否则被盗数据将被公开。 西亚德集团勒索软件攻击事件 勒索软件团伙常将受害者列在暗网泄露站点上，试图通过勒索迫使企业支付赎金。 此次潜在数据泄露的影响范围和后果目前尚无法确定。 “尚未有任何证据上传，因此我们不清楚哪些系统可能受到影响，”Cybernews 研究人员表示。 “由于西亚德集团是多种工业耗材的主要供应商，若勒索软件攻击导致其生产运营中断，可能会使其无法向客户交付所需耗材，进而对欧盟地区的制造业、医疗保健和能源行业造成一定程度的干扰，” 研究人员补充道。 Cybernews 已联系该公司寻求说明，但尚未收到回应。 珠穆朗玛峰集团（Everest Group）是谁？ 珠穆朗玛峰集团大概率关联俄罗斯，于 2021 年 7 月首次现身。该团伙今年发动的最具破坏性攻击瞄准了航空业。 他们声称入侵了柯林斯航空航天公司（Collins Aerospace）及其 MUSE 值机软件 —— 这款软件用于机场值机和乘客管理。 此次攻击影响了欧洲多个主要机场，导致连续数日的出行混乱。随后，该团伙威胁要泄露与柯林斯航空航天公司入侵事件相关的都柏林机场乘客数据。 今年 9 月，该团伙声称宝马集团（BMW）遭其攻击，还宣称入侵了德国第二大银行德国中央合作银行（DZ Bank）的一家子公司，并威胁泄露被盗数据，但该银行否认发生过任何攻击事件。 7 月，该集团声称攻击了知名电子邮件营销平台 Mailchimp，窃取了一批 “公司内部文件”，但部分安全圈内人士称这些文件只是 “零星碎片”。 该团伙被认为与 BlackByte 勒索软件集团存在关联。5 月 22 日，珠穆朗玛峰集团将目标对准可口可乐中东分部，最终泄露了该公司多个配送中心近 1000 名员工的数据。 据悉，这起攻击似乎是针对全球最大可口可乐装瓶商 “可口可乐欧洲太平洋合作伙伴公司” 的大规模攻击的一部分，勒索软件团伙声称窃取了约 2300 万条记录。 在攻击可口可乐后数日，珠穆朗玛峰集团又声称攻击了知名国际私立医院集团 Mediclinic（在阿联酋设有分院）、阿布扎比文化和旅游部，以及约旦科威特银行（JKB）。 此外，该团伙还曾在 2022 年 10 月攻击美国电话电报公司（AT&T），据称当时试图出售 AT&T 整个企业网络的访问权限；2024 年秋季，还攻击了丽笙乡村旅馆及套房连锁酒店。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 得克萨斯州总检察长肯・帕克斯顿已对在线游戏平台 Roblox 提起诉讼，指控其将儿童置于危险之中，且无视网络安全相关法律。 帕克斯顿于 11 月 6 日在 X 平台（原推特）宣布了该诉讼，称自己 “起诉 Roblox 是因为其将虚拟世界中的恋童癖者和商业利润置于得州儿童的安全之上”。 “我们绝不能允许像 Roblox 这样的平台继续沦为捕食者的数字游乐场 —— 在那里，孩子们的福祉被献祭给企业贪婪的祭坛。” 帕克斯顿补充道。 该诉讼详细指出，Roblox 已成为 “捕食者的滋生地”，使儿童面临多种网络伤害，包括 “色情内容、性剥削及诱导侵害”。 诉讼解释，捕食者会在儿童玩游戏时主动接触他们，随后在私人聊天中进行诱导，最终试图在网络上或现实中伤害儿童。此外，捕食者还会以平台虚拟货币 “罗布克斯（Robux）” 为诱饵吸引儿童，而这种虚拟货币极易让人上瘾。 诉讼还提及 “764” 威胁组织的活动，该组织专门剥削儿童并传播色情内容。诉讼称，Roblox 非但未采取行动，反而 “欺诈性地” 将自身平台宣传为对儿童安全无害。 帕克斯顿此前曾对 TikTok 提起类似诉讼，指控该平台未经家长同意就分享儿童的敏感个人信息，违反了得克萨斯州法律。 过去几个月里，Roblox 已遭到美国多个州的起诉。路易斯安那州总检察长莉兹・默里尔（Liz Murrill）以 “缺乏安全协议，危及路易斯安那州儿童安全” 为由起诉该平台；肯塔基州总检察长拉塞尔・科尔曼（Russell Coleman）则因平台让儿童接触暴力或色情场景对其提起诉讼。 Roblox 向哥伦比亚广播公司新闻（CBS News）表示，该诉讼基于 “耸人听闻、过时且断章取义的信息”。 “目前，我们尚未收到总检察长办公室关于我们平台或安全功能的任何联系，但我们欢迎与总检察长办公室及所有政策制定者进行直接对话，以确保他们清楚了解 Roblox 为保护用户安全所做的一切。”Roblox 在电子邮件声明中称，“保障儿童网络安全需要全行业的协作努力，我们对此表示欢迎。”   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周末，俄罗斯对乌克兰能源基础设施发动了开战以来规模最大的导弹和无人机袭击之一。此次袭击导致乌克兰全国电力中断、关键服务陷入混乱，基辅及多个其他城市几乎完全陷入黑暗。 据互联网监督机构网络封锁追踪组织（NetBlocks）消息，袭击发生后，乌克兰实施了最长达 12 小时的紧急停电措施。基辅及其他地区出现大面积互联网中断和通信故障，截至周一，抢修工作仍在进行，多个地区仍未恢复稳定供电。 乌克兰第二大电信运营商沃达丰（Vodafone）周日表示，停电已迫使其网络实施临时限制。该公司称：“停电后，所有人会立即切换至移动互联网，这导致网络连接承受极高负载。” 袭击还扰乱了乌克兰海关总署的运作。乌克兰国家边防局表示，由于数据库出现技术故障，周六其被迫暂停乌克兰与波兰边境的人员和车辆通行数小时。 该机构称：“故障是俄罗斯炮击能源设施导致停电引发的”，并补充说明边境运营已于当日晚些时候恢复。 乌克兰官员表示，周六夜间，俄方共发射 450 多架无人机以及 45 枚巡航导弹和弹道导弹，目标直指电力和天然气设施，造成热电厂及为核电站供电的变电站受损。 乌克兰能源部长斯维特兰娜・格林丘克（Svitlana Hrynchuk）表示：“如此多的弹道导弹直接击中能源设施，这一情况实属罕见。” 国营电力公司乌克兰中央能源公司（Centrenergo）报告称，其旗下多座电站遭受灾难性破坏。 该公司在一份声明中表示：“距上一次袭击还不到一个月，敌人昨晚再次袭击了我们整个发电系统。电站陷入火海！我们已全面停运，目前发电量降至零。” 自全面入侵以来，俄罗斯多次针对乌克兰能源基础设施发动袭击，导致大面积停电和互联网中断。乌克兰官员表示，部分袭击行动结合了导弹打击与协同网络攻击。 在 9 月接受 “Recorded Future News” 采访时，乌克兰最高网络安全官员奥列克桑德尔・波季曾预测，随着冬季临近，俄罗斯可能会重启对乌克兰电网及其他关键服务的袭击。他说：“我们预计他们会发动常规打击，同时试图瘫痪维持关键基础设施运转的系统。” 与克里姆林宫军事情报机构（GRU）相关的组织 —— 尤其是臭名昭著的黑客组织Sandworm—— 此前曾在对电网发动实体打击的同时实施数字入侵。 斯洛伐克网络安全公司 ESET 发布的研究显示，6 月至 9 月期间，“沙虫” 组织向乌克兰能源、物流、政府和农业部门的实体部署了多种数据擦除恶意软件。专家称，这是俄罗斯旨在破坏乌克兰战时经济稳定的更广泛行动的一部分。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文