HackerNews 编译，转载请注明出处： 波兰当局正在调查一系列网络攻击事件，这些攻击扰乱了多家大型企业的数字服务，并导致其个人数据泄露，其中包括该国头部在线贷款机构和顶级移动支付系统。 数字事务部长克日什托夫・高科夫斯基表示，针对波兰公共和私人基础设施的网络攻击正变得 “司空见惯”。他补充道：“我们每天都会收到数千起事件报告。” 此次影响最大的泄露事件发生在 AIQLABS 运营的在线贷款平台 SuperGrosz。该公司在声明中证实，网络犯罪分子窃取了至少 1 万名客户的个人数据。泄露信息包括姓名、地址、身份证号、税号、联系方式、就业详情及银行账号。公司警告称，攻击的实际规模可能更大，并敦促客户密切关注欺诈性信贷活动。 高科夫斯基透露，另一起独立事件中，黑客对波兰支付基础设施发起分布式拒绝服务（DDoS）攻击，导致该国主流移动支付系统 Blik 短暂中断。Blik 主要用于即时转账和现金提取，该平台周一表示，经历 “支付处理临时问题” 后，服务已恢复正常。 高科夫斯基还称，波兰最大旅行社 Nowa Itaka 也遭到攻击，客户的姓名、电子邮箱和电话号码被泄露。该公司表示，预订详情、财务数据及账户密码未受影响。 当局尚未确认这些事件是否存在关联，但高科夫斯基指出，针对 Blik 的攻击 “线索指向俄罗斯”，并称其为 “混合战争的新阶段”。欧洲多国官员已就莫斯科扩大影响力、开展间谍活动和破坏行动发出警告。 作为乌克兰的主要盟友和北约成员国，波兰自 2022 年俄罗斯入侵乌克兰以来，遭遇的网络入侵事件不断增多。高科夫斯基警告，2025 年可能成为网络攻击的创纪录年份，国家行为体和犯罪集团的攻击目标将从地方公用事业，扩展至金融和能源系统。 他在近期一次采访中表示：“俄罗斯的网络活动最为严重，因为其目标直指维持正常生活所必需的关键基础设施。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本媒体巨头日经新闻（Nikkei）表示，黑客非法侵入其内部 Slack 通信系统，可能导致超过 1.7 万人的相关数据泄露。 该公司于 9 月发现此次数据泄露，但在周二才公开披露。声明显示，事件起因是一名员工的电脑感染恶意软件，黑客借此窃取登录凭证，进而入侵了热门商业即时通讯平台 Slack。 日经新闻称，此次泄露可能导致 17300 多名 Slack 用户的姓名、电子邮箱地址和聊天记录被曝光，其中包括公司员工和商业合作伙伴。该公司同时指出，目前没有证据表明新闻线人信息或与报道相关的内容受到影响。 日经新闻旗下拥有《金融时报》，并出版全球发行量最大的财经报纸之一《日本经济新闻》（The Nikkei）。该公司现有员工 3000 余人，在海外设有 37 个编辑部。 日经新闻表示，尽管泄露的数据并未纳入日本《个人信息保护法》的管辖范围，但为 “确保透明度”，已主动向日本数据保护机构报告了该事件。 对于攻击背后的可能主使及黑客动机，该公司未予置评。 声明中写道：“我们高度重视此次事件，将进一步加强个人信息管理，防止类似事件再次发生。” 这并非日经新闻首次遭遇网络安全事件。2022 年，其新加坡总部曾遭受勒索软件攻击，客户数据可能受到影响。 此次数据泄露发生之际，媒体机构正遭遇一波网络攻击浪潮。今年初，勒索软件攻击导致美国报业集团李氏企业（Lee Enterprises）的印刷版报纸停刊；法国法新社（Agence France-Presse）也报告了一起攻击事件，其部分新闻分发系统因此中断。近年来，《纽约时报》《Vice 媒体》《清晰频道电台》（iHeartMedia）等多家媒体机构均曾遭遇网络安全事件。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现了一场网络间谍活动，黑客将恶意工具隐藏在广泛使用的虚拟机软件中。这种策略表明，黑客正通过创新手段绕过常见的安全防御系统。 罗马尼亚网络安全公司比特梵德（Bitdefender）在周二的报告中称，该活动自 7 月起持续活跃，幕后威胁行为者为Curly COMrades组织，该组织被认为是为俄罗斯利益服务的。 今年早些时候，该组织被指针对格鲁吉亚的政府及司法机构，以及摩尔多瓦的一家能源公司发动间谍活动。比特梵德在最新报告中未指明此次的受害者，但表示调查是在格鲁吉亚国家计算机应急响应小组（CERT-GE）的协助下开展的。 报告显示，黑客滥用 Windows 内置功能 Hyper-V 维持对受害者网络的长期秘密访问。Hyper-V 允许用户运行虚拟机，这种软件能让一台计算机模拟出多个独立系统的运行效果。 攻击者安装了一个仅占用 120 兆字节磁盘空间的阿尔派 Linux（Alpine Linux）虚拟机。在该虚拟机内部，他们运行了两款定制恶意软件工具 ——CurlyShell 和 CurlCat，用于控制受感染系统并窃取数据。 比特梵德表示：“该虚拟机并未搭载大型攻击框架或渗透测试工具，而是一款轻量化植入程序，专为特定目的设计。” 这种方法让黑客得以绕过常见的威胁检测工具，这类工具通常仅监控 Windows 主操作系统，而非运行于其中的虚拟机。 格鲁吉亚当局随后查封了该活动中使用的一台受感染服务器，为研究人员绘制攻击者的基础设施地图提供了帮助。 比特梵德指出，Curly COMrades 组织至少自 2024 年起开始活跃，其目标通常是 “处于地缘政治变革中的国家的关键机构”，且活动与俄罗斯政府的地缘政治目标一致。该组织的核心诉求似乎是持续获取网络访问权限，并窃取用于间谍活动的凭证信息。 研究人员补充称，黑客严重依赖公开可用的开源工具，这表明他们 “更倾向于隐蔽性、灵活性和最小化检测风险，而非利用新型漏洞”。 格鲁吉亚和摩尔多瓦均为前苏联加盟共和国，仍是俄罗斯网络及信息作战的重点目标。摩尔多瓦近期指控俄罗斯通过网络攻击和协同虚假信息宣传，试图干预其议会选举 —— 此次选举中亲欧洲政党赢得多数席位。 格鲁吉亚也一直是莫斯科混合战术的针对对象，这些战术结合了军事施压、经济限制和宣传攻势，旨在削弱其国家机构，阻碍其民主与经济改革进程。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一群欧洲记者表示，他们通过数据经纪人提供的免费数据集，轻松获取了数百名欧盟委员会工作人员的位置数据，这引发了外界对欧洲严苛数字隐私法实际效力的质疑。 这项调查于周二由欧洲新闻媒体联盟发布，其依赖的数据集包含欧洲议会 756 台设备的约 5800 个定位点，以及欧盟委员会总部 264 台设备的约 2000 条位置 “信号记录”。这些位置数据多由用户手机中的普通应用收集后售卖给数据经纪人，后者再转售给各类机构。 欧盟委员会发言人向记者表示，官员们 “对公民及委员会官员的地理定位数据交易感到担忧”。该发言人透露，欧盟委员会已向工作人员发布新指导意见，告知如何关闭设备上的广告追踪功能，并已将相关调查结果通报给各成员国的计算机安全事件响应团队（CSIRTs）。 据悉，记者获取的数据样本还包含部分欧盟委员会高层官员的位置历史记录。其中一份 “行动档案” 详细记录了一名欧洲议会工作人员的日常通勤路线，包括在餐厅和超市的停留轨迹。 尽管这些数据样本远不及付费客户可获取的信息全面，但记者仍成功锁定了 5 名现任或曾任欧盟相关职务人员的私人住址，其中 3 人目前或曾经身居 “高级职位”。 尽管欧盟《通用数据保护条例》（GDPR）被誉为全球最严格的数字隐私法规，但欧洲大陆在监管数据经纪人方面却行动迟缓。数据经纪行业已发展成为规模逾十亿美元的庞大产业，专门交易个人位置等隐私信息，而此类数据泄露事件并非个例 —— 去年数据经纪公司 Gravy Analytics 曾发生数据泄露，导致数千万人的详细位置信息（包括住址和工作地点）曝光。法国数据保护局（CNIL）虽曾于 2023 年对违规数据经纪人 Tagadamedia 处以 7.5 万欧元罚款，但整体来看，数据经纪人常因间接获取数据等原因游离于现有法规监管范围之外，形成监管漏洞。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正利用钓鱼邮件分发带有恶意程序的附件，其攻击目标疑似俄罗斯和白俄罗斯的国防领域。 根据 Cyble 与 Seqrite 实验室的多份报告，该攻击行动旨在向已攻陷的主机植入一个持久化后门。该后门将 OpenSSH 与定制化的 Tor 隐藏服务结合使用，且通过 obfs4 技术对流量进行混淆处理。 Seqrite 将此活动命名为 Operation SkyCloak。据悉，钓鱼邮件会以军事文件相关内容作为诱饵，诱使收件人打开一个 ZIP 压缩包。该压缩包内含一个隐藏文件夹（其中包含另一个压缩文件），以及一个 Windows 快捷方式（LNK 文件）；一旦打开该快捷方式，便会触发多阶段感染链。 安全研究员萨特维克・拉姆・普拉基与卡蒂克库马尔・吉瓦尼表示：“这些快捷方式会触发 PowerShell 命令，而这些命令构成了初始投放阶段；除 LNK 文件外，另一个压缩文件会被用于搭建完整的感染链。” 他们补充称，这些压缩文件已于 2025 年 10 月从白俄罗斯上传至 VirusTotal 平台。 其中一个中间模块是 PowerShell 加载器，它主要负责执行反分析检查以规避沙箱环境，同时会将一个 Tor 洋葱地址（“yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd [.] onion”）写入文件 “hostname” 中，该文件路径为 “C:\Users < 用户名 >\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\”。 在反分析检查环节，恶意软件会验证两个条件：一是系统中近期存在的 LNK 文件数量大于或等于 10 个，二是当前进程数量大于或等于 50 个。若任一条件未满足，PowerShell 将立即终止执行。 Cyble 指出：“这些检查是恶意软件感知环境的机制。与真实用户工作站相比，沙箱环境通常用户生成的快捷方式更少，进程活动也更弱。” 一旦通过环境检查，脚本会显示存储在上述 “logicpro” 文件夹中的 PDF 诱饵文档，同时通过创建一个名为 “githubdesktopMaintenance” 的计划任务来实现持久化。该任务会在用户登录后自动运行，并于每天协调世界时（UTC）10:21 定期执行。 该计划任务旨在启动 “logicpro/githubdesktop.exe”，而此文件实则是 “sshd.exe” 的重命名版本 ——“sshd.exe” 是与 Windows 版 OpenSSH 相关联的合法可执行文件。这一操作能让威胁行为者搭建 SSH 服务，且该服务仅允许与存储在同一 “logicpro” 文件夹中的预部署授权密钥进行通信。 除通过 SFTP 启用文件传输功能外，恶意软件还会创建第二个计划任务，配置为执行 “logicpro/pinterest.exe”。这是一个定制化的 Tor 二进制文件，用于创建隐藏服务；该服务会通过 obfs4 混淆网络流量，与攻击者的.onion 地址通信。此外，它还会为远程桌面协议（RDP）、SSH、服务器消息块（SMB）等多个关键 Windows 服务配置端口转发，以便通过 Tor 网络访问系统资源。 一旦连接成功建立，恶意软件会先窃取系统信息，再通过 curl 命令发送一个唯一的.onion URL 主机名（用于标识已攻陷的系统）。当威胁行为者通过命令与控制（C2）信道接收到受害者的.onion URL 后，便能最终获得对已攻陷系统的远程访问权限。 目前尚不清楚该攻击行动的幕后主体，但两家安全厂商均表示，其特征与针对国防及政府领域、且与东欧相关的间谍活动相符。Cyble 以中等置信度评估认为，此次攻击与乌克兰计算机应急响应小组（CERT-UA）追踪的威胁行为者 “UAC-0125” 此前发起的行动，存在战术重叠。 该公司补充道：“攻击者通过隐蔽的 Tor 服务访问 SSH、RDP、SFTP 和 SMB，既能实现对系统的完全控制，又能隐藏自身身份。所有通信均通过预安装的加密密钥，定向到匿名地址进行传输。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦检察官指控三名嫌疑人于 2023 年 5 月至 11 月期间，利用 BlackCat勒索软件入侵五家美国公司的网络，并对其实施勒索。 这三名嫌疑人均为美国公民，分别是瑞安・克利福德・戈德堡、凯文・泰勒・马丁，以及一名居住在佛罗里达州、身份未公开的同谋者（代号 “同谋者 1”）。 他们被指针对以下企业发起攻击：佛罗里达州坦帕市的一家医疗设备公司、马里兰州的一家制药公司、加利福尼亚州的一间医生诊所、加利福尼亚州的一家工程公司，以及弗吉尼亚州的一家无人机制造商。 《芝加哥太阳时报》于上周末率先报道了这一起诉案，称事件发生时，马丁与 “同谋者 1” 正受雇于一家名为 DigitalMint 的公司，担任勒索软件威胁谈判员；而戈德堡则是网络安全公司 Sygnia 的事件响应经理。 目前这三人已不再受雇于上述公司。DigitalMint 与 Sygnia 均表示，已就此事配合执法部门调查。2025 年 7 月，彭博社曾报道，美国联邦调查局（FBI）正调查 DigitalMint 的一名前员工，怀疑其从勒索软件付款中抽取分成。 根据起诉书内容，戈德堡、马丁及该同谋者被指控蓄意合谋，通过以下方式 “谋取私利”：未经授权访问受害者的网络或计算机、窃取数据、在受害者系统中植入 “黑猫” 勒索软件以索要加密货币付款，并瓜分非法所得。具体攻击事件包括： 2023 年 5 月 13 日左右，被告攻击上述医疗设备公司，索要约 1000 万美元赎金。该公司最终支付了当时价值约 127.4 万美元的虚拟货币。 2023 年 5 月左右，被告攻击上述制药公司，索要金额未公开的赎金。 2023 年 7 月左右，被告攻击上述医生诊所，索要约 500 万美元赎金。 2023 年 10 月左右，被告攻击上述工程公司，索要约 100 万美元赎金。 2023 年 11 月左右，被告攻击上述无人机制造商，索要约 30 万美元赎金。 据悉，被告未能从其他受害者处勒索到资金。目前马丁已提出无罪抗辩；但法庭记录显示，戈德堡在接受 FBI 讯问时供认，他受该未公开同谋者招募，参与 “尝试向部分公司勒索赎金”，且实施攻击是为了偿还债务。第三名嫌疑人（同谋者 1）尚未被起诉。 戈德堡与马丁均被控三项罪名：合谋通过勒索干扰跨州商业活动、通过勒索干扰跨州商业活动，以及故意破坏受保护计算机。若罪名成立，两人最高可面临 50 年联邦监禁。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周一，黑客从去中心化金融协议 Balancer 中窃取了价值数百万美元的加密货币。 各方估算数据存在差异，但多数区块链安全公司认为损失已超 1.2 亿美元，其中至少有部分被盗资金为以太坊（ETH）。 作为去中心化金融（DeFi）领域的核心平台，Balancer 最初表示已知晓此次攻击并正展开调查。加密货币安全专家指出，此次事件源于访问控制机制存在漏洞，攻击者利用该漏洞实施了盗窃。 截至周一下午，该公司发布了一份更长的声明，说明攻击始于当天清晨。 “所有可暂停的资金池均已暂停，目前处于恢复模式，” 该公司表示，并提及自身与其他多家加密货币平台存在关联，但无法单方面暂停这些平台的运营。 “Balancer 始终致力于运营安全，不仅经过顶尖公司的全面审计，还长期设立漏洞赏金计划，以激励独立审计人员参与安全检测。我们正与安全及法律团队紧密合作，确保用户资产安全，并将迅速、彻底地开展调查工作。” 目前，该公司仍在联合专家调查事件详情，并计划在适当时候发布事后分析报告。 Balancer 同时警示用户，当前有冒充公司安全团队的欺诈信息在传播，切勿与之互动。 多家与 Balancer 相关的区块链机构已宣布采取措施应对此次事件。Berachain 基金会表示已暂停其网络，团队正采取紧急措施保护用户资产，且成功追回了部分从其平台被盗的资金。其他加密货币平台也采取了类似防护措施。 Balancer 过去曾发生过安全事件，但已接受约 10 次区块链安全公司的审计。 上周，黑客还从另一个去中心化金融平台 Garden Finance 窃取了约 1080 万美元。 其中大部分资金的窃取者据称与朝鲜政府有关联 —— 朝鲜已将加密货币盗窃作为其弹道导弹项目的重要资金来源。 美国、法国、德国、日本等国政府上周发布的一份报告显示，2025 年 1 月至 9 月期间，朝鲜应对至少 16.5 亿美元加密货币被盗事件负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新披露信息显示，自去年年初至今，英国饮用水供应商已遭遇五轮网络攻击，这些攻击全部直接针对供水机构本身，创下了同期记录。这一情况直接印证了英国情报部门的警告 —— 恶意网络行为体对该国关键基础设施的威胁正持续升级。 现行规则漏洞明显 英国饮用水监察局（DWI）公布的数据显示，2024 年 1 月 1 日至 2025 年 10 月 20 日期间，共收到供应商提交的 15 份事件报告，其中 5 起涉及网络安全事件，且影响的是 “《网络与信息系统安全规则》指令管辖范围外系统”，其余 10 起未非网络类运营问题。 问题根源在于现行《网络与信息系统安全规则》的 “高门槛”：仅当网络攻击实际导致供水等基本服务中断时，供应商才必须依法上报。这意味着像 “伏特台风” 这类只潜伏渗透、不直接断供的攻击，企业即便遭遇也无需披露，潜在风险可能被长期掩盖。 改革方案待推进 面对监管滞后，英国政府计划通过拖延已久的《网络安全与韧性法案》解决问题，核心是降低事件上报门槛，让更多潜在风险纳入监管视野。 该法案预计今年提交议会，政府发言人表示：“当前网络威胁复杂且持续，代价高昂，法案将强化防御体系，守住公众依赖的基础服务，保障日常生活正常运行。” 网络安全公司 Sophos 的威胁研究副总裁唐・史密斯表示：“关键基础设施运营商每天都要面对黑客攻击，在现有合规体制下，安全事件仍难避免。这些超范围报告的分享非常有助于我们理解攻击特征。” 全球水务安全亮红灯 当前，针对水务公司IT办公系统的勒索攻击时有发生。 2023年12月，爱尔兰西海岸就曾因一个亲伊朗黑客组织无差别攻击使用以色列产设备的设施，导致当地居民断水数日。 美国、加拿大的水务安全问题也值得警惕：美国拜登政府时期曾想推进水务系统安全升级，但因水务行业团体联合共和党议员反对而搁置；加拿大则在上周通报，黑客在多起工业控制系统攻击中，篡改了某地方水务机构的供水压力参数，直接威胁供水稳定。 针对水务系统防护，英国国家网络安全中心（NCSC）给出具体建议：关键基础设施运营商要严格隔离 “业务 IT 系统”和 “运营 OT 系统”，避免黑客攻破 IT 系统后直接影响供水操作。今年 8 月，该机构还发布新版《网络评估框架》，帮企业提升抗风险能力。 唐・史密斯进一步提醒：“对基础设施来说，相比定向攻击，常规攻击仍是关键基础设施面临的主要威胁。我们更应该关注基础防护，而非过度投资于监测冷门系统。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为体 “金 Suky”（Kimsuky），已分发一款此前未被记录的后门程序，其代号为 “HttpTroy”。此次攻击很可能是针对性钓鱼攻击，目标为韩国的一名单独受害者。 披露该活动细节的 Gen Digital 公司，未透露事件发生的具体时间，但指出钓鱼邮件中包含一个 ZIP 压缩文件（文件名：“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”）。该文件伪装成 VPN 账单，用于分发恶意软件，此恶意软件可实现文件传输、截屏以及执行任意命令的功能。 安全研究员亚历山德鲁 – 克里斯蒂安・巴尔达什（Alexandru-Cristian Bardaș）表示：“该攻击链包含三个步骤：一个小型投放程序、一个名为 MemLoad 的加载程序，以及最终的后门程序‘HttpTroy’。” ZIP 压缩包内包含一个与压缩包同名的 SCR 文件（屏幕保护程序文件）。打开该文件会触发执行链，首先运行的是一个 Go 语言（Golang）二进制文件，该文件包含三个嵌入文件，其中包括一个伪装 PDF 文档。此文档会向受害者展示，以避免引起任何怀疑。 与此同时，后台会同步启动 MemLoad 程序。该程序负责在受感染主机上建立持久化机制，具体方式是创建一个名为 “AhnlabUpdate” 的计划任务。这一命名是为了伪装成韩国网络安全公司安博士（AhnLab）的程序，进而解密并执行 DLL 格式的后门程序 “HttpTroy”。 该植入程序能让攻击者完全控制受感染系统，支持的操作包括文件上传 / 下载、截屏、以高权限执行命令、在内存中加载可执行文件、建立反向 shell、终止进程以及清除痕迹。它通过 HTTP POST 请求与命令控制（C2）服务器（域名：“load.auraria [.] org”）进行通信。 巴尔达什解释道：“HttpTroy 采用多层混淆技术，以阻碍对其的分析和检测。API 调用通过自定义哈希技术隐藏，字符串则通过异或（XOR）运算与单指令多数据（SIMD）指令相结合的方式进行混淆。值得注意的是，该后门程序不会重复使用 API 哈希值和字符串，而是在运行时通过各种算术运算和逻辑运算的组合动态重构它们，这进一步增加了静态分析的难度。” 除上述发现外，这家网络安全厂商还详细介绍了 “拉撒路集团”（Lazarus Group）的一起攻击事件。该攻击导致 “Comebacker” 恶意程序以及其 “BLINDINGCAN” 远程访问木马（又称 AIRDRY 或 ZetaNile）的升级版被部署。厂商补充称，此次攻击针对加拿大的两名受害者，且在 “攻击链中段” 被检测到。 目前尚不清楚该攻击所使用的具体初始访问途径，但基于未发现可被利用以获取立足点的已知安全漏洞，研究人员判断初始途径应为钓鱼邮件。 攻击中使用了 “Comebacker” 的两个不同变体，一个是 DLL 格式，另一个是 EXE 格式。前者通过 Windows 服务启动，后者通过 “cmd.exe” 命令行启动。无论采用何种执行方式，该恶意软件的最终目标一致：解密嵌入的有效载荷（即 BLINDINGCAN），并将其作为服务部署。 BLINDINGCAN 的设计目的是与远程 C2 服务器（域名：“tronracing [.] com”）建立连接，并等待进一步指令。这些指令支持的操作包括： 上传 / 下载文件 删除文件 修改文件属性以伪装成其他文件 递归枚举指定路径下的所有文件和子目录 收集整个文件系统中的文件相关数据 收集系统元数据 列出正在运行的进程 通过 CreateProcessW 函数运行命令行 在内存中直接执行二进制文件 通过 “cmd.exe” 执行命令 传入进程 ID 以终止特定进程 截屏 通过可用的视频捕获设备拍照 更新配置 更改当前工作目录 自行删除并清除所有恶意活动痕迹 Gen Digital 公司表示：“金 Suky（Kimsuky）和拉撒路集团（Lazarus）持续改进其工具，这表明与朝鲜（DPRK）有关联的行为体不仅在维护其攻击武器库，还在对其进行革新。这些攻击活动展现出结构完善的多阶段感染链，并利用了经过混淆处理的有效载荷和隐蔽的持久化机制。” “从攻击初始阶段到最终部署的后门程序，每个组件的设计目的都是规避检测、维持访问权限，并实现对受感染系统的全面控制。自定义加密、动态 API 解析以及基于组件对象模型（COM）的任务注册 / 服务利用等技术的应用，凸显出这些组织在技术上的持续演进和成熟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯警方表示，已逮捕三名涉嫌开发并销售 Meduza 窃取器（Meduza Stealer）恶意软件的黑客。此次行动是俄罗斯对本土网络犯罪罕见的打击举措。 俄罗斯内务部发言人伊琳娜・沃尔克于周四发表声明称，嫌疑人在莫斯科及周边地区落网。 她补充道，这三名 “年轻 IT 专家” 涉嫌开发、使用并销售一款恶意软件，该软件专门用于窃取登录凭证、加密货币钱包数据及其他敏感信息。 警方透露，在对嫌疑人住所的突袭行动中，查获了计算机设备、手机和银行卡。内务部发布的视频显示，执法人员破门而入，突袭多间公寓。当警方询问一名嫌疑人 “为何被拘留” 时，对方用俄语回应：“我不太清楚。” 官方指出，嫌疑人约两年前开始通过黑客论坛传播 Meduza 窃取器。今年早些时候，该团伙据称利用这款恶意软件，窃取了俄罗斯阿斯特拉罕州某机构的数据。 当局表示，该团伙还开发了另一种恶意软件，其功能包括禁用杀毒软件保护、构建用于大规模网络攻击的僵尸网络，但暂未披露这款恶意程序的具体名称。若罪名成立，三名嫌疑人将面临最高四年的监禁。 Meduza 窃取器于 2023 年首次出现，最初在俄语黑客论坛和 Telegram 频道以 “付费服务” 模式销售。此后，该恶意软件被用于多起网络攻击，目标涵盖个人数据与金融数据。 乌克兰官方此前曾表示，这款恶意软件与针对乌国内军方及政府机构的攻击有关。去年 10 月的一起攻击事件中，攻击者利用伪造的 Telegram “技术支持” 机器人，向乌克兰政府动员应用的用户分发该恶意软件。 研究人员还在波兰及俄罗斯本土发现了 Meduza 窃取器的感染案例 —— 例如 2023 年的一起攻击中，攻击者伪造某工业自动化公司的钓鱼邮件，传播该恶意软件。 长期以来，俄罗斯执法机构极少追查境内运营的网络犯罪分子，但研究人员表示，这一情况已开始改变。 根据 Recorded Future 旗下 Insikt 集团近期发布的报告，莫斯科对黑客生态系统的立场已从 “被动容忍转向主动管控”。这一策略包括选择性逮捕与公开打击，目的是在巩固国家权威的同时，保留有用的技术人才。 此类举措标志着俄罗斯的显著转变 —— 该国曾长期被视为 “以牟利为目的黑客的避风港”。研究人员指出，如今许多网络犯罪者正通过 “分散化运营”，规避西方与俄罗斯本土的双重监控。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文