HackerNews 编译，转载请注明出处： 黑客组织SafePay声称对德国视频监控提供商Xortec的成功攻击负责，并将该公司列入其数据泄露网站。勒索软件支付截止日期为2025年10月27日。 Xortec GmbH总部位于法兰克福，在德国各地设有办事处，是一家增值分销商和系统集成商，专注于视频监控、IP网络和安全解决方案。该公司为企业及安装服务客户提供摄像头、网络录像机、门禁系统、布线与咨询服务。Xortec于2021年被Beyond Capital Partners收购，是一家快速增长的B2B公司，拥有数十名员工，年收入超过750万欧元，其增长主要由大型安装项目驱动。 该公司的客户主要为B2B类型：包括系统集成商、专业安装商、系统厂商以及在全球（尤其是在德语区及更广泛的国际市场）运营的经销商。鉴于其核心业务聚焦于视频监控和通信解决方案，Xortec提供的产品与服务构成了零售、物流、公共及私人基础设施和关键设施等多个行业安全基础架构的支撑。 对Xortec这类公司的攻击可能因其在安全供应链中的角色而产生广泛影响。攻击者可能在安装商使用的硬件或软件中植入后门，从而泄露客户数据、监控布局和运输记录。遭篡改的固件可能破坏对数千个已部署系统的信任。若Xortec的物流运营受阻，其影响将波及经销商和最终用户，甚至可能涉及交通或公用事业等关键行业——这使得此次入侵事件成为一个超越单一公司范畴的、系统性的、多层级风险。 SafePay是一个自2024年底开始活跃的快速崛起的勒索软件组织。该组织独立运营，采用数据窃取与加密的双重勒索策略，其攻击目标遍布制造业、医疗保健和政府等全球多个行业。该网络犯罪组织在获取访问权限后的24小时内迅速行动，并且会避开俄罗斯系统，这暗示其可能源于东欧地区。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据当地媒体报道，本周初俄罗斯农业与食品安全监管机构遭遇网络攻击，导致全国范围内的食品运输受阻。 俄罗斯联邦动植物卫生监督局表示，其在周三遭受了大规模分布式拒绝服务攻击，影响了其在线基础设施，包括用于追踪农产品和化学品流动的”VetIS”和”Saturn”系统。 据俄罗斯贸易媒体《Shopper’s》报道，此次中断导致食品交付严重延迟，因为电子兽医认证平台”Mercury”——VetIS系统的组成部分——一度无法访问。两家主要乳制品生产商和一家婴儿食品制造商向该媒体透露，他们在周三数小时内无法运输产品。 俄罗斯联邦动植物卫生监督局称，其网络中存储的数据”在完整性和机密性方面未受到威胁”。该机构未对事件进一步置评，目前尚无黑客组织声称对此次攻击负责。 根据俄罗斯法律，处理肉类、牛奶、鸡蛋和其他动物产品的公司必须在Mercury系统注册，并出具确认产品真实性和安全性的电子兽医证书。没有这些证书，供应商无法合法地向零售商或加工商交付货物。 一家公司经理表示，生产流通瘫痪了半日，并补充说由于缺乏允许在没有电子文件的情况下发货的应急程序，导致了经济损失。 俄罗斯联邦动植物卫生监督局否认了关于系统长时间中断的报道，并于周四表示Mercury系统正在”照常运行”。截至周五，该机构的网站可以访问，但尚不清楚所有受影响的系统是否已完全恢复。 据报道，这是Mercury系统今年第四次遭遇攻击。在6月份，类似事件曾迫使乳制品生产商恢复使用纸质证书，由于区域分销中心和主要零售商难以应对供应中断，引发了物流混乱。 据当地乳制品行业协会称，一些零售商当时拒绝接收没有电子文件的产品，而监管机构不明确的指导也导致了供应商的困惑。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与巴基斯坦有关联的威胁行为体被发现针对印度政府实体发起鱼叉式网络钓鱼攻击，旨在投递一种基于Golang的恶意软件，名为DeskRAT。 Sekoia在2025年8月和9月观测到此次活动，并将其归因于Transparent Tribe（又名APT36），这是一个至少自2013年以来就活跃的由国家资助的黑客组织。此次攻击也建立在CYFIRMA于2025年8月披露的先前活动之上。 攻击链涉及发送包含ZIP文件附件的网络钓鱼邮件，或者在某些情况下，发送指向托管在Google Drive等合法云服务上的存档文件的链接。ZIP文件中包含一个恶意的Desktop文件，该文件嵌入了使用Mozilla Firefox显示诱饵PDF（”CDS_Directive_Armed_Forces.pdf”）的命令，同时执行主有效载荷。 这两个组件都从一个名为”modgovindia[.]com”的外部服务器拉取并执行。与之前一样，该活动旨在针对BOSS Linux系统，其远程访问木马能够使用WebSocket建立命令与控制。 该恶意软件支持四种不同的持久化方法，包括创建systemd服务、设置cron作业、将恶意软件添加到Linux自动启动目录以及配置.bashrc通过写入特定目录的shell脚本启动木马。 DeskRAT支持五种不同的命令： ping：向C2服务器发送带有当前时间戳和”pong”的JSON消息。 heartbeat：发送包含heartbeat_response和时间戳的JSON消息。 browse_files：发送目录列表。 start_collection：搜索并发送匹配预定义扩展名且小于100 MB的文件。 upload_execute：投递额外的Python、shell或Desktop有效载荷并执行。 值得注意的是，该组织还针对Windows端点分发名为StealthServer的Golang后门，表明其具有跨平台攻击重点。StealthServer的Windows版本存在三个变种，功能逐步演进，并加入了反分析技术。 与此同时，其他南亚和东亚威胁组织也相当活跃： Bitter APT：针对中国和巴基斯坦的政府、电力及军事部门，利用漏洞投递C#植入程序。 SideWinder：针对巴基斯坦、斯里兰卡等国海事等领域，开展代号为”Operation SouthNet”的集中活动。 OceanLotus：在针对中国及东南亚国家的攻击中投递Havoc利用后框架。 Mysterious Elephant：使用多种初始访问手段，投递BabShell反向shell和MemLoader等加载器，最终执行Remcos RAT等 payload。 这些入侵活动还特别关注从受感染主机窃取WhatsApp通信记录，使用了诸如Uplo Exfiltrator和Stom Exfiltrator等模块。此外，还使用了ChromeStealer Exfiltrator来窃取Chrome浏览器中的Cookie、令牌等敏感信息以及WhatsApp相关文件。 这些活动描绘出该地区威胁行为体技术不断演进、活动频繁的图景，对亚太地区的政府实体和关键部门构成了持续且复杂的威胁。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）发出警告，称黑客正利用 Motex 公司 Lanscope 终端管理器中的一个严重漏洞发起攻击。 该漏洞编号为CVE-2025-61932，安全等级为 “严重”，评分达 9.3 分。其成因是对传入请求的来源验证不当，未经验证的攻击者可通过发送特制数据包，在目标系统上执行任意代码。 Lanscope 终端管理器由日本 Motex 公司开发，该公司是京瓷通信系统的子公司。这款终端管理与安全工具可对桌面设备和移动设备实现统一管控。 该产品通过亚马逊云服务（AWS）提供资产 / 终端管理功能，在日本及亚洲地区尤为普及。 本周早些时候，厂商发布的安全公告强调了安装最新更新的紧迫性，并指出该漏洞被利用的风险已升高。 Motex 在公告中表示：“终端管理器本地客户端程序（以下简称 MR）和检测代理（以下简称 DA）中存在一个漏洞，可能导致远程代码执行。” 该公司证实，部分客户的环境已收到恶意数据包，这表明该漏洞已被作为 “零日漏洞”使用。 Motex 称：“此外，已有客户环境确认收到来自外部的未授权数据包。” 漏洞影响范围与修复版本 CVE-2025-61932 影响 Lanscope 终端管理器9.4.7.2 及以下版本，厂商已在以下版本中修复该漏洞： 9.3.2.7 9.3.3.9 9.4.0.5 9.4.1.5 9.4.2.6 9.4.3.8 9.4.4.6 9.4.5.4 9.4.6.3 9.4.7.3 厂商特别指出，该漏洞仅影响客户端，客户无需升级管理器本身。 目前尚无针对 CVE-2025-61932 的临时解决方案或缓解措施，安装上述更新是解决该安全问题的唯一途径。 Motex 尚未披露已观测到的恶意活动细节。日本计算机应急响应协调中心（JPCERT/CC）也发出警告，称已收到威胁行为者利用 CVE-2025-61932 攻击日本国内机构的相关信息。 BleepingComputer（科技媒体）已联系厂商寻求更多信息，后续将在获得回复后更新报道。 美国官方应对措施 CISA 已于昨日将 CVE-2025-61932 纳入 “已知被利用漏洞目录”（KEV），并为所有受《22-01 号指令》（BOD 22-01）约束的联邦机构及政府组织设定了11 月 12 日的强制补丁安装截止日期。 尽管该指令仅对特定机构具有强制性，但 KEV 目录仍可为私营组织提供安全防护指导。 目前尚未证实 CVE-2025-61932 与日本近期增多的漏洞利用活动存在关联。不过，日本多家知名企业近期披露了数据泄露事件，例如麒麟勒索软件（Qilin ransomware）对朝日啤酒（Asahi brewery）的攻击，以及电商企业 Askul 的漏洞导致零售巨头无印良品（Muji）线上销售受影响。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 立陶宛首都维尔纽斯的执法部门成功拆解了一个大型 SIM 卡盒（SIM box）非法运营团伙，查获大量涉嫌用于网络犯罪的设备。这些设备被怀疑用于在 PayPal、Facebook、谷歌等平台实施各类诈骗及网络犯罪活动。 立陶宛当局表示，此次查获的大量设备可能涉及多种犯罪行为，包括诈骗、伪造社交媒体账号等。执法人员共查获 200 多个 SIM 卡盒、100 台电脑，以及超过 7.5 万张 SIM 卡。 目前，当局已逮捕两名嫌疑人，并表示将继续追查所有参与运营该 “机器人农场” 的相关人员。 从查获的设备规模来看，这个 “机器人农场” 可在多个平台上运营数十万个不同的社交媒体账号。尽管多数网站注册时要求提供手机号，但仍有方法可绕过这些限制，最大化利用单张 SIM 卡的功能。 当地警方透露，此次行动的发起源于立陶宛通信监管局（CRA）向当局通报 —— 首都地区可能存在一个 “SIM 卡集群”（SIM swarm）非法运营点。 调查显示，该非法活动涉及维尔纽斯市内多个居民区（居住人口超 60 万）。警方最终将排查范围缩小至三个区域，并在多个网络信号塔中发现了异常活跃的通信行为。 立陶宛当局称，由于 “SIM 卡集群” 在大型行政办公楼内运作，给调查工作带来了阻碍。不过，执法人员随后锁定了该非法 scheme 的疑似幕后人员。据悉，这些嫌疑人通过前往欧洲多国、从不同运营商处批量采购 SIM 卡的方式，搭建起 “SIM 卡集群”。 此次捣毁行动是该地区针对 “机器人农场” 的第二次重大执法行动。上周，欧洲刑警组织（Europol）宣布，拉脱维亚开展了一次类似行动，执法部门在行动中关停 5 台服务器，查获 1200 台 SIM 卡盒设备及 4 万张在用 SIM 卡。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 图林根州内政部长格奥尔格・迈尔指控极右翼政党 “德国选择党”为俄罗斯从事间谍活动，并表示自己掌握支持该指控的证据。 迈尔向德国新闻媒体 Handelsblatt 表示：“一段时间以来，我们愈发担忧地观察到，德国选择党正滥用议会质询权，专门搜集我国关键基础设施的相关信息。” 身为德国社会民主党成员的迈尔指出，过去 12 个月里，德国选择党在图林根州就交通、数字基础设施以及水、能源供应领域，提出了 47 项相关质询。 他还向《商报》透露：“德国选择党对警方信息技术及装备表现出特殊兴趣，例如无人机探测与防御领域。由此产生的印象是，该党正通过质询来落实克里姆林宫的‘任务清单’。” 德国联邦议院情报监督委员会主席马克・亨里希曼对迈尔的担忧表示认同。 他表示：“俄罗斯显然在利用其在议会中的影响力 —— 尤其是通过德国选择党 —— 从事间谍活动并获取敏感信息。而德国选择党则心甘情愿为这种背叛行为‘拉普京的车’。” 德国选择党否认所有指控，称这些指控 “荒谬至极”。 长期以来，德国情报部门一直发出警告：俄罗斯正利用极端主义政党和个人，为自身利益搜集德国关键基础设施的敏感信息。目前，因德国选择党联邦议院议员马库斯・弗罗伊恩迈尔计划前往莫斯科，情报部门再次表达了担忧。 迈尔认为，问题不止于弗罗伊恩迈尔的既定行程。他称，俄罗斯试图 “传播虚假信息、破坏民主机构的合法性、阻碍议会程序，并与右翼极端组织建立联系”。 今年早些时候，德国情报机构经过长期调查得出结论：德国选择党正日益激进，目前已被认定为极右翼政党。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为者发起了新一轮攻击，目标是活跃于国防领域的欧洲企业。此次攻击是 “梦想工作行动”长期活动的一部分。 ESET 安全研究员彼得・卡尔奈和亚历克西斯・拉潘在一份分享给 The Hacker News 的报告中表示：“部分目标企业深度涉足无人机领域，这表明该行动可能与朝鲜当前扩大其无人机项目的努力有关。” 这家斯洛伐克网络安全公司称，其于 2025 年 3 月底首次发现该活动。部分被攻击实体包括：东南欧一家金属工程公司、中欧一家飞机零部件制造商，以及中欧一家国防企业。 恶意软件 经评估，该活动的最终目标是窃取专有信息和制造技术，所使用的恶意软件家族包括 ScoringMathTea 和 MISTPEN。 ScoringMathTea 的首次出现可追溯至 2022 年 10 月。此前曾于 2023 年初被 ESET 发现，当时它被用于攻击印度一家科技公司和波兰一家国防承包商。 而 MISTPEN 则于 2024 年 9 月被Google和Mandiant记录在案，当时它被用于入侵能源和航空航天领域的企业。 “梦想工作行动” 最早由以色列网络安全公司 ClearSky 于 2020 年曝光，是朝鲜一个多产黑客组织Lazarus Group发起的持续性攻击活动。该黑客集团还有多个追踪代号，包括 APT-Q-1、Black Artemis、Diamond Sleet、Hidden Cobra、TEMP.Hermit 和 UNC2970。据信，该黑客集团至少自 2009 年起就已开始运作。 攻击手段 在这些攻击中，威胁行为者利用类似 “传染性面试”的社会工程学诱饵，向潜在目标提供高薪工作机会，诱骗他们在系统中植入恶意软件。 该活动还与多个攻击集群存在关联，包括 DeathNote、NukeSped、Operation In (ter) ception和Operation North Star。 ESET 研究员表示：“这类攻击的核心模式是‘高薪虚假工作机会 + 恶意软件’：目标会收到包含职位描述的诱饵文档，以及一个用于打开该文档的植入了木马的 PDF 阅读器。” 攻击链最终会执行一个二进制文件，该文件负责侧载一个恶意动态链接库（DLL）。这个恶意 DLL 会释放 ScoringMathTea，同时还会释放一个名为 BinMergeLoader 的复杂下载器。BinMergeLoader 的功能与 MISTPEN 类似，会利用微软图形接口和令牌获取更多有效载荷。 研究人员还发现了另一种感染流程：通过一个未知的投放器交付两个中间有效载荷，第一个中间有效载荷会加载第二个，最终部署 ScoringMathTea。 ScoringMathTea 是一款高级远程访问木马，支持约 40 条命令，可完全控制被入侵的设备。 ESET 表示：“近三年来，Lazarus Group一直保持着固定的攻击模式，部署其偏好的主要有效载荷 ScoringMathTea，并使用类似方法在开源应用中植入木马。 这种模式虽可预测，但十分有效，能通过足够的多态性规避安全检测，即便它无法隐藏该集团的身份，也无法干扰溯源过程。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国得克萨斯州达拉斯市郊外的一个大型郊区，是本周全美范围内多个报告网络事件、且公共服务受影响的市政当局之一。 考夫曼县（Kaufman County）拥有近 20 万居民，该县表示周一发现一起网络攻击，迫使县官员通知了州级和联邦机构。 此次事件导致多个县级系统瘫痪，但警长办公室和应急服务未受影响。当地一家新闻媒体报道称，县法院的计算机已受到此次攻击影响。 考夫曼县法官杰基・艾伦（Jakie Allen）在一份声明中表示：“我们的首要任务始终是保障基本公共服务的连续性，并保护县级系统与信息安全。” 该县代表尚未回应置评请求。 针对考夫曼县的攻击，与全美范围内多起类似事件几乎同时发生。 周五，田纳西州拉弗恩市（La Vergne）表示，正调查一起网络事件，该事件导致政府官员使用的计算机系统陷入混乱。联邦调查局（FBI）及州级机构正与该市合作，协助其从攻击中恢复。 自发现网络攻击以来，该市的政府办公楼已关闭。 在周二发布的最新情况中，市政府官员解释称，用于缴纳水费和财产税的系统因网络攻击瘫痪，这迫使该市 4 万多名居民只能通过支票或汇票付款，现金和信用卡付款方式暂不接受。 该市承诺，在解决系统中断问题期间，不会收取滞纳金，也不会停止供水服务。 在市立法院，原定于周三举行的听证会因网络攻击被推迟。 印第安纳州的迪卡尔布县（Dekalb County）以及宾夕法尼亚州切斯特县（Chester County）的图书馆系统，在上个月也均报告了系统中断和网络攻击事件。 地方政府一直在艰难应对网络攻击，与此同时，为资金短缺的网络防御机构提供支持的联邦资源要么已到期，要么因当前政府停摆而受到限制。上个月，联邦网络安全机构终止了与互联网安全中心（CIS）的合作关系，而该中心曾为各市、县及州级机构提供关键威胁信息。 另一项规范网络威胁情报共享的重要联邦法律也于 9 月 30 日到期，这使得许多政府机构急于寻找关键网络安全信息的替代来源。 政府停摆期间，联邦部门的强制休假、预算削减和人员精简，也阻碍了关键机构为遭遇网络安全事件的地方政府提供援助的工作。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 “浑水”（MuddyWater）的伊朗国家背景组织，被指发起了一场新的网络活动。该组织利用一个被入侵的电子邮件账户，向中东和北非（MENA）地区的多家机构分发名为 “凤凰”（Phoenix）的后门程序，其中包括 100 多个政府实体。 新加坡网络安全公司 Group-IB 在今日发布的技术报告中表示，这场活动的最终目标是渗透高价值目标，为情报收集提供便利。 该活动超四分之三的目标包括大使馆、外交使团、外交部和领事馆，其次是国际组织和电信公司。 网络安全研究人员马哈茂德・祖赫迪（Mahmoud Zohdy）和曼苏尔・阿尔穆德（Mansour Alhmoud）指出：“‘浑水’组织通过 NordVPN—— 一款被该威胁行为者滥用的合法服务 —— 访问了被入侵的邮箱，并利用该邮箱发送看似真实通信内容的钓鱼邮件。” “通过利用这类通信所附带的信任度和权威性，该活动大幅提高了欺骗收件人打开恶意附件的概率。” 攻击链的核心流程是，威胁行为者分发植入恶意程序的微软 Word 文档。收件人打开文档后，会被提示启用宏功能才能查看内容。毫无防备的用户一旦启用该功能，文档就会执行恶意的 Visual Basic for Application（VBA，可视化 Basic 应用程序）代码，最终部署 “凤凰” 4.0 版本后门程序。 该后门程序由一个名为 “FakeUpdate”（虚假更新）的加载器启动，而这个加载器由 VBA 投放程序解码后写入磁盘。加载器中包含经过高级加密标准（AES）加密的 “凤凰” 有效载荷。 “浑水” 组织还有多个别名，包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、Mango Sandstorm（前称 Mercury）、Seedworm、Static Kitten、TA450、TEMP.Zagros 和 Yellow Nix。经评估，该组织与伊朗情报和安全部（MOIS）有关联，已知至少自 2017 年起便开始活跃。 Group-IB 上月首次记录到该威胁行为者使用 “凤凰” 后门程序，并将其描述为 “BugSleep” 的轻量版本。“BugSleep” 是一款基于 Python 的植入程序，此前已被证实与 “浑水” 组织有关联。目前已在野外检测到 “凤凰” 的两个不同变种 ——3.0 版本和 4.0 版本。 这家网络安全厂商表示，已发现攻击者的命令与控制（C2）服务器（地址为 “159.198.36 [.] 115”）还托管着远程监控与管理（RMM）工具，以及一款定制化网页浏览器凭据窃取工具。该窃取工具针对 Brave、谷歌 Chrome、微软 Edge 和欧朋（Opera）浏览器，这表明这些工具可能被用于此次行动。值得注意的是，多年来 “浑水” 组织一直有通过钓鱼活动分发远程访问软件的记录。 研究人员称：“通过部署‘凤凰’4.0 版本后门程序、‘FakeUpdate’注入器、定制化凭据窃取工具，再结合 PDQ、Action1 等合法远程监控与管理工具，‘浑水’组织展现出更强的能力 —— 能将定制化代码与商业工具整合，从而提升隐蔽性和持久控制能力。”   消息来源：thehackernew； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场神秘的针对性钓鱼攻击活动。该活动冒充乌克兰总统办公室，且在发起当天便宣告终止，其目的是入侵参与战争救援工作的相关机构。 根据网络安全公司 SentinelLabs 周三发布的报告，10 月 8 日开展的这场单日攻击活动，目标群体包括国际红十字会、挪威难民委员会、联合国儿童基金会的工作人员，以及其他参与战争救援的非政府组织人员。 SentinelLabs 表示，目前尚不清楚这场被标记为PhantomCaptcha的攻击活动背后主使是谁，但从目标清单可推测，攻击者试图 “获取与乌克兰援助相关的人道主义行动、重建规划及国际协调工作等方面的情报”。 SentinelOne 研究负责人汤姆・黑格尔在报告中写道，从最初的基础设施注册到攻击实施当天，这场针对性钓鱼攻击经过了六个月的准备。但攻击活动仅持续一天，相关基础设施便下线，“这表明攻击者具备精密的规划能力和对操作安全的高度重视”。 攻击手段与方式 黑客还向乌克兰顿涅茨克、第聂伯罗彼得罗夫斯克、波尔塔瓦和尼古拉耶夫斯克地区的政府机构发起攻击。 他们发送了一份伪装成乌克兰总统办公室官方文件的八页PDF文档，内含恶意程序。意图引导受害者陷入一套复杂的多阶段攻击链，以此获取受害者信任并绕过传统安全防护措施。 若受害者点击 PDF 中的嵌入链接，可能会被重定向至一个伪装成视频会议应用 Zoom 官方网站的域名，而该域名实际由俄罗斯服务商 KVMKA 掌控。 尽管攻击发起当天该服务器便无法解析，但 SentinelLabs 通过 VirusTotal 数据库获取了服务器响应数据，发现其是一个伪装成 Cloudflare 分布式拒绝服务（DDoS）防护网关的虚假页面。 这为入侵受害者设备提供了两种可能的途径。 一种是将受害者重定向至真实的密码保护 Zoom 会议，黑格尔写道，这可能便于黑客与受害者进行实时社会工程学诈骗通话。 另一种则是诱导受害者不慎执行复制到剪贴板的命令，研究人员将后一种手段称为ClickFix或 Paste and Run技术。 SentinelLabs 称，PhantomCaptcha攻击的变种手段会欺骗 Windows 用户，让其从虚假的 Cloudflare DDoS 防护网关复制 “令牌”，随后按下 “Windows + R” 组合键，粘贴 “令牌” 并执行命令 —— 而该命令实际是一段旨在入侵用户电脑的 PowerShell 脚本。 攻击者能力评估 研究人员表示：“这种社会工程学攻击手段极具效力，因为恶意代码是由用户自行执行的，能够避开那些仅专注于检测恶意文件的终端安全防护系统。” 尽管黑客很快关闭了面向公众的诱骗域名，但 SentinelLabs 发现，后台命令与控制基础设施在初始攻击日之后仍处于活跃状态，“这表明基础设施具备高度隔离性，且需要维护部分基础设施以控制已入侵的系统”。 研究人员发现，在攻击次日（10 月 9 日），一个与公众诱骗域名 URL 相似的新域名完成注册，“这可能意味着攻击者计划继续开展攻击活动”。 他们的基础设施分析还发现，该攻击与另一范围更广的攻击活动存在关联。后者 “利用成人社交与娱乐内容作为诱饵，且可能与俄罗斯 / 白俄罗斯的技术开发源头有关”，不过该攻击活动被列为单独的行动集群进行追踪。 具体而言，后一攻击活动的主题与报告中提及的 “乌克兰利沃夫市一家名为‘公主男士俱乐部’（Princess Men’s Club）的成人娱乐场所” 相关，包含一个网站和一个安卓应用安装包，旨在从受入侵设备中窃取各类个人信息与设备数据。 SentinelLabs 补充称，PhantomCaptcha攻击活动的时间线显示，攻击者 “既了解进攻性操作，也熟悉防御性检测能力”。不过该公司在发布报告时表示，暂无法将这一行动集群归属于某一已知黑客组织。 该公司表示，此次攻击活动的精密程度 “表明攻击者具备高水平的操作规划能力，从长期准备、基础设施隔离到刻意控制曝光度等方面均能体现这一点”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文