HackerNews 编译，转载请注明出处： 当奥列克桑德尔·波季伊（Oleksandr Potii）去年11月接管乌克兰网络安全机构时，他的任务清单急剧增加。曾经只负责少数政策领域的这位准将，其职责范围扩大到十几个领域——从保护关键基础设施到在全面战争中协调网络防御。 波季伊被任命为国家特殊通信和信息保护局（SSSCIP）的负责人，正值乌克兰在战场和网络空间都遭受俄罗斯无情攻击之际。他是自2022年克里姆林宫入侵以来该机构的第三任负责人。 作为一名拥有超过25年乌克兰武装部队经历的前信息安全教授，波季伊对莫斯科的能力直言不讳：“我们看到俄罗斯的技术水平很高，其潜力很强。我们不能低估他们，”他在一次采访中表示。 “俄罗斯不仅有能力，而且还有动机和政治意愿去使用这些能力。他们的智力资源不是用于建设自己的国家，而是用于破坏。” 在基辅的SSSCIP办公室接受 Recorded Future News 采访时，波季伊谈到了乌克兰不断发展的网络能力以及与西方盟友的合作——同时警告说，即使在战争的第三年，莫斯科的黑客仍然资源充足、动机明确且受政治驱动。 俄罗斯网络战略的转变 据波季伊称，与战争初期相比，“关键”网络攻击的数量有所减少，这些大规模行动旨在使关键基础设施瘫痪，他认为这一变化归因于乌克兰的防御能力增强以及发动此类行动的成本增加。 “每一次大规模关键攻击都需要精心准备、资源、工具、计划，并与其他行动进行协调，”他解释道。“也许俄罗斯不再有足够的资源发动这样的攻击，因为乌克兰继续加强其防御，降低了网络攻击成功的几率，同时增加了发动攻击所需的时间和精力。” 根据SSSCIP的一份报告，乌克兰计算机应急响应小组（CERT-UA）在2024年检测到59起关键和高级别的网络事件，而2023年为367起，2022年为1048起。 与此同时，非关键网络行动——从间谍活动到分布式拒绝服务攻击——有所增加。“也许俄罗斯正在节省资源。也许它仍有潜力但正在等待。或者也许乌克兰有效地阻止了这些攻击，”波季伊说。 波季伊表示：“我们看到网络活动直接取决于俄罗斯的政治目标和战略。”俄罗斯的网络活动反映了其政治战略的转变。最初，莫斯科试图破坏乌克兰社会的稳定并诋毁其机构。当这一企图失败后，它转向了间谍活动、数据盗窃和大规模破坏。 “我们看到网络活动直接取决于俄罗斯的政治目标和战略。攻击的重点和方向相应地发生变化，”他说。“通过预测俄罗斯政治优先事项的变化，我们也可以预测近期可能出现的攻击类型。” 随着冬季的临近，他预计克里姆林宫将重新瞄准乌克兰的能源网络和其他关键服务。“我们预计他们会发动传统打击，同时试图破坏维持关键基础设施运行的系统，”他说。 乌克兰的防御和伙伴关系 为了应对这一威胁，乌克兰依靠其网络防御力量之间的紧密合作以及国际伙伴的支持。CERT-UA目前正在追踪大约80个针对乌克兰的黑客组织——每个组织都有一个代号和独特的战术。 “由于我们维护着他们的战术数据库，我们可以预测下一步行动，通知伙伴并制定对策，”波季伊说。“对这些组织进行持续的技术研究使我们能够及时发现攻击并及时做出回应。” 据波季伊称，与欧洲和美国的信息共享仍然是乌克兰网络防御的核心。因此，基辅在最近美国领导层变动期间担心美国的支持是否会受到影响。 波季伊表示，尽管华盛顿发生了政治变化，但乌克兰与美国的技术联系仍然稳定。“我们与美国的合作几乎保持在同一水平，”他说。“在技术层面，没有任何变化：我们共享信息，他们帮助我们，我们也帮助他们。” 乌克兰正试图向伙伴，包括美国，保证他们的援助有利于他们自身的安全。“这不仅仅是援助——这是对我们共同安全的投资，”波季伊说。“我们让伙伴访问我们的平台，他们也让我们访问他们的平台。” 例如，乌克兰专家在美国接受了最新的网络安全和基础设施安全局（CISA）工具的培训，这些工具现在正在乌克兰积极部署。来自乌克兰数字战场的数据也帮助盟友更好地了解俄罗斯的黑客技术，这些技术可能会被用于攻击西方网络。 这种合作不仅限于美国，乌克兰还通过双边安全协议和备忘录与欧洲伙伴合作。“这些备忘录不仅仅是纸上的东西——它们是具体的计划，”波季伊说。 展望未来 波季伊于2020年加入SSSCIP，并在一系列领导层变动后于去年被任命为该机构负责人。前负责人尤里·米罗年科（Yury Myronenko）在任职仅一年后辞职，成为国防部副部长。 米罗年科的前任尤里·什丘格尔（Yurii Shchyhol）及其副手维克托·若拉（Viktor Zhora）于2023年被解职，当时正在调查涉嫌挪用国家资金的案件。他们被指控参与了一项软件采购计划，据称他们在2020年至2022年间窃取了170万美元。 波季伊表示，领导层的变动并没有影响该机构的效率，因为它有“制度记忆”——制度中嵌入的程序、文化和专业知识，而不仅仅是个人。 “新负责人可能会在一定程度上调整优先事项，但多年来SSSCIP一直在扩大其能力，”他说。“领导层的变动不是一场革命，而是为了与总统和总理设定的职能相一致而进行的调整。” 据波季伊称，乌克兰在网络空间的成功依赖于三个支柱——人员、技术和流程——这些必须随着战争的拖延而不断适应。他还补充说，建立伙伴之间的信任同样重要。“我们有我们信任的伙伴，也有我们不信任的伙伴。我们需要扩大值得信任的伙伴圈子——并确保他们也信任我们。” 随着俄罗斯继续试验新的工具和战术，这种信任将受到考验。波季伊以对乌克兰国家铁路公司（Ukrzaliznytsia）的攻击为例，提醒人们所面临的风险。“像对乌克兰国家铁路公司的严重攻击表明，俄罗斯进行了彻底的准备，并开发了全新的工具。这就是为什么这次攻击造成了重大干扰。” 尽管关键事件的数量有所下降，波季伊指出威胁依然存在。“俄罗斯的动机不会消失，”他说。“我们能做的是在技术上阻碍他们，使他们的行动复杂化。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国务院通过“正义赏金”计划悬赏最高1000万美元，征集有关俄罗斯联邦安全局（FSB）官员帕维尔·亚历山德罗维奇·阿库洛夫（Pavel Aleksandrovich Akulov）、米哈伊尔·米哈伊洛维奇·加夫里洛夫（Mikhail Mikhailovich Gavrilov）和马拉特·瓦列里耶维奇·秋科夫（Marat Valeryevich Tyukov）的情报。这三人被指控入侵美国关键基础设施及全球超过500家能源企业。 指控称，这些FSB官员试图获取并维持“对美国及国际数百家能源企业的未授权持久访问权限，使俄罗斯政府能够破坏这些关键设施”。其攻击范围涵盖135个国家超过380家能源企业，包括石油天然气公司、电力电网运营商、核电站、可再生能源企业以及工程技术服务商。 这三名官员均隶属于FSB第16中心（又名“Dragonfly”、“Berzerk Bear”、“Energetic Bear”和“Crouching Yeti”）。美国司法部早在2021年8月就已对他们提起指控。 两阶段攻击行动 2012至2017年间，Dragonfly APT（高级持续性威胁）组织针对能源行业的工业控制系统（ICS）和监控与数据采集系统（SCADA）发起多轮攻击： 第一阶段（2012-2014）：行动代号“Dragonfly”或“Havex”，采用供应链攻击手段入侵OT网络系统制造商和软件供应商，部署“Havex”恶意植入程序。通过鱼叉式钓鱼和水坑攻击，在美国及海外超过17,000台设备上安装恶意软件，其中包括电力能源企业使用的ICS/SCADA控制器。 第二阶段（2014-2017）：升级为“Dragonfly 2.0”，集中针对500余家欧美能源企业和政府机构（包括美国核管理委员会）的3,300多名ICS/SCADA系统工程师发起定向攻击。 新型攻击手段曝光 2025年8月，FBI警告称俄罗斯关联黑客组织“Static Tundra”正在利用Cisco Smart Install（SMI）中未修复的漏洞（CVE-2018-0171，CVSS评分9.8）和简单网络管理协议（SNMP），攻击全球范围内的老旧网络设备。该漏洞允许攻击者远程执行任意代码或导致设备重启。 Static Tundra与FSB第16中心存在关联，十年来持续通过以下手段实施网络间谍活动： 利用过时协议（SMI、SNMP v1/v2） 部署定制化工具如Cisco “SYNful Knock”恶意固件 建立GRE隧道实现隐蔽通信 窃取数千台美国关键基础设施设备的配置数据 思科Talos团队报告显示，该组织主要针对北美、亚洲、非洲和欧洲的电信、高等教育和制造领域机构，受害者选择标准取决于其对俄罗斯政府的战略价值。 SYNful Knock作为模块化路由器后门，自2015年被Mandiant首次披露以来，持续为攻击者提供持久化访问和情报收集能力。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护机构国家信息与自由委员会（CNIL）宣布，因违反Cookie使用规则，对谷歌和希音（Shein）分别处以3.25亿欧元（约合3.79亿美元）和1.5亿欧元（约合1.75亿美元）的罚款。 CNIL指出，两家公司在未征得用户同意的情况下，在其浏览器上设置了广告Cookie。希音此后已更新系统以符合法规要求。据路透社报道，希音计划对此决定提出上诉。 CNIL特别说明，“在创建谷歌账户时，用户被引导选择与个性化广告展示相关的Cookie，而非通用广告相关的Cookie，且未明确告知用户为广告目的存储Cookie是使用谷歌服务的前提条件”。以此方式获得的用户同意无效，违反了《法国数据保护法》第82条。尽管谷歌在2023年10月增加了拒绝Cookie的选项，但“缺乏知情同意的问题依然存在”。 谷歌还因在Gmail“促销”和“社交”标签页中以邮件形式插入广告而受到指责。CNIL强调，根据《法国邮政与电子通信法典》（CPCE），展示此类广告需获得用户明确同意。法国电信运营商Orange曾在2024年12月因类似行为，未经用户同意在邮件中插入广告而被罚款5000万欧元。谷歌被要求六个月内完成整改，否则将面临每日10万欧元的罚款。 与此同时，美国一个陪审团裁定谷歌侵犯用户隐私，即在用户选择退出“网页与应用活动”跟踪后仍收集其数据。该集体诉讼最终判决谷歌支付4.25亿美元赔偿金。谷歌在给路透社的声明中表示，该裁决“误解了其产品的工作原理”，强调其隐私工具赋予用户数据控制权，并计划上诉。 此外，美国联邦贸易委员会（FTC）宣布，迪士尼已同意支付1000万美元以了结指控，因其未经家长通知或同意收集观看YouTube视频的儿童个人数据，违反了美国《儿童在线隐私保护规则》（COPPA）。FTC指出，迪士尼未正确标注其上传至YouTube的部分视频为“儿童制作”，从而收集了13岁以下儿童观看内容的数据并用于定向广告。拟议和解方案要求迪士尼在收集13岁以下儿童个人数据前开始通知家长并征得同意，并启动一个项目确保上传到YouTube的视频被正确标注。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦贸易委员会（FTC）于周二宣布，迪士尼公司已同意支付1000万美元，以和解有关其在未通知父母或获得同意的情况下，从观看YouTube视频的儿童那里收集个人数据的指控。 根据FTC的移交，美国司法部提起了诉讼，指控迪士尼违反了《儿童在线隐私保护规则》（COPPA），因其未将“大量”上传至YouTube的视频标注为“面向儿童”。 被指定为面向儿童的视频会禁用定向广告。诉状称，迪士尼的行为使得儿童在未经父母通知或同意的情况下被收集个人数据，并据此成为定向广告的目标。 FTC在一份新闻稿中表示，其拟议的命令将要求迪士尼改变在流媒体服务上指定面向儿童视频的方式，并将推动YouTube开始使用年龄验证技术。 COPPA规则于今年1月更新，要求父母选择同意第三方向儿童投放广告。该规则强制要求网站和在线服务在收集、使用或分享13岁以下儿童的个人信息之前，必须获得可验证的父母同意。 诉状称，自2020年以来，迪士尼已向超过1250个YouTube频道上传了数万个视频。仅2020年三个月内，上传到三十多个迪士尼频道的视频就在美国获得了12亿次观看。 其中许多视频未被正确标注为面向儿童。诉状称，这家娱乐巨头从此做法中获利颇丰。 迪士尼从YouTube在这些视频上投放的广告中获得部分广告收入。它也会在一部分视频上投放自己的广告。 2019年11月，YouTube告知迪士尼，必须上报其上传的内容是否面向儿童，以确保符合COPPA。YouTube根据迪士尼是否将内容标注为“面向儿童”来决定允许哪些广告行为。 诉状称，迪士尼以“非面向儿童”标签发布的视频包括米老鼠卡通片段以及《冰雪奇缘》、《魔法满屋》、《海洋奇缘》、《赛车总动员》、《魔发奇缘》、《美食总动员》和《玩具总动员》等面向儿童电影的片段。 诉状称，YouTube早在2020年6月就告知迪士尼其未能正确标注视频，但迪士尼未能解决此问题。 迪士尼的一位发言人没有回复置评请求。 FTC主席安德鲁·弗格森在一份预备声明中表示：“此案强调了FTC执行COPPA的决心，该法案由国会颁布，旨在确保由父母而非迪士尼等公司来决定其孩子个人信息在网上的收集和使用。” 除了1000万美元的罚款外，拟议的和解方案还要求迪士尼在收集13岁以下儿童的个人数据前开始通知父母，并根据COPPA获得他们的同意。 迪士尼还被要求启动一个项目，以确保其上传到YouTube的视频被正确指定为面向儿童。然而，如果YouTube部署了自己的年龄验证技术，该命令的此条款将被取消。     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟委员会方面表示：欧盟委员会主席乌尔苏拉·冯德莱恩的飞机在保加利亚上空遭遇疑似俄罗斯的GPS干扰，但已安全降落。 欧盟确认乌尔苏拉·冯德莱恩的飞机在飞往保加利亚途中经历了GPS干扰。欧洲当局怀疑是俄罗斯进行了干扰，不过飞机最终安全降落。保加利亚官员提供了这一信息，欧盟发言人则称其为“公然的干扰行为”。 欧盟发言人表示：“我们确实可以确认发生了GPS干扰，但飞机已在保加利亚安全降落。我们从保加利亚当局获得的信息显示，他们怀疑这是俄罗斯的公然干扰所致。” 冯德莱恩的专机在普罗夫迪夫附近失去GPS信号，被迫盘旋一小时后使用模拟地图进行手动降落。官员将此事归咎于俄罗斯的干扰。保加利亚当局报告称，自2022年以来，GPS干扰和欺骗事件激增，这对飞机和地面系统的运行造成了干扰。 英国《金融时报》报道称：“周日下午，一架载有冯德莱恩前往普罗夫迪夫的飞机在接近该市机场时失去了电子导航辅助设备，三名了解事件的官员表示，这被视为俄罗斯的干扰行动。”其中一名官员称：“整个机场区域的GPS都失灵了。” 克里姆林宫发言人德米特里·佩斯科夫告诉《金融时报》：“你们的信息不正确”。 保加利亚当局确认该飞机的GPS信号被中和，空中交通管制随后使用地面导航工具提供了替代的降落指导以确保安全。 欧盟委员会称“威胁和恐吓是俄罗斯敌对行为的常规组成部分”，并表示此次事件将强化其“提升防御能力并支持乌克兰”的承诺。 在冯德莱恩前往保加利亚的航班受到GPS干扰后，欧盟计划发射更多近地轨道卫星以探测此类干扰。 在波罗的海附近飞行的航空公司报告了数万起GPS干扰事件。2024年3月，俄罗斯黑客通过电子战攻击击落了英国国防大臣格兰特·沙普斯所乘的皇家空军达索猎鹰900喷气式飞机的GPS和通信系统。当时，英国国防大臣格兰特·沙普斯的皇家空军达索猎鹰900喷气式飞机从波兰（他在那里访问了参加“坚定卫士”演习的英国部队）飞回英国。 《太阳报》的防务编辑当时就在这架皇家空军达索猎鹰900喷气式飞机上，他报道称GPS和通信系统被疑似俄罗斯发起的干扰攻击禁用。 皇家空军飞行员确认，在格兰特·沙普斯的飞机飞近俄罗斯飞地加里宁格勒（与波兰接壤）期间，GPS和其他信号被阻塞了将近30分钟。 没有GPS也可以飞行，但这会增加工作负荷、降低效率，并在能见度差的情况下限制进近的精度。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国防部及数百万用户使用的关键代码目前仅由一名俄罗斯开发者独立维护。有人对此不以为然，认为互联网的半壁江山本就依赖于某些人的个人项目。网络安全圈的这番骚动，凸显出人们对国家行为体可能对个体维护者施加影响的担忧。 Hunted Labs的安全研究人员近期重点关注了“fast-glob”，这是一个广泛应用于Node.js环境中进行快速文件和文件夹搜索的工具。报告指出：“由单人维护的状况给超过5000个软件包（包括Node.js中的容器镜像及美国国防部系统内的容器）带来了供应链风险。我们的调查发现，在经批准的国防部系统中，超过30个容器存在此组件。” GitHub上的依赖关系图显示，该代码被超过2700万个代码仓库使用，并在JavaScript包管理器NPM上每周获得7500万次下载。 Hunted Labs报告称，fast-glob的维护者mrmInc（本名Denis Malinochkin）一直居住在莫斯科，并曾为俄罗斯科技巨头Yandex工作。众所周知，Yandex在与俄罗斯政府合作进行公民跟踪、审查和压迫方面有所配合。报告认为这是一个风险点，“鉴于开源社区往往在几乎不了解贡献者背景的情况下就盲目采纳项目”。但目前并无迹象表明该开发者曾有任何不当行为。 该开发者强调，从未有人要求他操纵该工具、向项目引入隐藏更改或收集分享系统数据。Malinochkin甚至联系了The Register并解释，他从2016年起就开始独立开发fast-glob，这远早于他加入Yandex的时间。这个完全开源的项目完全在本地运行，任何人都可以查看代码。 播客主、博主兼Anchore公司安全副总裁Josh Bressers站出来为这位俄罗斯开发者辩护。他在一篇博文中论证：“让THE WHOLE F*CKING PLANET运转的软件是由一个人写的。在一个国家。但我们不知道是哪个国家。注意，不是同一个人，但就是一个人。几乎所有的开源软件 literally 都是由一个人完成的。”专家用数据支持了这一说法：在ecosyste.ms跟踪的1180万个开源项目中，约有700万个由单人维护。由于400万个项目的维护者人数未知，实际数字可能更大。“实际上比这还要多，”Bressers说，“其中一大批项目将会是一个人维护的。”由单名开发者维护的代码几乎占据了NPM上最受欢迎代码库的一半。“大约13000个下载量最大的NPM包中，有一半是仅由一个人维护的，”专家强调。许多独立开发者还拥有不止一个软件包，并且其中可能没多少人拥有他们可能需要的适当资源。 Bresser认为，真正的供应链风险在于维护者薪酬过低和工作过度，而不在于他们来自哪个国家。“让我们面对现实吧，俄罗斯人还没蠢到去给一个住在俄罗斯的人所拥有的软件包植入后门。他们会做一些事情，比如假装来自另一个国家，用像Jia Tan这样的名字，而不是Boris D. Badguy。这可不是《波波鹿与飞天鼠》的剧集。” 这场讨论在程序员和技术专业人士驱动的社区论坛Lobste.rs上热度渐起。计算机科学家Kornel Lesinski认为，维护者的数量并不是衡量协作的正确标准，因为一个普通的NPM依赖树涉及许多不同的人。发布小型独立的软件包，比让多个维护者在一个单一的整体库上协作更为便利。然而，其他人则表示担忧，认为任何国家行为体能够接触到的代码都可能被滥用。当面对秘密法院的令状时，开发者将没有太多选择。“我对俄罗斯政府的信任程度与对一个人的信任程度截然不同。”一位开发者说。 尽管许多人同意过分关注单一维护者可能有些夸大其词，但对地缘政治或系统性风险保持谨慎的认识仍然必要。Hunted Labs的研究人员承认，替换或修复fast-glob没有快速简便的解决方案。“最佳选择是让mrmInc为项目增加额外的维护者和监督机制，新的维护者需为开源社区所知且居住在民主社会。这是最简单的解决方案，能立即保护使用fast-glob的数百万项目。”Hunted Labs建议道。其他替代方案包括选择不同的工具，或者对其进行分叉（fork）并维护一个独立的版本。 然而，研究人员也敦促立即从美国国防部或情报界使用的产品中移除fast-glob。美国国防部此前曾发布一份备忘录，指示所有技术必须经过验证，确保其安全，能防范来自俄罗斯及其他对手的潜在供应链攻击。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场针对韩国政府及情报工作人员的大规模鱼叉式网络钓鱼活动，利用了一份国家情报通讯刊物来诱骗受害者。 网络安全公司Seqrite在8月29日发布的新报告中披露，APT37——一个被认为有朝鲜背景的国家级黑客组织——是此次大规模鱼叉式网络钓鱼活动的幕后黑手。 这项被称为“韩国幻影行动”（Operation HanKook Phantom）的行动包含两波活动，期间APT37武器化了一些能引起韩国政府官员和情报人员兴趣的文档。 以首尔情报为诱饵的鱼叉式钓鱼 第一波活动利用名为“国家情报研究学会通讯-第52期”（韩语：국가정보연구회 소식지 (52호)）的文档作为诱饵。 《国家情报研究学会通讯》是由韩国研究团体“国家情报研究协会”发布的月度或定期内部通讯刊物。它为会员提供最新及即将举办的研讨会、研究计划和组织发展的概述，并重点介绍有关国家安全、劳动力动态、当前地缘政治变化、技术进步（如人工智能）和韩朝关系的 ongoing 讨论。 根据Seqrite研究人员的说法，攻击者分发这份看起来合法的PDF文件的同时，还附带了一个恶意的LNK（Windows快捷方式）文件，该文件被命名为“国家情报研究学会通讯(52期).pdf.LNK”。 一旦LNK文件被执行，便会触发载荷下载或命令执行，使得攻击者能够入侵系统。其入侵链包含多种混淆恶意载荷和逃避检测的方法，包括内存执行、伪装诱饵和隐藏的数据渗出例程。 通过分析攻击链，Seqrite研究人员发现其最终载荷是RokRAT，这是一个通常作为编码后的二进制文件分发的后门程序，在利用武器化文档后由shellcode下载并解密。APT37在过去的攻击活动中也被观察到分发RokRAT。 此鱼叉式钓鱼活动的主要目标包括该通讯刊物的接收者，他们通常是以下一个或多个韩国机构的成员： 国家情报研究协会 光云大学 高丽大学 国家安全战略研究院 中央劳动经济研究所 能源安全与环境协会 救国精神振兴会 养志会（纪念会议主办方） 韩国整合战略 以朝鲜官方通讯为诱饵的鱼叉式钓鱼 第二波活动使用了朝鲜劳动党中央委员会副部长、朝鲜最高领导人金正恩的妹妹金与正于7月28日发表的声明作为诱饵。 Seqrite报告指出，根据平壤的朝鲜中央通讯社（KCNA）报道，该声明表明了朝鲜拒绝韩国任何和解努力的立场。研究人员称：“它强烈批评韩国改善朝韩关系的尝试，称其毫无意义或虚伪。”文件还提到，朝鲜断然拒绝未来与韩国的任何对话或合作，宣布结束和解努力，并将在未来采取敌对、基于对抗的立场。 此攻击链与第一波活动相似，从一个恶意的LNK文件开始，该文件在部署混淆组件（tony33.bat, tony32.dat, tony31.dat）到%TEMP%目录的同时，会释放一个诱饵文档。LNK文件会自行删除，随后批处理脚本触发无文件攻击：tony32.dat在内存中解码，用XOR解密（密钥0x37）tony31.dat，并通过API调用（VirtualAlloc+CreateThread）将其注入。 投放器通过伪造的HTTP请求从命令与控制（C2）服务器获取次要载荷（abs.tmp），通过PowerShell（-EncodedCommand）执行它并删除痕迹。同时，它通过在删除前通过伪装的POST请求（模仿PDF上传）来渗出%TEMP%文件，并使用合法系统工具（LOLBins）、内存执行和流量混合来逃避检测。 第二波活动的目标包括： 李在明政府（韩国政府内阁） 统一部 美韩军事同盟 亚太经合组织（APEC） APT37使用高度定制的鱼叉式钓鱼攻击 Seqrite将这两波结合的活动命名为“韩国幻影行动”（Operation HanKook Phantom），“HanKook”是一个通常用于指代韩国的韩语词，而“Phantom”（幻影）则代表了在整个感染链中使用的隐蔽且规避的技术。 APT37是一个网络间谍组织，拥有许多别名，包括InkySquid、ScarCruft、Reaper、Group123、RedEyes和Ricochet Chollima。该组织至少自2012年以来一直活跃，并被认为与朝鲜政权有关联。其主要焦点是韩国的公共和私营部门，近期的鱼叉式钓鱼活动涉及利用有关朝鲜士兵在乌克兰战争中帮助俄罗斯的文档作为诱饵。 2017年，APT37将其目标范围扩展到朝鲜半岛以外，包括日本、越南和中东，并瞄准了更广泛的行业领域，包括化工、电子、制造、航空航天、汽车和医疗保健组织。 Seqrite研究人员总结道：“对此次行动的分析凸显了APT37如何持续采用高度定制的鱼叉式钓鱼攻击，利用恶意的LNK加载器、无文件的PowerShell执行和隐蔽的渗出机制。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国检方已对一名30岁男子提起诉讼，指控其对俄罗斯国有石油巨头旗下德国子公司Rosneft Deutschland实施网络攻击。此次攻击发生在莫斯科全面入侵乌克兰后的数周内，导致公司运营瘫痪并造成千万欧元损失。 柏林检察官办公室于周三表示，该嫌疑人面临两项数据间谍罪指控，其中一项包括特别严重的电脑破坏罪。联邦刑事警察局（BKA）调查人员此前指控其在2022年3月的入侵过程中窃取了约20太字节数据，并删除了关键系统中的信息。黑客身份尚未公开。 失窃数据后来在一个由被告与“匿名者”黑客组织另外两名成员共同运营的网站上公布。该网站包含部分文件列表，已于2023年中期停止运营。 自称“德国匿名者”的黑客组织于2022年3月披露了此次入侵，声称已清除了数十台设备的信息（包括59台苹果系统），并将“荣耀归于乌克兰”的标语嵌入Rosneft的基础设施中。网上发布的截图显示他们已获取管理员权限。 检方表示，此次攻击迫使Rosneft Deutschland关闭其IT系统并启动取证调查，产生后续成本约976万欧元（约1139万美元）。内部通信和运营连续数日严重中断，物流交付受阻，导致额外经济损失约260万欧元（超过300万美元）。 当时，德国联邦信息安全局（BSI）警告称，该事件限制了公司提供关键服务的能力。 “匿名者”声称其动机是Rosneft与俄罗斯总统普京的密切关系，以及该公司逃避制裁的行为。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国务院表示，其与日本及韩国外务省协作在东京举办论坛，旨在应对朝鲜公民通过非法手段获取信息技术职位的多年渗透活动。本次论坛汇集130余位参与者，涵盖自由职业平台、支付服务提供商、加密货币企业及人工智能公司等领域。 该论坛旨在为各利益相关方搭建信息共享平台，共同制定防御策略。多起案例显示，日本与韩国企业（尤其是加密货币行业）因误雇朝鲜IT人员已损失数百万美元。 美日韩三国自2022年起就此展开合作，并于今年1月共同指出朝鲜知名黑客组织“拉撒路集团”（Lazarus Group）持续通过加密货币窃取活动实施网络犯罪，目标涵盖交易所、数字资产托管商及个人用户。除日本加密货币公司DMM Bitcoin和印度平台WazirX遭窃5亿美元外，朝鲜黑客还从Upbit、Rain Management及Radiant Capital等平台盗取1.16亿美元。 朝鲜政府通过该计划为其大规模杀伤性武器及弹道导弹项目筹集数亿美元资金。具体操作模式为：身处中国、俄罗斯或东南亚的朝鲜公民利用窃取的欧美身份证明，受雇于西方企业并获取高薪。数百名朝鲜人员以此获得职位，其中多人同时在多家财富500强企业兼任工作。 尽管部分公司承认这些IT人员工作能力合格，但美国官员警告潜在风险包括：敏感数据泄露、企业声誉损害、法律追责后果，以及掌握企业内部资产路径的朝鲜黑客可能发动后续攻击。 上月，美国财政部对三名参与IT渗透计划的朝鲜高级官员实施制裁，同时判处一名亚利桑那州女子八年监禁——该女子在美国境内运营“笔记本农场”，协助朝鲜人员伪装在美国本土工作。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯一名高级官员表示，政府正在考虑封禁视频会议服务 Google Meet。此前，上周末该服务在俄罗斯出现了短暂中断。 国家杜马信息技术委员会副主席安德烈·斯温佐夫（Andrei Svintsov）表示，被认为对国家安全构成威胁的西方应用程序最终可能会被禁止。 “那些能够监视我国公民并向西方情报机构发送信息的应用程序很可能会被屏蔽，”斯温佐夫在评论近期 Google Meet 中断事件时对当地媒体表示，并补充说该服务目前尚未被禁。 监控服务 Downdetector 周五收到了超过 2300 起关于 Meet 运行状况的投诉，用户报告了通话卡顿冻结、视频和音频消失以及应用程序关闭等问题。访问随后恢复。谷歌未回应置评请求。 俄罗斯互联网监管机构 Roskomnadzor 否认对 Meet 实施了限制。斯温佐夫暗示，故障可能是由于本月早些时候俄罗斯限制了 WhatsApp 和 Telegram 的通话功能后用户涌入造成的。 独立记者和数字权利专家表示，随着克里姆林宫推动推广一款名为 Max 的国家支持的消息应用，封禁 Meet 是可能的。Max 由 VKontakte 创始人帕维尔·杜罗夫的继任团队开发，仿照中国微信模式。从 9 月开始，Max 将预装在俄罗斯销售的所有新智能手机上。 本月早些时候，莫斯科屏蔽了 WhatsApp 和 Telegram 的语音和视频通话功能，指责这两款美国应用程序助长欺诈、破坏活动和恐怖主义。当局表示，如果这些公司遵守与俄罗斯执法部门共享数据的要求，服务可以恢复。 科技巨头 Meta 旗下的 WhatsApp 称，限制其应用程序通话功能的决定是企图剥夺俄罗斯人安全通信的权利，并迫使他们转向“安全性较低的服务，以便政府实施监控”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文