HackerNews 编译，转载请注明出处： 一名约旦国民于上周四认罪，承认通过在网络犯罪论坛上出售对至少50家公司网络的访问权限进行犯罪。 40岁的费拉斯·阿尔巴希蒂被指控犯有与访问设备相关的欺诈和关联活动罪，面临最高10年监禁。他的量刑定于今年5月进行。 法庭文件显示，联邦调查局一名卧底特工于2023年5月在对一个未具名的网络犯罪论坛进行无关调查时，首次与阿尔巴希蒂取得了联系。 阿尔巴希蒂以用户名“r1z”活动，最初向卧底特工出售了一款渗透测试工具的破解版，随后又以5000美元的价格，通过两种不同的防火墙漏洞利用方式，出售了对50家公司的网络访问权限。 到2023年9月，卧底特工再次联系阿尔巴希蒂，询问一种可以关闭终端检测与响应工具的恶意软件（即EDR杀手）。阿尔巴希蒂提供了能够禁用三个不同品牌EDR的强大恶意软件，FBI以1.5万美元的价格购买了一个版本。 在起诉书中，FBI指出该恶意软件”具有新颖性，并且在破坏受害者计算机网络方面似乎非常有效”。 在替卧底特工测试该恶意软件时，FBI得以追踪到阿尔巴希蒂的IP地址。起诉书补充说，同一IP地址还参与了2023年6月对美国一家制造公司的勒索软件攻击，造成了约5000万美元的损失。检察官未具体说明是哪家公司。 FBI最终能够将”r1z”这个网络犯罪论坛账户与阿尔巴希蒂联系起来，是因为该账户注册时使用的电子邮箱与他2016年申请美国签证时使用的是同一个。这个Gmail地址还与以阿尔巴希蒂名义注册的其他几个账户和支付卡有关联。 阿尔巴希蒂在被起诉时居住在格鲁吉亚第比利斯，并于2024年7月被引渡至美国。 经过数月的律师更换后，阿尔巴希蒂最终同意达成认罪协议，承认自己出售了对这50家公司的访问权限。 已知威胁 初始访问经纪人是网络犯罪生态系统的关键一环，他们负责入侵受害者网络这一困难工作，然后将其出售或自行利用。 多年来，”r1z”账户受到多家网络安全公司和政府机构的关注，许多人认为它是一个提供有效安全产品漏洞利用程序的合法威胁行为者。 网络安全公司兼大型防火墙制造商Fortinet在2022年发布了一份关于”r1z”的报告，警告称该威胁行为者”通过利用关键的Confluence未授权RCE漏洞（跟踪为CVE-2022-26134）获取了对50个易受攻击的Confluence服务器的访问权限并进行了广告宣传，并声称拥有超过10000个易受攻击的Confluence服务器列表”。 Fortinet将”r1z”账户列为2022年24个可信威胁行为者之一。美国卫生与公众服务部下属的网络安全机构在其2022年的报告中也引用”r1z”为可信威胁来源。 卫生信息共享与分析中心（Health-ISAC）网络信息共享组织于2023年1月警告医疗保健组织，”r1z”是一个”知名且可信的”Cobalt Strike（一款流行的渗透测试工具）非法版本销售商。该组织称，该账户”自2022年6月左右开始活跃，此前曾通过被入侵的Confluence、Microsoft Exchange、SonicVPN和VMware账户提供未授权访问”。 “r1z”这个代号似乎还在俄罗斯网络犯罪论坛XSS上拥有账户。网络安全公司ZeroFox分享的截图显示，有一篇帖子提供了网络犯罪分子可用于绕过EDR和防病毒解决方案的工具。 网络安全公司Kela的专家补充说，”r1z”在XSS论坛上声誉良好，并提供过多个安全产品的有效漏洞利用程序。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 食品配送平台Grubhub确认在黑客入侵后发生了数据泄露事件，消息人士告诉BleepingComputer，该公司目前正面临高价勒索。 “近期，我们获悉有未经授权的个人从Grubhub某些系统下载了数据”，Grubhub告诉BleepingComputer。“我们迅速展开调查，阻止了该活动，并正采取措施进一步加强自身的安全防护体系。本次事件未涉及财务信息、订单记录等敏感数据。” Grubhub拒绝回应关于此次泄露事件的任何进一步问题，包括事件发生时间、是否涉及客户数据、或是否遭到勒索。不过该公司证实，目前已与第三方网络安全公司展开合作，并已向执法部门报案。 上月，Grubhub也曾卷入从其b.grubhub.com子域名发送的一波诈骗邮件，邮件以 “比特币投资可获十倍回报”为诱饵推广加密货币骗局。 当时Grubhub曾表示已控制住事态，并采取措施防止未授权邮件的再次发送，但同样拒绝就该诈骗事件的更多细节作出回应。目前暂无法确认这两起事件是否存在关联。 黑客勒索施压 尽管 Grubhub 拒绝透露更多细节，但多个消息来源已告诉BleepingComputer，此次事件的幕后黑手是网络犯罪团伙 ShinyHunters，该团伙正以此对 Grubhub 实施勒索。 据消息人士透露，威胁行为者要求支付比特币赎金，否则就将公开两份数据：一份是 2025 年 2 月该公司发生的 Salesforce 系统数据泄露事件中被盗取的历史数据，另一份则是本次新泄露的 Zendesk 平台数据。Zendesk是Grubhub的线上客服聊天平台，该平台主要用于处理订单咨询、账户问题及账单相关服务。 攻击路径 目前此次数据泄露的具体时间仍不明确，但BleepingComputer透露，黑客利用了近期 Salesloft Drift 数据失窃事件中被盗取的机密信息和登录凭证实施了本次攻击。 2025 年 8 月 8 日至 18 日期间，黑客利用窃取的 Salesloft 公司 Salesforce 集成功能 OAuth 令牌，发起了一轮大规模数据窃取行动。 Mandiant的报告显示，被窃取的数据随后被用来收集凭证和密钥，以对其他平台进行后续攻击。 “GTIG观察到UNC6395以敏感凭证为目标，例如亚马逊网络服务访问密钥、密码和Snowflake相关的访问令牌，”谷歌报告称。 谷歌方面指出：“谷歌威胁情报团队观察到，黑客组织 UNC6395正紧盯各类高敏感凭证信息，包括亚马逊云服务访问密钥、各类密码，以及雪花云数据平台相关的访问令牌。” ShinyHunters当时声称是此次泄露事件的幕后黑手，表示他们从760家公司的“账户”、“联系人”、“案例”、“商机”和“用户”Salesforce对象表中窃取了约15亿条数据记录。 威胁行为者滥用先前窃取的Salesforce数据来实施后续攻击，所有受到Salesloft Drift数据泄露事件波及的企业，若尚未更换相关访问令牌及机密信息，应立即完成更新操作。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰政府本周表示，通过挫败一起官员所称的多年来对其能源基础设施最严重的网络攻击，波兰勉强避免了一次大规模停电。 能源部长米沃什·莫蒂卡称，这次攻击发生在12月底，黑客针对全国大部分地区可再生能源设施（包括太阳能发电场和风力涡轮机）与电力配电运营商之间的通信发起攻击。 数字化事务部长克日什托夫·加尔科夫斯基周二表示，该事件“非常接近停电”，并带有协调破坏行动的迹象。 “这次攻击的规模、入侵途径以及幕后黑手都表明，这是一次试图切断波兰公民电力供应的蓄意行为，”加尔科夫斯基告诉当地媒体。“一切都指向俄罗斯的蓄意破坏。” 与此前专注于大型发电厂或输电网络的网络事件不同，这次最新的攻击同时针对多个较小的电力来源。 “我们以前从未见过这种类型的攻击，但我们应该预期它会再次发生，”莫蒂卡说。 他拒绝提供有关入侵的技术细节，未正式将其归因于特定的威胁行为者，也未概述事件后采取了哪些安全措施。 作为北约成员国和乌克兰的关键支持者，自2022年俄罗斯全面入侵乌克兰以来，波兰面临越来越多针对关键基础设施的网络攻击。 这次试图入侵的事件发生之际，莫斯科继续用无人机和导弹轰炸乌克兰的能源系统，引发了乌克兰当局所称的”前所未有”的能源危机，并在严寒的冬季导致数百万人失去电力、供暖和用水。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组指出，乌军近期遭到一系列新型网络攻击，攻击所使用的恶意软件为PLUGGYAPE。政府专家以中等置信度将该攻击归因于与俄罗斯有关联的组织Void Blizzard（又名Laundry Bear、UAC-0190），该组织自2024年开始活跃。 此次攻击的链路以社会工程学手段为开端。攻击者通过即时通讯软件联系目标对象，诱骗其访问一个伪装成慈善基金会的虚假网站。该网站诱导受害者下载所谓的“文件资料”，而这些文件实则为恶意可执行程序。 这些恶意文件通常会被封装在带密码保护的压缩包中，或通过聊天工具直接发送，还会使用.docx.pif这类具有迷惑性的扩展名，以此伪装成无害文件。 一旦受害者打开文件，其中基于Python编写、经 PyInstaller打包的程序便会运行，进而安装PLUGGYAPE后门程序，让攻击者得以远程控制受感染的设备。 乌克兰计算机应急响应小组的报告中提到：“在至少五轮攻击行动中，所使用的PIF文件均为经PyInstaller打包生成的可执行文件。其底层软件代码基于Python编程语言开发，被归类为PLUGGYAPE后门程序。需要注意的是，2025年10月期间，攻击者曾使用扩展名是.pdf.exe的文件，该文件会启动一个加载器，其作用是下载Python解释器，并从 Pastebin平台获取早期版本的PLUGGYAPE Python恶意脚本。” 该恶意软件的后续版本功能更为完善。升级版的 PLUGGYAPE变种采用消息队列遥测传输协议进行通信，还加入了反分析检测机制，例如能够识别虚拟机环境。在部分攻击案例中，命令与控制服务器的相关信息会被隐藏，并从 Pastebin、rentry.co 等公共平台获取，且这些信息往往会经过编码处理，以规避安全检测。 自2025年12月起，攻击者开始部署经过混淆处理的 PLUGGYAPE.V2变种，该变种同样采用MQTT协议通信，具备反分析检测能力，其命令与控制服务器的相关信息会以编码形式藏匿于公共网站中。 PLUGGYAPE是一款基于Python 开发的恶意工具，通过WebSockets或MQTT与控制服务器建立连接，并采用JSON 格式传输数据。它会收集受感染设备的系统标识信息，通过 SHA-256算法生成唯一的设备编号，执行从控制服务器接收的恶意代码，同时还会将自身添加到系统的开机启动注册表项中，以此实现持久化驻留。 该报告的结论指出：“乌克兰计算机应急响应小组强调，网络威胁态势正处于持续演变之中。在网络攻击的初始阶段，攻击者愈发倾向于使用合法账户、乌克兰境内移动运营商的电话号码与目标对象建立联系，交流过程中会使用乌克兰语，并辅以音视频沟通手段，此外，攻击者还会展示出其对目标个人、相关机构及其运作模式的详尽了解。在移动设备和个人电脑上广泛使用的即时通讯工具，实际上已成为网络攻击工具最主要的传播渠道。” 今年5月，荷兰情报与安全总局及荷兰国防情报与安全局将一个先前未被发现的、代号为Laundry Bear（又名Void Blizzard）的俄罗斯关联组织与2024年的一起警方数据泄露事件联系起来。 2024年10月，荷兰司法部长向议员表示，荷兰警方将2024年9月的一起数据泄露事件归咎于国家行为体，该事件泄露了警员的联系方式。警方已向数据保护局报告了这起安全漏洞。威胁行为者侵入了一个警方系统，获取了多名警员的工作相关联系方式。攻击者能够访问警员的姓名、电子邮件、电话号码和一些私人信息。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国数据保护监管机构对一家法国电信巨头处以4800万美元罚款，因其网络安全漏洞导致大规模数据泄露， 2024年10月，一名黑客侵入了法国Free SAS及其姊妹公司Free Mobile的信息系统，获取了包括国际银行账号在内的2400万订阅者的个人数据。 Free SAS是一家主要电信服务提供商，Free Mobile是一家移动网络运营商。两者都是法国Iliad集团的子公司。 数据保护监管机构，即法国国家信息与自由委员会，在数据泄露事件发生后启动了调查，并发现其违反了欧洲的《通用数据保护条例》。 CNIL周三表示，对Free罚款2700万欧元（3100万美元），对Free SAS罚款1500万欧元（1700万美元）。 Iliad集团的一位发言人在一份声明中表示，公司将就这一决定向法国最高行政法院提出上诉。”该决定的严厉程度前所未有，与先前涉及网络攻击的案件相比，所施加的制裁完全不成比例，”声明称。”自2024年10月以来，我们已加强了安全架构，强化了访问控制，并实施了增强的实时监控。我们订阅者的数据受到符合最高安全标准的系统保护。” 根据CNIL的说法，罚款金额受到了被黑数据的敏感性、公司的高额利润以及其”对基本安全原则缺乏了解”的影响。 CNIL表示，公司缺乏足够的安全措施，包括为其VPN连接提供弱认证程序，以及没有有效的措施来检测其信息系统上的异常活动。 公司还违反了GDPR关于泄露通知的要求，没有向受影响客户提供足够的信息，以”直接理解数据泄露的后果，或了解他们可以采取哪些措施来保护自己”。 CNIL还指控，Free Mobile保留了前订阅者的数据，不必要地使其面临风险。 该机构表示，自调查开始以来，公司已采取措施改善其安全性，并被责令继续这样做。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大的教育及生活用品企业之一教元集团宣布，本周末在发现疑似勒索软件攻击后，已关闭其内部计算机网络的关键部分。 在该公司的一份声明中，教元集团表示周六早上发现了异常活动，随即启动了应急响应计划，隔离受影响的服务器以防止黑客入侵更多系统。 这家由韩国首富之一张平淳所有的企业集团表示，”已确认有迹象表明，由于勒索软件攻击，部分数据可能已外泄。受影响的数据是否包含客户信息，目前正在调查中。” 自系统关闭以来，其多家附属企业的网站（包括教育和旅游子公司）已无法访问，该公司称正在努力安全地恢复系统。 教元集团表示，在与其所谓的”专业安全人员”和相关政府机构合作调查”入侵原因、影响范围以及是否有数据受影响”的同时，已将网络下线以”稳定服务并优先保护客户”。 据《亚洲商业日报》报道，此次攻击背后的黑客已向教元集团发出勒索要求。据《朝鲜日报》报道，人们担心该公司的数据泄露可能影响数百万人，数据包括使用其教育服务的儿童的姓名和地址。 该公司表示，在发现问题后不久，已向韩国互联网振兴院及其他调查机构报告了此次安全漏洞。 该集团网站上的一条横幅声明写道：”如果进一步调查确认客户信息已泄露，我们将及时、透明地通知受影响的客户。” 此前，首尔近期发生了一起涉及该国最大在线零售商Coupang的数据泄露丑闻，据报道是由一名已逃往中国的前员工造成。 这是影响韩国公司的最新一起高调数据泄露事件，去年有SK电信的2700万客户和乐天信用卡的300万客户收到了相关事件通知。韩国官员已承诺加强该国的数据保护法，并对未能保护客户数据的公司实施更严厉的处罚。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰上诉法院判处一名44岁黑客7年监禁，罪名是通过入侵欧洲物流枢纽的港口系统，协助可卡因走私进入荷兰。上诉法院将刑期从10年减至7年，理由是该上诉审理过程拖延超过21个月。 检方称，该犯罪团伙通过此手法从鹿特丹港走私进口了210公斤可卡因。该黑客贿赂了一名安特卫普港工作人员，使其插入感染恶意软件的U盘，从而创建了一个后门，远程访问了集装箱、闸门和门禁控制系统。 阿姆斯特丹上诉法院裁定：”被告被判处七年监禁。他犯有协助计算机入侵罪。此举的目的是获取港口系统访问权限，以便在无人察觉的情况下进口毒品，从而为毒品贩运提供便利。被告还犯有协助向荷兰进口210公斤可卡因罪。此外，他犯有企图勒索罪。关于获取和使用SkyECC消息作为证据的辩护被驳回。支持受害方的索赔请求，并判令被告支付连带法律费用。” 根据法庭文件，被告说服了安特卫普一个集装箱码头的一名港口员工，将载有恶意软件的U盘插入工作电脑。该恶意软件创建了一个数字后门，使黑客能够远程访问用于管理集装箱、闸门和人员进出的内部港口系统。 这款恶意软件使该犯罪集团能够秘密远程监控集装箱、操纵闸门并发放准入凭证，该后门在系统中存留数月，期间持续尝试获取管理员权限。调查人员严重依赖从Sky ECC截获的消息，被告在这些消息中详细描述了他对港口系统的控制，并指导同伙进行黑客攻击。 调查人员发现恶意软件在港口系统中隐藏了数月，并反复尝试获取管理员权限。攻击者声称拥有完全控制权，包括准入通行证和闸门。 法院文件指出：”2020年9月18日，在系统AV150081C上安装了一个潜在后门。2020年9月19日至27日期间，攻击者使用了各种权限提升工具，试图控制[受影响方]环境中的一个管理员账户。攻击者使用多种漏洞利用工具进行了多次尝试，这表明他们可能未能成功提升权限。此外，没有证据表明攻击者能够接管具有管理员权限的账户。(…) 此外，有证据表明，2020年9月18日安装的后门至少在2021年4月24日之前一直处于活跃状态。(…) 在2020年9月21日至2020年10月19日期间，威胁行为者多次访问了AV150081C上的Solvo集装箱管理应用程序。” 该团伙窃取并共享了摄像头位置、员工照片和布局图等敏感数据。法官表示，此次黑客攻击旨在支持毒品贩运，严重危及港口安全。 法院认定该男子犯有伪造运输文件和Portbase记录以运送可卡因的罪行。法官还判定该男子犯有企图勒索罪，因其就丢失的可卡因威胁亲属，并以暴力相威胁索要120万欧元。 该被告目前仍被关押在荷兰西部，并已提起另一项上诉。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 比利时综合医院网络AZ Monica遭遇网络攻击，被迫关闭所有服务器，取消预定手术，并转移危重病人。AZ Monica在安特卫普和德尔讷设有两个院区，为当地居民提供急症、门诊及专科医疗服务。 医院在检测到网络攻击后，于今天清晨6点32分断开了系统连接。AZ Monica目前仍在提供紧急护理并治疗现有患者，但由于员工无法访问电子病历，已推迟了非紧急的门诊预约。 “今天早上，AZ Monica的IT系统遭受了严重干扰。作为预防措施，德尔讷和安特卫普两个院区的所有服务器均已主动关闭。”医院发布的一份新闻声明称。”受此情况影响，今日所有计划进行的手术均无法实施。我们已通知所有相关患者。急诊科目前运行能力有限。MUG和PIT服务暂时不可用。门诊照常进行。访客始终欢迎。” 该医疗机构已就此事件展开调查，并通知了警方和检察官办公室。在红十字会的协助下，AZ Monica安全转移了七名危重病人，其他所有患者则继续接受治疗。 “我们的急诊科目前以较低容量运行。救护车不会将患者转运至我院急诊科。因此，如果您需要紧急护理，请尽可能联系您的全科医生、非工作时间全科医生诊所或其他急诊服务机构。”一份网络事件更新公告写道。 AZ Monica未透露事件的具体细节。《布鲁塞尔时报》报道了有关勒索要求的未经证实说法，但当局和医院官员均未予以确认。 医院强调，患者安全和护理的连续性是当前的首要任务，正在密切监测情况，并将提供进一步的信息更新。 针对医院的网络攻击极其危险，因为它们可能扰乱关键的医疗服务，危及患者生命。医院依赖数字系统处理病历、检验和治疗，系统中断会延误紧急护理。这类攻击还可能暴露敏感的患者数据，并迫使医院分流病人，从而给整个医疗服务体系带来更大压力。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  黑客正兜售一批据称是与亚美尼亚政府相关的海量数据，埃里温官方已针对这起数据泄露事件启动调查。化名为dk0m的数据售卖者声称，自己侵入了一个用于发布官方文书的政府通知系统。该数据集在某地下论坛标价 2500 美元出售，据称包含约 800 万条与官方通知相关的记录，其中涵盖警方和司法机构的相关文书。 亚美尼亚政府旗下战略传播机构 ——亚美尼亚公共关系与信息中心于周六发布声明，否认该国政府邮件系统遭到入侵，但表示攻击者有可能获取了另一政府平台的数据。 该中心称：“初步核查显示，泄露文件源自电子民事诉讼平台。” 同时补充道，正在进行内部调查以确认数据来源及其访问方式。 非政府组织亚美尼亚网络安全中心的研究人员指出，dk0m 是地下网络犯罪论坛上一名臭名昭著的信息中间商，至少从 2024 年起就有售卖各国政府相关数据的前科。 该黑客通常依靠信息窃取恶意软件，这类工具可从受感染设备中窃取已保存的账户凭证和会话 Cookie，获取敏感政府门户网站的访问权限，随后将窃取的数据打包转售牟利。 研究人员还提到，dk0m 此前曾兜售过阿根廷、乌克兰、巴西等多国部委的相关数据，且为提升可信度，常常会对外分享数据样本或数据库结构。 该组织表示，2024 年 8 月的相关截图显示，这名黑客当时可能就已获取亚美尼亚政府相关数据，此次兜售行为很可能是为了将早前窃取的资料变现。 研究人员警示，若该数据集属实，亚美尼亚公民面临的网络风险将大幅上升。 亚美尼亚网络安全中心指出：“源自法院、执法部门或警方的官方样式数据，会大大降低社会工程学攻击的实施门槛。” “不法分子可利用真实的案件编号、罚款信息或执法文书，向公民发送极具迷惑性的诈骗信息，极易引发民众恐慌性回应或让其乖乖落入圈套。” 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为MuddyWater的伊朗黑客组织近日被指发动了一场针对中东地区外交、海事、金融及电信实体的鱼叉式钓鱼攻击，其使用的是一款基于Rust语言、代号为RustyWater的植入程序。 CloudSEK的研究员Prajwal Awasthi在本周发布的报告中表示：“此次攻击活动利用图标伪装和恶意Word文档，投放基于Rust语言开发的植入程序。该植入程序具备异步命令与控制（C2）通信、反分析、通过注册表实现持久化以及模块化扩展等能力。” 这一最新进展表明MuddyWater的攻击手法持续演变。该组织已逐步但稳步减少对合法远程访问软件作为入侵后工具的依赖，转而采用多样化的定制恶意软件库，包括Phoenix、UDPGangster、BugSleep和MuddyViper等工具。 该黑客组织被评估隶属于伊朗情报与安全部，其活动至少可追溯至2017年。 传播RustyWater的攻击链较为直接：伪装成网络安全指南的鱼叉式钓鱼邮件附带一个Microsoft Word文档。当受害者打开文档时，会收到“启用内容”的提示，一旦执行，便会激活一个负责部署Rust植入程序的恶意VBA宏。 RustyWater会收集受害者计算机信息、检测已安装的安全软件、通过Windows注册表项建立持久化，并与命令与控制（C2）服务器（”nomercys.it[.]com”）建立联系，以执行文件操作和命令。 值得注意的是，Seqrite Labs在上月底曾报告RUSTRIC被用于针对以色列的信息技术（IT）公司、管理服务提供商（MSP）、人力资源及软件开发公司的攻击活动中。这家网络安全公司将该活动追踪命名为UNG0801和Operation IconCat。 CloudSEK指出：“从历史手法看，MuddyWater一直依赖PowerShell和VBS加载程序进行初始入侵和后续操作。此次引入基于Rust语言的植入程序，标志着其工具链向更结构化、模块化和低噪声的远程访问木马能力显著演进。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文