HackerNews 编译，转载请注明出处： 昨日，美国对委内瑞拉发动 “大规模军事打击”，抓获委内瑞拉总统尼古拉斯・马杜罗及其夫人，目前二人已被押解至美国纽约，面临联邦指控。特朗普暗示，美国动用了网络攻击及其他技术手段切断了当地电力供应。 互联网监测机构NetBlocks在Mastodon上发文称：“已确认：监测数据显示，委内瑞拉加拉加斯部分地区的互联网连接中断，时间点与美国军事行动期间的停电情况吻合。此次行动对首都实施了打击，并将马杜罗总统拘捕带离委内瑞拉。” 据美国政治新闻网POLITICO报道：“唐纳德・特朗普总统表示，在对委内瑞拉首都加拉加斯发起军事打击、抓获委内瑞拉总统尼古拉斯・马杜罗的行动中，美方动用了网络攻击或其他技术手段切断了当地电力供应。”若该消息属实，这将是美国网络作战力量少有的一次公开实战应用。 特朗普在海湖庄园举行的新闻发布会上详述此次行动时称：“当时的加拉加斯一片漆黑，全城电力基本中断，这正是我们技术优势的体现。那是一个黑暗之夜，也是一场致命行动。” Tor的监测数据可以呈现，美军军事行动期间，委内瑞拉境内使用该匿名网络的用户数量是否出现显著变化。下图数据显示，该国 Tor 网络用户量出现急剧攀升。 委内瑞拉 Tor 用户数量的激增，是社会陷入严重政治与信息危机的典型信号。当民众意识到常规网络渠道已不再安全可靠时，便会转向具备匿名性、抗审查能力的工具，以此突破本土信息壁垒。 此次事件后，多重因素共同推动了这一趋势。 首先，有报道称社交媒体、即时通讯软件及独立新闻网站遭遇封锁、限流或选择性屏蔽，民众被迫使用 Tor 绕过网络过滤，获取境外媒体、非政府组织及流亡群体发布的信息。 其次，随着压制力度不断升级，活动人士、记者及普通民众愈发担忧自身网络浏览与通讯内容遭到监控。Tor 能够隐藏用户 IP 地址，并通过多节点中继传输网络数据，成为少数能保障用户安全组织活动、披露证据，甚至只是安全浏览新闻的工具。 最后，面对当局的网络管控，海外侨民网络与数字权利组织通常会迅速行动，推广 Tor 等工具并发布使用指南，一旦形成传播规模，用户数量便会出现爆发式增长。 图表呈现的趋势显示，前期使用量量平稳波动，后期突然跃升至此前基准线的数倍，与其他危机事件中的情况高度吻合，例如部分国家爆发大规模抗议活动或选举后动荡，当局随即实施网络管控时。这一变化并非临时性技术故障，而是民众网络行为的根本性转变：数万委内瑞拉人试图在常规网络渠道风险高企的当下，重新掌控自身的网络浏览、言论表达与信息分享权利。 值得一提的是，2025年12 月中旬，委内瑞拉国家石油公司PDVSA曾遭遇网络攻击，其石油出口业务一度受扰。该公司当时宣称，此次攻击仅波及部分行政系统，未对生产运营造成实质影响。 委内瑞拉国家石油公司强调，其安全防护机制有效避免了供应链及出口业务中断，并将此次网络攻击定性为一次蓄意挑衅，直指美方试图通过网络手段夺取委内瑞拉石油资源。该油气企业明确指控，美国政府是此次网络攻击的幕后黑手。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Transparent Tribe的威胁行为体近期发起了一系列新的攻击，针对印度政府、学术和战略实体部署远程访问木马，以获取对受感染主机的持久控制权。 网络安全公司CYFIRMA在一份技术报告中表示：“该攻击活动采用欺骗性投递技术，包括一个伪装成合法PDF文档的武器化Windows快捷方式文件，其中嵌入了完整的PDF内容以规避用户怀疑。” Transparent Tribe是一个已知对印度组织实施网络间谍活动的黑客组织。据评估，这个具有国家背景的对手源自巴基斯坦，至少自2013年以来一直活跃。 该威胁行为体拥有不断演进的RAT武器库以实现其目标。Transparent Tribe近年来使用的木马包括CapraRAT、Crimson RAT、ElizaRAT和DeskRAT。 最近的攻击始于一封鱼叉式钓鱼邮件，内含一个包含伪装成PDF的LNK文件的ZIP压缩包。打开该文件会触发使用”mshta.exe”执行远程HTML应用程序（HTA）脚本，该脚本会解密并将最终的RAT载荷直接加载到内存中。同时，HTA会下载并打开一个诱饵PDF文档，以免引起用户怀疑。 CYFIRMA指出：“建立解码逻辑后，HTA利用ActiveX对象与Windows环境交互。这种行为展示了环境分析和运行时操纵，确保了与目标系统的兼容性，并提高了执行可靠性——这些是滥用’mshta.exe’的恶意软件中常见的技术。” 该恶意软件的一个显著特点是能够根据受感染机器上安装的防病毒软件调整其持久化方法： 如果检测到卡巴斯基（Kapsersky），它会在”C:\Users\Public\core”下创建工作目录，将经过混淆的HTA有效载荷写入磁盘，并通过在Windows启动文件夹中投放一个LNK文件来建立持久性，该LNK文件进而使用”mshta.exe”启动HTA脚本。 如果检测到Quick Heal，它通过创建批处理文件和恶意LNK文件在Windows启动文件夹中建立持久性，将HTA有效载荷写入磁盘，然后使用批处理脚本调用它。 如果检测到Avast、AVG或Avira，它通过直接将有效载荷复制到启动目录并执行来工作。 如果未检测到可识别的防病毒解决方案，则回退到结合使用批处理文件执行、基于注册表的持久化以及载荷部署，然后再启动批处理脚本。 第二个HTA文件包含一个名为”iinneldc.dll”的DLL，该DLL充当功能齐全的RAT，支持远程系统控制、文件管理、数据窃取、屏幕截图捕获、剪贴板操纵和进程控制。 该网络安全公司表示：“Transparent Tribe仍然是一个高度持久且战略驱动的网络间谍威胁，持续专注于针对印度政府实体、教育机构和其他具有战略意义的部门进行情报收集。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 12 月 26 日，罗马尼亚最大燃煤电力生产商 —— 奥尔特尼亚能源综合体遭受勒索软件攻击，其信息技术系统陷入瘫痪。 奥尔特尼亚能源综合体（简称奥能综合体）是罗马尼亚主要的国有褐煤开采及燃煤发电企业，在罗维纳里、图尔切尼、克拉约瓦三地运营着 12 座发电机组，总装机容量达 3570 兆瓦；同时下辖 15 座露天矿，年褐煤产量约 1500 万至 1800 万吨。该企业现有员工约 1 万人（较此前的 1.5 万人有所缩减），服务于数十万至数百万量级的电力批发及零售客户；2017 年营收约为 9.4 亿欧元，在业务重组后实现了近期盈利。面对欧盟绿色转型政策要求，该企业正投入 14 亿欧元发展光伏发电与天然气发电项目，以保障基础电力供应安全。 2025 年 12 月 26 日，该企业检测到 Gentlemen勒索软件攻击，此次攻击导致大量文件被加密，企业资源规划系统（ERP）、电子邮箱及官方网站等核心信息技术系统均受干扰。尽管公司部分业务运转受到波及，但这家罗马尼亚能源供应商强调，全国能源供应未受影响。奥尔特尼亚能源综合体已对受影响系统进行隔离，并向罗马尼亚国家网络安全局、能源部等相关部门通报情况。 信息技术团队已着手在新的基础设施上，通过备份数据恢复各项服务，而此次事件的影响范围以及是否存在数据泄露问题，目前仍在调查之中。 该企业发布的声明称：“2025 年 12 月 26 日凌晨 1 时 40 分左右，我方检测到一起名为 Gentlemen勒索软件网络攻击，此次攻击对奥尔特尼亚能源综合体的业务信息技术基础设施造成影响。” 声明还指出：“攻击发生后，部分文档和文件被加密，多个计算机应用程序暂时无法使用，其中包括企业资源规划系统、文件管理应用、电子邮件服务及公司官网。公司业务运营受到部分影响，但未对国家能源系统的稳定运行构成威胁。” 目前，该企业正就此次事件展开调查，以确定安全漏洞的波及范围和具体严重程度。尚无法确认攻击者是否从奥尔特尼亚能源综合体窃取了数据。 此外，该企业已向罗马尼亚有组织犯罪与恐怖主义调查局提起刑事诉讼。 截至本文发稿时， Gentlemen勒索软件团伙尚未将这家罗马尼亚能源企业列入其洋葱网络数据泄露网站，这一情况或表明双方正处于赎金谈判阶段。 近期，罗马尼亚国家水利管理局同样遭遇了勒索软件攻击。 据罗马尼亚国家网络安全局通报，此次攻击影响了该局总部及 11 个地区分局中的 10 个分局，波及约 1000 台计算机系统。地理信息系统服务器、数据库、电子邮件、网络服务、Windows 工作站以及域名服务器等多项信息技术资产均受干扰。 有关部门强调，负责水利基础设施管控的运营技术系统未受攻击影响，水利业务运转一切正常。 参与事件调查的政府专家证实，攻击者使用Windows BitLocker 加密功能对系统实施加密，并发布勒索通知，要求受害者在 7 日内与其取得联系。不过，目前此次攻击的传播途径尚未查明。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Seqrite Labs的安全研究人员发现了一场代号为Operation IconCat的网络攻击活动，攻击者利用伪装成合法安全工具的恶意文档，专门针对以色列各类机构发起攻击。 该攻击活动始于 2025 年 11 月，已致使以色列信息技术、人力资源服务及软件开发等多个行业的多家企业遭受入侵。 此次攻击的核心手段是心理诱导：攻击者伪造酷似 Check Point、SentinelOne 等知名杀毒软件厂商的文档，用户打开这些伪装文件后，会在不知情的情况下下载隐藏在熟悉品牌名称背后的恶意程序。这一案例充分体现了社会工程学与复杂技术手段相结合，足以绕过传统安全防护体系。 两大攻击链路 图标猫行动包含两条独立的攻击链路，二者战术相似，但投放的恶意软件变种不同。第一条链路以 PDF 文档为传播载体，第二条则借助隐藏了程序代码的 Word 文档发起攻击。赛格瑞特的分析师通过分析 2025 年 11 月 16-17 日来自以色列的可疑文件上传记录，成功识别出这些恶意软件。 链路一：PDF 文档传播 PYTRIC 恶意软件 第一轮攻击中，攻击者使用名为help.pdf的文件，伪装成 Check Point 安全扫描器说明书。文档诱导用户从 Dropbox 下载一款名为 “安全扫描器” 的工具，该文件的解压密码为 “cloudstar”。文档中还附有看似真实的截图和详细的安全扫描操作指南。 这份 PDF 文件是传播 PYTRIC 恶意软件的入口，该恶意软件基于 Python 开发，通过 PyInstaller 打包生成可执行程序。 PYTRIC 具备远超普通恶意软件的危害能力。分析显示，它可扫描整个系统文件、检查管理员权限，并能执行删除系统数据、清除备份文件等破坏性操作。该恶意软件通过名为 “Backup2040” 的 Telegram 机器人进行通信，使攻击者能够远程控制受感染的设备，其目的不仅是窃取信息，更在于彻底销毁数据。 链路二：Word 文档传播 RUSTRIC 植入程序 第二条攻击链路流程类似，但使用了名为 RUSTRIC 的 Rust 语言植入程序。攻击者通过仿冒的以色列人力资源公司 L.M. 集团的邮箱（伪造域名 l-m.co.il）发送钓鱼邮件，邮件附件是一个被篡改的 Word 文档，文档中的隐藏宏会提取并执行最终的恶意载荷。 RUSTRIC 拥有先进的侦察能力，可检测 28 款主流杀毒软件的存在，包括 Quick Heal、CrowdStrike 和卡巴斯基等。该程序通过 Windows 管理规范（WMI）执行后，会运行系统命令识别受感染计算机，并与攻击者控制的服务器建立连接。 安全团队应将此类攻击活动列为最高优先级威胁，需立即开展调查并采取补救措施。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对中东和北非地区多国的协同性虚假网络招聘广告骗局被揭露，诈骗分子借该地区远程办公模式的持续普及伺机作恶。 这类骗局依托制作精良的社交媒体广告，以 “轻松完成简单线上任务即可赚取收入” 为诱饵，背后实则暗藏窃取钱财与个人信息的有组织诈骗活动。 国际网络安全公司 Group-IB 于今日发布调查报告，详细披露了这一诈骗活动。报告指出，诈骗分子正是利用了新冠疫情后远程办公普及所引发的用工行为转变，伺机实施诈骗。 研究中引用的一份 Rcademy 报告显示，中东地区超 60% 的劳动者如今更倾向于全职远程工作，这一趋势为诈骗行为提供了可乘之机。 此类诈骗并非零散作案，而是规模化运作。Group-IB 的研究人员发现，2025 年全年共出现 1500 余条诈骗招聘广告，其中埃及、海湾地区国家、阿尔及利亚、突尼斯、摩洛哥、伊拉克和约旦成为主要目标区域。 每一轮诈骗攻势都经过精心的本地化适配：诈骗分子使用地区方言、本地货币单位，并植入受众熟悉的品牌元素，以此提高广告可信度，增强用户参与度。 骗局运作流程 虚假招聘广告通常出现在脸书、照片墙和抖音等社交平台，且往往冒用知名电商平台、银行或政府机构的名义发布。一旦有用户作出回应，诈骗分子会迅速将沟通转移至 WhatsApp 或 Telegram 等私人即时通讯软件，并在这些平台上实施核心诈骗行为。 诈骗分子会以 “入职审核” 为借口，要求受害者提供个人信息及财务信息。在许多案例中，他们还会要求受害者缴纳押金，声称缴纳后可获取报酬更高的 “任务”。初期，诈骗分子会返还小额返利以骗取受害者信任，随后便会彻底失联。 研究显示，这些诈骗活动由有组织犯罪团伙操控。团伙在多个国家重复使用相同的诈骗脚本、品牌伪装模板、虚假网站以及 Telegram 群组架构。 这种高度协同的作案模式不仅让骗局得以快速规模化扩散，相比传统的单次诈骗行为，其追踪难度也大幅提升。 对用户及平台造成的影响 诈骗分子利用用户对知名机构的信任，以及社交媒体广告的低成本特性实施诈骗。广告宣称 “仅需几分钟完成任务，日薪可达 10 至 170 美元”，所承诺的收入水平普遍高于当地平均薪资，以此诱骗经济状况较为脆弱的群体入局。 Group-IB 警示称：“总体而言，这类骗局绝非零散广告的简单堆砌，而是一场协同运作、分步骤实施的犯罪活动，拥有统一的基础设施、重复使用的钓鱼手段以及固定的作案模式。” “防御方可通过整合广告关键词、平台传播路径、品牌冒用特征、网站识别指标及诈骗分子身份信息等多维度数据，更高效地在多国范围内追踪、拦截并瓦解此类诈骗活动。” 为防范此类威胁，该公司建议用户提高警惕，同时呼吁平台方加强安全防护措施。 个人层面，应避免向未经验证的招聘方泄露个人及财务信息；对不切实际的高薪承诺保持质疑；通过官方网站或可信招聘平台核实招聘方资质；发现可疑广告及时举报。 企业及社交平台层面，则需加强招聘类广告的审核力度，密切监测品牌或政府部门名义被冒用的情况，并开展多语言反诈宣传活动，提醒高危用户群体提高防范意识。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纽约网络安全公司Intezer的研究人员在10月初发现了这一活动，他们识别出一个上传至VirusTotal的恶意XLL文件，文件上传地址最早显示为乌克兰，后又出现在俄罗斯。该文件名为《敌军计划打击目标》，一旦在 Excel 软件中打开，便会自动执行恶意代码。 文件运行后，会下载一款此前未被记录在案的后门程序，研究人员将其命名为EchoGather。这款后门程序允许攻击者收集目标设备的系统信息、执行相关指令并传输文件，窃取的数据会被发送至一台伪装成外卖网站的命令与控制服务器。 事件披露 Intezer在上周五发布的一份报告中指出，为诱使受害者上钩，Goffee组织的黑客使用俄语编写钓鱼诱饵，其中包含一份面向俄军高级军官的虚假新年音乐会邀请函。不过这份文档存在明显的人工智能生成痕迹，不仅有多处语言错误，文档上仿制的俄罗斯双头鹰国徽也严重失真，看上去更像一只普通鸟类，完全没有国徽的辨识度。 另一款钓鱼诱饵则伪装成俄罗斯工业和贸易部副部长的信函，要求收件方提供与国防合同相关的定价证明文件。该信函的接收对象为大型国防及高科技企业，Intezer表示，这些企业很可能就是黑客的预定攻击目标。 目前尚不清楚此次攻击行动的成功率究竟如何，也无法确定黑客的具体窃取目标。 研究人员表示：“该威胁攻击者显然在积极探索新的反侦测手段。不过其攻击手段在技术执行和语言准确性两方面仍存在明显缺陷，表明他们的攻击技术尚处于发展阶段。” Goffee黑客组织 Goffee组织又名Paper Werewolf，至少从2022年起就处于活跃状态。尽管其确切背景尚未得到证实，但研究人员认为该组织具有亲乌克兰倾向。此前关于该组织的相关报告大多出自俄罗斯本土的网络安全企业。 今年4月，卡巴斯基实验室曾发布报告称，Goffee组织利用定制恶意软件，从接入俄罗斯相关系统的U盘里窃取敏感文件。8月，俄罗斯网络安全公司BI.ZONE披露，该组织在针对俄罗斯机构的攻击中，同时利用了一个零日漏洞和压缩软件WinRAR的一个已知漏洞。 虽然情报窃取仍是该组织的首要目标，但BI.ZONE此前也曾指出，该组织至少有过一次在已入侵的网络中实施运营中断攻击的记录。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国国家邮政局（La Poste）证实，圣诞前夕发生的疑似网络攻击导致其网站和移动应用陷入瘫痪，配送服务放缓，部分在线业务中断。 该局在周一发布的声明中表示，此次事件为DDoS攻击，导致核心数字系统下线。声明指出，目前无证据表明用户数据遭到泄露，但承认邮政业务（包括包裹配送）已受到影响。 攻击影响还波及旗下金融机构法国邮政银行（La Banque Postale），该行提醒用户，网上银行及移动应用的访问功能受到影响。不过银行强调，门店 POS 机刷卡支付、ATM 取款业务正常运行，通过短信验证的在线支付也可正常使用。 法国邮政局称，部分邮局已缩减运营规模，但用户仍可在柜台办理银行业务和邮政业务。“我们的团队已全员动员，力求尽快恢复各项服务，” 该局在声明中表示。 此次服务中断正值邮政业务高峰期。有用户在社交媒体抱怨，配送延迟可能导致他们无法在圣诞前收到包裹；法国媒体报道称，部分试图寄送或领取包裹的民众被邮局拒之门外。 值得注意的是，上周法国内政部刚披露一起数据泄露事件，攻击者非法入侵了电子邮件账户并获取机密文件，法国当局随后逮捕了一名 22 岁的涉案嫌疑人。 目前尚不明确法国邮政局遇袭的幕后黑手，该局也未将攻击归咎于任何特定组织。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 主流媒体音乐平台 Spotify 于周一作出回应，针对某开源组织周末公开的、包含从其平台爬取的 8600 万首歌曲的文件采取行动。 自称 “人类历史上最大的真正开放图书馆” 的 “安娜档案库”（Anna’s Archive）周六表示，该组织发现了一种大规模爬取 Spotify 文件的方法，并随后发布了包含音乐元数据和歌曲本身的数据库。 Spotify 的一位发言人向Recorded Future 透露：“我们已识别并禁用了参与非法爬取的恶意用户账户。” 该发言人强调：“我们已针对此类反版权攻击实施了新的防护措施，并正在积极监控可疑行为。自成立以来，我们始终与艺术家群体站在一起，打击盗版行为，同时正与行业合作伙伴密切合作，保护创作者及其合法权益。” 发言人补充称，安娜档案库在发布文件前未与 Spotify 取得任何联系，且此次事件并不属于对 Spotify 的 “黑客攻击”。泄露数据库的相关人员在数月内，通过第三方注册的用户账户对平台部分音乐进行流媒体抓取，系统性违反了 Spotify 的服务条款 —— 而非通过入侵平台商业系统实现。 安娜档案库周末发布博客文章介绍了该音乐缓存库，文中提到，尽管其核心工作通常聚焦于文本类资源，但该组织 “保护人类知识与文化遗产” 的使命 “并不区分媒介类型”。 “有时我们会遇到文本之外的重要机会，此次便是如此。不久前，我们发现了一种大规模爬取 Spotify 的方法。我们认为自身有责任搭建一个以保存为主要目的的音乐档案库。” 文章写道。 “这次对 Spotify 的爬取，是我们为建立这样一个音乐‘保存档案库’所做的微薄尝试。当然，Spotify 并未收录世界上所有的音乐，但这无疑是一个良好的开端。” 此次完整发布的资源包含一个涵盖 2.56 亿首歌曲的音乐元数据库，此外安娜档案库还整合了一个近 300 太字节（TB）的批量文件，内含 8600 万首音乐文件，占 Spotify 平台总播放量的约 99.6%。另有一个较小的文件专门收录了平台最受欢迎的 1 万首歌曲。 这些文件覆盖了 2007 年至 2025 年 7 月期间 Spotify 平台上发布的所有音乐。安娜档案库称其为 “目前公开可获取的规模最大的音乐元数据库”。 该组织表示：“在大家的支持下，人类的音乐遗产将永远免受自然灾害、战争、预算削减及其他灾难的破坏。” 博客文章还披露了从 Spotify 数据中发现的显著趋势：平台播放量前三的歌曲 —— 比莉・艾利什（Billie Eilish）的《Birds of a Feather》、Lady Gaga 的《Die with a Smile》以及巴德・bunny（Bad Bunny）的《DtMF》—— 其总播放量之和，超过了末尾 2000 万至 1 亿首歌曲的播放量总和。 安娜档案库因多次侵犯版权已在多个国家被封禁，该组织成立于 2022 年执法部门关闭 “Z 图书馆”（Z-Library）之后。2022 年，美国司法部逮捕并起诉了两名运营 Z-Library 的俄罗斯公民，当时该平台号称 “世界上最大的图书馆”，声称拥有至少 1100 万册电子书可供下载。 Z-Library 被关闭数天后，安娜档案库应运而生，整合了该网站以及互联网档案馆（Internet Archive）、 genesis 图书馆（Library Genesis）、科学枢纽（Sci-Hub）等多个免费在线图书馆的资源记录。 截至 12 月，安娜档案库已收录超过 6100 万册图书和 9500 万篇论文。多个国家的版权方曾试图起诉该组织，谷歌则于 11 月表示，在出版商提出下架请求后，已从其搜索引擎中移除了近 8 亿条指向安娜档案库的链接。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 罗马尼亚国家水务管理机构于周日宣布遭受勒索软件攻击，导致约1000台计算机系统无法使用。 此次攻击影响了从工作站到服务器的各类设备，但国家网络安全局表示，包括大坝和防洪设施在内的水利技术基础设施等运营技术系统未受影响。 水务机构的基础设施仍在正常运行，但由于网络攻击影响了电子邮件服务器，员工被迫使用电话和无线电进行通信。 与传统勒索软件攻击从外部网络引入加密软件不同，罗马尼亚当局的初步技术评估显示，此次攻击者使用了合法的Windows工具BitLocker试图勒索该机构。 使用所谓的”LOLBins”——如现有的Windows工具——有助于攻击者在遍历和操控受害者网络时规避安全控制。 卡巴斯基实验室去年发布的研究指出，墨西哥、印度尼西亚和约旦的受害者——包括钢铁和疫苗制造公司以及政府实体——遭遇了一波此类勒索软件攻击。 去年，网络安全公司Bitdefender表示，ShrinkLocker恶意软件——一种将合法BitLocker工具用于攻击系统用户的脚本——正被”多个独立的威胁行为体用于针对老旧Windows系统的简单攻击”。 根据罗马尼亚网络安全机构的说法，攻击者已发出勒索信息，要求其在七天内取得联系。该机构强调，其自身的”政策和严格建议”是受害者不与网络勒索者进行接触或谈判。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁猎手发现了一个被称为Infy的伊朗威胁行为者（又名Prince of Persia）的新活动，这距离该黑客组织被观察到针对瑞典、荷兰和土耳其的受害者已近五年。 “Prince of Persia的活动规模比我们最初预期的更为重大，”SafeBreach的安全研究副总裁托默·巴尔在与The Hacker News分享的技术分析中表示。”这个威胁组织仍然活跃、相关且危险。” 根据Palo Alto Networks Unit 42在2016年5月发布的一份报告，Infy是现存最古老的APT组织之一，其早期活动证据可追溯到2004年12月。该报告由巴尔与研究员西蒙·科南特共同撰写。 该组织也一直保持隐蔽，不像Charming Kitten、MuddyWater和OilRig等其他伊朗组织那样受到较多关注。该组织发起的攻击主要利用了两种恶意软件：一种名为Foudre的下载器和受害者剖析器，用于投递被称为Tonnerre的第二阶段植入程序，以从高价值机器中窃取数据。据评估，Foudre是通过钓鱼邮件传播的。 SafeBreach的最新发现揭露了一场针对伊朗、伊拉克、土耳其、印度、加拿大以及欧洲受害者的隐蔽活动，活动中使用了更新版本的Foudre和Tonnerre。Tonnerre的最新版本于2025年9月被检测到。 攻击链也发生了变化，从使用包含宏的Microsoft Excel文件，转向在此类文档中嵌入可执行文件来安装Foudre。或许该威胁行为者最引人注目的手法是使用域名生成算法，以使其命令与控制基础设施更具韧性。 此外，已知Foudre和Tonnerre的组件会通过下载一个RSA签名文件来验证C2域名是否真实，恶意软件随后使用公钥解密该文件，并与本地存储的验证文件进行比较。 SafeBreach对C2基础设施的分析还发现了一个用于C2验证的名为”key”的目录，以及其他用于存储通信日志和窃取文件的文件夹。 “每天，Foudre都会下载一个由威胁行为者用RSA私钥加密的专用签名文件，然后使用内嵌公钥进行RSA验证，以确认该域名是经批准的域名，”巴尔说道。”请求格式为：’https://<域名>/key/<域名><yy><年份中的第几天>.sig’。” C2服务器中还存在一个”download”目录，其当前用途未知，推测可能用于下载并升级到新版本。 另一方面，Tonnerre的最新版本包含一个通过C2服务器联系Telegram群组的机制。该群组有两名成员：一个很可能用于发出命令和收集数据的Telegram机器人”@ttestro1bot”，以及一个用户名为”@ehsan8999100″的用户。 虽然使用即时通讯应用进行C2通信并不罕见，但值得注意的是，关于Telegram群组的信息存储在C2服务器中名为”t”的目录内一个名为”tga.adr”的文件中。需要指出的是，”tga.adr”文件的下载只能为特定的受害者GUID列表触发。 这家网络安全公司还发现了2017年至2020年间在Foudre活动中使用的其他较旧变种： 伪装成Amaq新闻查找器以下载和执行恶意软件的Foudre版本 一种名为MaxPinner的木马新版本，由Foudre第24版DLL下载，用于窥探Telegram内容 一种名为Deep Freeze的恶意软件变体，类似于Amaq新闻查找器，用于感染受害者并投递Foudre 一种名为Rugissement的未知恶意软件 “尽管看似在2022年销声匿迹，但Prince of Persia威胁行为者却恰恰相反，”SafeBreach表示。”我们针对这个多产且隐蔽的组织的持续研究活动，突显了关于他们过去三年活动、C2服务器以及已识别恶意软件变种的关键细节。” 此次披露正值DomainTools对Charming Kitten泄露信息的持续分析描绘出该黑客组织的形象：其运作更像是一个政府部门，同时以”文书般的精准度开展间谍行动”。该威胁行为者还被揭露是Moses Staff身份的幕后操纵者。 “运行德黑兰长期凭证钓鱼行动的同一台行政机器APT 35，也负责运行支持Moses Staff勒索软件活动的后勤工作，”该公司表示。 “所谓的黑客活动分子和政府网络部门不仅共享工具和目标，还使用同一个应付账款系统。宣传部门和间谍部门是单一工作流程的两个产物：同一内部工单制度下的不同’项目’。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文