HackerNews 编译，转载请注明出处： 美国司法部本周宣布，在一起涉及数百万美元的ATM“吐钞”计划中，对54名个人提起指控。 这项大规模合谋涉及部署名为Ploutus的恶意软件入侵美国各地的自动取款机，并强制其吐出现金。据称，被指控的成员是委内瑞拉帮派Tren de Aragua的一部分，该帮派已被美国国务院指定为外国恐怖组织。 2025年7月，美国政府宣布对该组织头目赫克托·拉斯特福德·格雷罗·弗洛雷斯及其他五名关键成员实施制裁，原因是他们参与了“非法毒品贸易、人口走私和贩卖、勒索、对妇女和儿童的性剥削以及洗钱等犯罪活动”。 美国司法部表示，2025年12月9日提交的一份起诉书指控22人涉嫌犯有银行诈骗、入室盗窃和洗钱罪。检察官还称，TdA利用“吐钞”计划在美国吸走数百万美元，并在其成员及同伙之间转移非法所得。 另外32人则在2025年10月21日提交的另一份相关起诉书中被指控，罪名包括“一项合谋实施银行诈骗罪、一项合谋实施银行入室盗窃和计算机诈骗罪、18项银行诈骗罪、18项银行入室盗窃罪以及18项破坏计算机罪”。 如果罪名成立，被告可能面临最高20年至335年不等的监禁。 “这些被告采用有条不紊的监视和入室盗窃技术将恶意软件安装到ATM机中，然后从机器中窃取并清洗资金，部分目的是为指定的外国恐怖组织TDA的恐怖活动及其他影响广泛的犯罪活动提供资金，”司法部刑事司代理助理检察长马修·R·加莱奥蒂表示。 据称，该“吐钞”行动依赖TdA在全国范围内招募数量不详的人员来部署恶意软件。这些人会先进行初步侦察，评估各ATM机的外部安全措施，然后尝试打开ATM机的外盖，以检查是否触发了警报或执法部门的反应。 完成此步骤后，威胁行为者会安装Ploutus恶意软件，方法要么是更换已预装恶意程序的硬盘，要么是连接可移动U盘。该恶意软件能够发出与ATM机现金取款模块相关的未经授权命令，从而强制提取现金。 “Ploutus恶意软件还被设计用来删除恶意软件的证据，以试图隐藏、制造假象、误导或以其他方式欺骗银行和信用合作社的员工，使其无法得知ATM机上已部署恶意软件，”司法部表示。“然后，合谋成员会按预定比例分赃。” Ploutus于2013年在墨西哥首次被发现。赛门铁克在2014年的一份报告中详细介绍了如何利用基于Windows XP的ATM机的弱点，使网络犯罪分子仅通过向被入侵的ATM机发送短信即可提取现金。FireEye在2017年的一项后续分析中，详细说明了其控制Diebold品牌ATM机以及在各种Windows版本上运行的能力。 “一旦部署到ATM机上，Ploutus-D能使‘钱骡’在几分钟内获取数千美元，”当时解释道。“‘钱骡’必须拥有打开ATM机顶部（或能够撬开）的主钥匙、连接机器的物理键盘以及一个激活码（由负责行动的‘老板’提供），才能让ATM机吐出现金。” 据该机构称，自2021年以来，美国共记录了1529起“吐钞”事件，截至2025年8月，该国际犯罪网络已造成约4073万美元损失。 “这一合谋导致全美ATM机被掏空了数百万美元，据称这些钱流向了Tren de Aragua的头目，用于资助他们的恐怖活动和目的，”美国检察官莱斯利·伍兹表示。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件详情 丹麦国防情报局在一份新闻稿中指出：“经评估，2024 年对丹麦某自来水厂发动破坏性网络攻击的亲俄组织 Z-Pentest与俄罗斯政府存在关联；2025年丹麦市镇及地区议会选举前夕，对丹麦境内网站发起DDoS攻击的无名者NoName057(16)组织，同样与俄方存在关联。俄罗斯政府将这两个组织作为针对西方混合战争的抓手，意在通过攻击制造目标国的社会不安，并报复这些国家对乌克兰的支持。” 混合战争是一种国家结合军事和非军事手段来削弱或破坏对手，而不宣战的策略。它通常混合了以下元素： 网络行动（黑客攻击、蓄意破坏、数据泄露） 虚假信息与舆论宣传 经济施压（规避制裁、能源牵制） 政治干预（操纵选举、影响力渗透） 利用代理人（黑客激进分子、雇佣兵、犯罪集团） 有限度或可否认的军事行动 混合战争的目的是制造局势不确定性、扰乱社会秩序、削弱公众对政府机构的信任、迫使对手付出代价，同时保持行动的 “合理推诿空间”，避免引发常规武装冲突。 丹麦情报部门指出，俄方借选举之机发动攻击以博取公众关注，这一伎俩在欧洲多国均有出现。自2022年俄罗斯对乌克兰发起特别军事行动以来，丹麦始终通过制裁、军事援助、人员培训及财政支持等方式为乌克兰提供援助。 丹麦国防大臣谴责上述网络攻击行为，称其“完全不可接受”。他特别提及2024年12月发生在丹麦克厄市的一起事件——黑客篡改了当地水务设施的水泵压力参数，最终导致管道爆裂。 伦德・鲍尔森表示：“这是一个明确的信号——我们一直警惕的混合战，如今已真实发生在我们身边。这一事件再次让人们聚焦欧洲当前所处的严峻局势。俄罗斯方面在丹麦境内实施混合攻击，是绝对不可接受的行径。” 丹麦官员表示，近期发生的多起网络攻击及无人机侵扰事件虽未造成大规模破坏，但暴露了本国在安全防护方面的重大漏洞。他们坦言，丹麦目前尚未做好充分准备，应对来自俄罗斯的混合攻击。 今年3月，受欧洲地区网络威胁升温影响，丹麦已将本国电信行业的网络间谍威胁等级从中等上调至高级。 丹麦社会保障局发布了一份针对电信行业的全新网络威胁评估报告，重点强调了欧洲电信企业面临的风险隐患。 国家级黑客组织常将电信运营商作为网络间谍活动的目标，通过入侵其系统获取用户数据、监控通信内容，并可能以此为跳板发动后续网络或实体攻击。 该评估报告指出，在针对海外电信行业的网络攻击中，国家级黑客已展现出对电信基础设施及通信协议的深厚技术掌握能力。 丹麦关键基础设施计算机安全事件应急响应小组（SektorCERT）曾通报，2023年5月，丹麦遭遇了该国历史上规模最大的关键基础设施网络攻击事件。 首轮攻击于当年5月11日发起，短暂停歇后，第二轮攻击在5月22日接踵而至，该应急响应小组也是在这一天监测到攻击活动。 据该机构披露，共有22家能源基础设施企业的网络系统遭到威胁行为体入侵，其中11家企业的系统被直接攻破。攻击者利用了丹麦众多关键基础设施运营商使用的Zyxel防火墙中的零日漏洞实施攻击。 专家分析认为，此次攻击由多个威胁行为体协同发起，其中至少有一个团伙与俄罗斯关联组织Sandworm存在渊源。 国际态势 近期，美国网络安全与基础设施安全局及多国合作伙伴发出预警：亲俄黑客激进组织正对全球范围内的关键基础设施展开积极攻击。 诸如CARR、Z-Pentest及NoName057(16)等亲俄黑客激进组织，常利用安全防护薄弱的虚拟网络控制台连接，入侵关键基础设施中的运营技术设备，造成不同程度的破坏，部分攻击甚至引发实体损伤。这些组织的攻击目标主要集中在水务、食品、农业及能源领域，其攻击手段的技术复杂度和攻击造成的影响，均低于高级持续性威胁组织。 FBI、CISA、NSA及多国合作机构联合发布的一份预警报告指出：“此次网络安全预警是对2025年5月6日CISA联合情况说明书《降低运营技术网络威胁的主要缓解措施》，以及欧洲刑警组织网络犯罪中心‘东木行动’内容的补充。在上述两份文件中，CISA、FBI、美国能源部、美国环境保护署与欧洲刑警组织网络犯罪中心，曾联合披露针对全球及美国关键基础设施运营技术和工业控制系统的网络攻击事件相关信息。” CARR曾对美国水务系统及洛杉矶一家肉类加工厂发动攻击，造成泄漏、外溢等实体损害。有证据显示，这些攻击活动由俄罗斯联邦武装力量总参谋部情报总局授意资助，攻击目标直指关键基础设施与选举场所。一名化名为Cyber_1ce_Killer的俄罗斯总参谋部情报总局关联人员，不仅直接指挥CARR的攻击目标选择、出资雇佣DDoS服务，其本身也是该组织的核心成员。 美国国务院已悬赏征集相关线索：提供CARR组织成员信息者，最高可获200万美元赏金；提供NoName057(16)组织关联人员线索者，赏金上限高达1000万美元。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国技术公司DXS International披露了一起影响其内部系统的网络安全事件。该公司的软件在英国国家医疗服务体系（NHS）中广泛使用。 该公司在向伦敦证券交易所发布的通知中称，于12月14日发现其办公服务器遭到未经授权的访问。DXS表示已控制住此次入侵，其临床服务始终未受影响且保持正常运行。 目前尚无NHS患者数据是否泄露的确认信息，但该公司表示已通知英国数据保护监管机构信息专员办公室（ICO）。对于患者数据是否受影响的问题，NHS英格兰的一位发言人未立即回应置评请求。 DXS表示调查仍在进行中，正与NHS网络安全团队及外部专家合作，”他们正在进行彻底调查，以确定事件的性质和范围”。公司补充称，目前认为此事不会对其财务状况造成重大不利影响。 该公司为全英格兰的全科医生诊所和初级保健网络提供临床决策支持和转诊管理工具。其产品与NHS核心系统集成。据公司自身声明，其支持了英格兰约10%的NHS转诊，软件涉及数百万注册患者的工作流程。DXS并非核心电子健康记录提供商，也不存储中心医疗记录，但患者数据会由其用于向医疗保健提供者提供临床指导的部分系统进行处理。 并非孤立事件 此次事件发生之际，人们对英国卫生技术供应商遭受攻击的担忧日益加剧。此类事件凸显了即使第三方系统不托管核心记录，其遭受攻击也可能对运营产生影响。 去年，病理学供应商Synnovis遭受勒索软件攻击后，据信至少有一名患者死亡，数千例手术和预约被取消。2022年，软件供应商Advanced遭受的另一起勒索软件攻击导致用于分诊非紧急但急需医疗电话的NHS 111关键服务暂时关闭。在那次事件中，由于IT系统受影响，医生、护士和其他工作人员被迫使用纸笔完成工作，引发了英国政府的COBR危机管理会议，官员们担心攻击可能对患者护理造成影响。Advanced随后因安全漏洞被ICO罚款300万英镑。 英国现行的网络安全法规并未自动将DXS等第三方卫生IT供应商纳入要求其满足特定安全标准的条款。政府上个月向议会提交了具有里程碑意义的《网络安全与韧性法案》，威胁对未能保护自身免受网络攻击的公司处以高额罚款。根据该法案，为包括医疗保健在内的关键领域提供IT管理服务的公司可能会被纳入监管范围。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜相关联的黑客组织，已成为 2025 年全球加密货币盗窃激增的主要推手。在 1 月至 12 月初全球被盗的 34 亿多美元加密货币中，该组织窃取金额至少达 20.2 亿美元。 区块链情报公司 Chainalysis 向The Hacker News披露的《加密犯罪报告》显示，这一数字较2024年的13亿美元增加6.81亿美元，同比增幅达 51%。该公司指出：“就被盗金额而言，2025年是朝鲜加密货币盗窃史上最严重的一年，其发起的攻击占所有服务入侵事件的比例也达到创纪录的 76%。截至目前，朝鲜累计窃取的加密货币资金下限估计已达67.5亿美元。” 在朝鲜窃取的20.2亿美元中，仅2月对加密货币交易所 Bybit的攻击就造成15亿美元损失。该攻击被归因于名为 TraderTraitor（又名 Jade Sleet、Slow Pisces）的黑客集群。哈德逊・罗克本月初发布的分析报告显示，一台感染了 Lumma Stealer恶意软件的设备，因关联邮箱 “trevorgreer9312@gmail [.] com”的存在，被证实与Bybit黑客攻击的基础设施相关联。 此类加密货币盗窃是朝鲜支持的黑客组织Lazarus集团过去十年间发起的一系列广泛攻击的一部分。上月，韩国最大加密货币交易所Upbit价值3600万美元的加密货币被盗，此案有关也与Lazarus相关。Lazarus集团隶属于朝鲜侦察总局，据估计，2020年至2023年间，该组织通过超25次加密货币盗窃，窃取了至少2亿美元。 黑客组织的双重作案策略 作为全球最活跃的黑客组织之一，朝鲜黑客还长期开展一项名为 “梦想工作行动”的活动。他们通过领英或 WhatsApp 联系国防、制造、化工、航空航天和科技领域的潜在求职者，以高薪工作为诱饵，诱使其下载并运行 BURNBOOK、MISTPEN、BADCALL 等恶意软件。这些行动的最终目标具有双重性：一是收集敏感数据，二是规避国际制裁，为朝鲜政权赚取非法收入。 朝鲜黑客采用的第二种策略是，通过虚假身份或专门设立的幌子公司，将信息技术人员安插在全球各地的企业中。这包括获取加密货币服务的特权访问权限，为大规模盗窃创造条件。这一欺诈运作模式被称为 “薪资鼹鼠”。Chainalysis 指出：“2025年盗窃金额创纪录，部分原因可能是朝鲜黑客扩大了对交易所、托管机构和Web3公司的IT人员渗透，这种方式能加速初始访问和横向移动，为大规模盗窃铺路。” 资金洗白路径与相关案件判决 无论使用何种方法，被盗资金都会通过中文的钱款转移和担保服务，以及跨链桥、混币器和Huione等专门市场进行洗钱。此外，被盗资产遵循一种结构化的、多阶段的洗钱路径，该路径大约在黑客攻击后的45天内展开： 第一阶段：即时分层（0-5 天）—— 利用去中心化金融协议和混币服务，迅速将资金与盗窃源头脱钩； 第二阶段：初步整合（6-10 天）—— 将资金转移至加密货币交易所、二级混币服务以及 XMRt 等跨链桥； 第三阶段：最终整合（20-45 天）—— 通过相关服务将加密货币最终兑换为法定货币或其他资产。 Chainalysis 表示：“朝鲜黑客大量使用专业中文洗钱服务和场外交易商，这表明他们与亚太地区的非法行为者联系紧密，也与朝鲜历史上利用中国境内网络接入国际金融体系的做法一致。” 与此同时，美国司法部披露，马里兰州 40 岁男子Minh Phuong Ngoc Vong因参与朝鲜 IT 人员渗透计划，被判处 15 个月监禁。2021 年至 2024 年间，该男子伪装其教育背景、培训经历和工作经验，成功受雇于至少 13 家美国公司，包括与美国联邦航空管理局签订合同。而这些工作实际上是由海外同谋者完成的。 美国司法部表示：”Vong与他人合谋，包括一名住在沈阳、化名为William James的外国国民，欺骗美国公司雇佣Vong为远程软件开发人员。在通过关于其教育、培训和经验的重大虚假陈述获得这些工作后，Vong允许James等人使用他的计算机访问凭证来执行远程软件开发工作并收取报酬。 值得注意的是，朝鲜关联黑客的 IT 人员渗透策略正发生转变：他们越来越多地以招聘者身份，通过 Upwork、Freelancer 等平台招募合作者，以扩大运作规模。 Security Alliance上月发布的报告指出：“这些招聘者会按照固定话术接触目标，寻求‘合作者’帮助投标和交付项目，并提供账户注册、身份验证和权限共享的详细步骤。在许多案例中，受害者最终会交出自由职业者账户的完全访问权限，或安装 AnyDesk、Chrome 远程桌面等远程控制工具，这使得黑客能够以受害者的已验证身份和 IP 地址运作，规避平台审核并开展非法活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 无国界记者组织周三表示，其法医研究人员在一名白俄罗斯记者的手机上发现了一种此前未知的间谍软件工具。 该组织称，基于在反病毒平台上对比样本的分析，其认为该间谍软件至少自2021年起就已投入使用。这款被命名为”ResidentBat”的间谍软件能够访问通话记录、短信和加密应用程序信息、麦克风录音、本地存储的文件以及屏幕截图，主要用于攻击安卓手机。 据无国界记者组织新闻稿称，该记者和该组织均认为，间谍软件是在记者被白俄罗斯克格勃拘留期间安装的。手机在审讯期间被没收，当局一度强迫记者解锁手机。 类似威权政权在记者被警方或安全部门审讯时在其手机上安装间谍软件的案例最近在塞尔维亚和肯尼亚也有发生。 “威权政权利用拘留机会在手机上植入间谍软件的案例越来越多，”公民实验室的数字法证研究员约翰·斯科特-雷尔顿在社交媒体帖子中写道。”这项调查很重要，它提醒我们，独裁者并不总是需要零日漏洞。” 2024年12月，公民实验室报告称，他们在一名被指控支持乌克兰的俄罗斯程序员获释后，发现其手机被秘密植入了间谍软件。 这名白俄罗斯记者手机被感染的最近情况，是在其被拘留几天后手机上的反病毒软件标记出”可疑组件”后才得以曝光。该记者联系了东欧非营利组织RESIDENT.NGO，该组织随后与无国界记者组织共同分析了这部手机。 “通过部署ResidentBat等监控技术，白俄罗斯国家正在对独立新闻业实施蓄意的压制策略，”无国界记者组织的倡导与援助主任安托万·伯纳德在一份声明中说。”对其私人和职业生活进行系统性侵犯，相当于对新闻自由和基本权利进行直接且非法的攻击。” 在该组织进行的新闻自由调查中，白俄罗斯在180个国家和地区中排名第166位。 无国界记者组织表示已将其发现告知谷歌，这家科技巨头计划向所有被识别为该间谍软件活动目标的谷歌用户发送威胁通知。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周，一个多次被当局查封又屡次被攻击者恢复的数据泄露网站Breachforums上发布了攻击公告。攻击者吹嘘已侵入法国内政部，并窃取了多个存储敏感数据的政府系统信息。 黑客团队声称，此次攻击是对当局逮捕 “ShinnyHunters/hollow网络犯罪团伙成员的报复。此次泄露涉及超1640万法国人的信息，约占法国总人口的四分之一。 法国内政部向Cybernews证实，该部门遭遇“恶意入侵”，目前正在“最高级别”处理。据内政部称，初步技术调查显示，攻击者仅能查看有限数量的工作邮箱账户。 与此同时，《费加罗报》报道称，法国当局的初步调查显示，黑客很可能通过员工在邮件中明文分享的密码获取了凭证，从而访问了内政部的应用程序。 内政部称：“通过邮箱账户，攻击者获取了一些身份验证信息，进而访问了业务应用程序。目前正在分析以确定受影响数据的具体范围、性质和数量，尤其是哪些数据被泄露。”但现阶段仍不清楚攻击者具体访问了何种数据或是否窃取了详细信息。 内政部称已注意到Breachforums上的帖子，正在调查相关说法。所有必要措施正在采取以阻止此次入侵，并加强部委信息系统的整体安全。司法调查也在进行中，以期尽快识别并起诉肇事者。 攻击者声称了什么？ 攻击者最初声称此次黑客攻击涉及数百万法国公民的信息，并访问了犯罪记录处理系统、通缉人员档案库、国际刑警相关系统，以及内政部的财务和养老金计划数据集。虽然未具体说明可能泄露的数据类型，但据称被访问的数据集很可能包含大量敏感细节，从个人身份信息到犯罪记录和机密案件详情。内政部员工，包括警官，也可能受到影响。 其他报告指出，据称在数据泄露中暴露的1600万人是所有正在进行和过去司法程序中的嫌疑人和受害者。如果得到证实，此次攻击可能产生深远影响，因为大量敏感数据可能被外国政府和犯罪组织利用。 值得注意的是，这起所谓的对落网网络同伙的“报复”攻击也涉及金钱要求。攻击者给法国政府一周时间支付赎金以“删除”被盗数据，否则威胁将数据出售给其他网络犯罪分子。该消息后来从Breachforums上移除，网站显示“维护中”横幅。据攻击者称，他们因遭受DDoS攻击而被迫关闭论坛。 攻击者还透露，他们通过CHEOPS门户入侵了内政部，这是当局内部使用的通信系统。然而，并非所有人都相信攻击者确实获取了敏感信息。法国安全研究员、网络安全公司Predicta Labs的首席执行官巴蒂斯特·罗伯特指出，尽管攻击者声称大胆，但至今未提供任何数据样本作为证据。 攻击者上传了一张CHEOPS门户登录页面的截图，在用户密码输入处写有“WE ARE STILL HERE”。此外，还有一张模糊的身份证照片，暗示攻击者可能访问了一些警察的身份证件。罗伯特在X平台上用法语发帖质疑：“伙计们，你们甚至没有截一张自己在门户网站上认证的截图吗？这就是你们能展示的全部吗？”在后来的帖子中，这位安全研究员指出，虽然发生了严重的数据泄露，但目前没有迹象表明攻击者成功窃取了大量个人敏感数据。 过去的法国数据泄露事件 法国内政部的网络攻击并非该国首次遭遇重大数据安全事件。去年，Cybernews研究人员发现了一个暴露的数据库实例，包含超过9500万条记录，汇集了过去攻击中已知和未知的数据泄露。今年5月，Stormous勒索软件团伙在其暗网博客上发布了一个大型数据集，据称包含多个法国组织和机构的电子邮件和密码。 作为一个庞大而富裕的国家，法国经常成为网络犯罪分子的目标。仅今年，攻击者就针对法国旗舰航空公司法国航空、著名学府巴黎索邦大学以及法国足球联合会发动了攻击。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  NoName057(16)，亦被称为05716nnm或NoName05716，已成为针对北约成员国和欧洲组织的重要威胁。 该组织起源于俄罗斯青年环境研究与网络监控中心内的一个秘密项目，自2022年3月以来一直积极实施分布式拒绝服务攻击。 该组织在俄罗斯联邦青年事务署领导层的支持下运作，并遵从俄罗斯政府利益的指导，已将自己定位为反对俄罗斯地缘政治目标的西方机构的主要网络威胁。 该组织的主要攻击能力依赖于DDoSia项目，这是一个通过Telegram频道招募志愿者的众包僵尸网络。 志愿者会获得易于使用的基于Go语言的攻击工具，并因其参与而获得加密货币奖励。这种基于志愿者的模式在针对不同目标扩大攻击规模方面已被证明非常有效。 DDoSia与传统僵尸网络的不同之处在于其简单性，使得技术专长有限的个人也能参与协调攻击。 到2024年，NoName057(16)通过与其他亲俄罗斯的黑客行动主义团体合作扩大了影响力，其中尤其值得注意的是”俄罗斯重生网络军”，该组织最终促成了Z-Pentest于2024年9月成立。 Picus Security的分析师发现了支撑DDoSia攻击基础设施的复杂两阶段通信协议。 技术机制 系统首先通过向命令与控制服务器的 /client/login 端点发送HTTP POST请求进行客户端认证，客户端在此过程中传输加密的系统信息，包括操作系统详情、内核版本和CPU规格。 在收到包含UNIX时间戳的200 OK响应（表明认证成功）后，客户端进入第二阶段，通过向 /client/get_targets 发送GET请求来获取目标配置。 该运营基础设施采用了旨在规避检测和缓解的弹性多层架构。第一层由面向公众的命令与控制服务器组成，直接与DDoSia客户端通信，这些服务器的平均寿命约为9天，不过许多会每日轮换。 第二层后端服务器维护核心逻辑和目标列表，其访问权限通过访问控制列表严格控制，仅允许来自授权第一层服务器的连接。 这种隔离确保了即使第一层节点被识别和封锁，核心基础设施仍能保持运行。 分析显示其运营节奏很快，平均每天攻击50个独特目标，且活动模式与俄罗斯标准工作时间高度相关。 乌克兰遭受的攻击占比最大，为29.47%，其次是法国（6.09%）、意大利（5.39%）、瑞典（5.29%）和德国（4.60%）。政府部门占攻击目标的41.09%，交通和电信部门也受到严重影响。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队披露了一项”长达数年”的俄罗斯国家支持网络攻击行动的细节，该行动在2021年至2025年间针对西方关键基础设施。 此次行动的目标包括西方各国的能源行业组织、北美和欧洲的关键基础设施提供商，以及拥有云托管网络基础设施的实体。该活动被高度确信归因于俄罗斯总参谋部情报总局（GRU），其攻击基础设施与APT44（也称为FROZENBARENTS、Sandworm、Seashell Blizzard和Voodoo Bear）存在重叠。 亚马逊表示，该活动的一个显著特点是利用管理界面暴露的配置不当客户网络边缘设备作为初始入侵向量，而N日漏洞和零日漏洞利用活动在此期间有所减少——这表明针对关键基础设施的攻击策略发生了转变。 亚马逊综合安全首席信息安全官（CISO）CJ·摩西表示：”这种战术调整使得攻击者能够实现相同的操作结果，即窃取凭据并横向移动到受害组织的在线服务和基础设施中，同时减少了攻击者自身的暴露和资源消耗。” 已发现这些攻击在五年期间利用了以下漏洞和策略： 2021-2022年：利用WatchGuard Firebox和XTM漏洞（CVE-2022-26318），并针对配置不当的边缘网络设备。 2022-2023年：利用Atlassian Confluence漏洞（CVE-2021-26084 和 CVE-2023-22518），并持续针对配置不当的边缘网络设备。 2024年：利用Veeam漏洞（CVE-2023-27532），并持续针对配置不当的边缘网络设备。 2025年：持续针对配置不当的边缘网络设备。 根据亚马逊的说法，此次入侵活动主要针对企业路由器和路由基础设施、VPN集中器和远程访问网关、网络管理设备、协作和wiki平台以及基于云的项目管理系统。 考虑到威胁行为者有能力将自己战略性地部署在网络边缘以截取传输中的敏感信息，这些努力很可能是为了大规模窃取凭据。遥测数据还发现了一些被描述为针对亚马逊网络服务（AWS）基础设施上托管的配置不当客户网络边缘设备的协同攻击尝试。 “网络连接分析显示，由攻击者控制的IP地址与运行客户网络设备软件的受入侵EC2实例建立了持久连接，”摩西说。”分析揭示了与跨多个受影响实例的交互式访问和数据检索相一致的持久连接。” 此外，亚马逊表示观察到针对受害组织在线服务的凭据重放攻击，作为试图更深入渗透目标网络的一部分。尽管评估认为这些尝试并未成功，但它们进一步证实了上述假设，即对手正在从受入侵的客户网络基础设施中窃取凭据，用于后续攻击。 整个攻击过程如下： 入侵托管在AWS上的客户网络边缘设备。 利用本机数据包捕获功能。 从截获的流量中收集凭据。 针对受害组织的在线服务和基础设施重放凭据。 建立持久访问以进行横向移动。 凭据重放攻击的目标遍及北美、西欧和东欧以及中东的能源、技术/云服务和电信服务提供商。 “攻击目标显示了对能源行业供应链的持续关注，包括直接运营商和有权访问关键基础设施网络的第三方服务提供商，”摩西指出。 有趣的是，该入侵集群的基础设施（91.99.25[.]54）与Bitdefender追踪的另一个名为”Curly COMrades”的集群存在重叠，该集群被认为自2023年底以来一直与俄罗斯利益保持一致。这增加了两种集群可能代表GRU开展的更广泛行动中互补操作的可能性。 摩西说：”这种潜在的操作分工——一个集群专注于网络访问和初始入侵，另一个处理基于主机的持久化和逃避——符合GRU由专门子集群支持更广泛行动目标的运作模式。” 亚马逊表示已识别并通知了受影响的客户，同时阻止了针对其云服务的活跃威胁行为者操作。建议组织审计所有网络边缘设备是否有异常的数据包捕获工具，实施强身份验证，监控来自意外地理位置的认证尝试，并密切关注凭据重放攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国内政部长洛朗·努涅斯周五宣布，威胁行为者入侵了内政部的电子邮件服务器。 此次攻击是在12月11日至12日夜间被发现的。根据法国内政部长的说法，攻击者访问了一些文档文件，但数据是否被盗尚未得到证实。 努涅斯对RTL电台表示：”发生了一起网络攻击。攻击者能够访问一些文件……但没有证据表明这些文件被严重泄露。” 努涅斯补充说，政府已对此事件展开调查，目前调查仍在进行中。 他补充道：”我们没有发现严重泄露的证据。我们正在进行调查，包括司法调查，最重要的是，我们提高了安全级别。我们所有人员访问信息系统的程序都已收紧。” 法国内政部长没有分享有关此次攻击的技术细节。 针对此次安全漏洞，内政部加强了安全措施，并强化了其所有信息系统的访问控制。 当局正在探讨此次网络攻击的所有可能性，包括外国干涉、黑客活动主义或网络犯罪，调查正在进行以确定其来源。 今年4月，法国政府将一项针对十几个法国实体的、长达四年的黑客攻击活动归咎于与俄罗斯有关的APT28组织。法国政府透露，这个与俄罗斯有关的APT28组织攻击或入侵了十几个政府组织和其他法国实体。2024年，据观察该组织攻击了OT组织，并与针对亚洲和欧洲60个实体的网络攻击有关联。 自2021年以来，APT28一直针对或入侵法国的部级机构、地方政府、国防科技工业基础部门、航空航天、研究机构、智库和金融实体。2024年，其攻击主要针对政府、外交和研究部门，其中一些攻击活动专门针对法国政府组织。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  委内瑞拉国有石油公司——委内瑞拉石油公司（PDVSA）上周末遭遇网络攻击，扰乱了其出口业务。 委内瑞拉国有石油公司PDVSA上周末遭遇网络攻击，出口业务受到干扰。该公司表示，该事件仅影响部分行政系统，未影响运营。 该公司在Telegram上发布的一份声明中称：”得益于PDVSA专业人才的技术能力，运营区域未受到任何影响；攻击仅限于其行政系统。” PDVSA表示，安全协议防止了供应或出口中断，并将此次网络事件定性为一次试图的侵犯行为，与美国涉嫌企图扣押委内瑞拉石油有关。 声明继续写道：”我们坚决反对这种由外国势力策划的可耻行径。” 委内瑞拉政府将此次安全事件定性为企图攻击”主权能源发展的权利”。声明最后称：”必须指出，这已不是美国政府联合极端主义势力首次试图破坏国家稳定，夺走委内瑞拉人民的圣诞节。” PDVSA指示员工关闭电脑、断开外部设备连接、禁用WiFi和Starlink，同时加强了其设施的安全措施。 彭博社报道称：”知情人士引述看到的一份内部备忘录称，PDVSA告诉员工关闭电脑，断开外部硬件连接，并切断WiFi和Starlink连接。自周日以来，公司设施的安全措施也得到了加强。””该公司周一在一份声明中表示，已挫败了一起旨在扰乱其运营的’破坏企图’。声明补充说，石油产量未受影响。” 这种应对措施通常与正在进行的勒索软件攻击有关。PDVSA的一位消息人士告诉路透社，该公司几天前检测到勒索软件攻击，而杀毒软件的修复措施最终导致整个行政系统瘫痪。 一位公司消息人士告诉路透社：”（货物）无法交付，所有系统都瘫痪了。” 此次网络攻击发生之际，正值委内瑞拉和美国之间紧张局势升级，此前美国最近扣押了一艘运载委内瑞拉原油的受制裁油轮，这是自2019年美国外国资产控制办公室（OFAC）制裁PDVSA以来的首次。PDVSA指责美国及其国内合作者策划了此次攻击以破坏该国稳定，声称这是夺取委内瑞拉石油战略的一部分。该国有石油公司强烈反对所谓的侵犯行为，将其定性为对委内瑞拉主权能源发展的攻击。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文