HackerNews 编译，转载请注明出处：  在遭受勒索软件攻击仅三个月后，朝日集团控股正考虑对其网络安全架构进行重大调整。 这家日本酿酒巨头的首席执行官胜木淳于12月15日向彭博社表示，已决定将网络安全提升为最高管理优先级，并考虑在集团内部设立专门的网络安全部门。 此项决策源于今年9月发生的勒索软件攻击事件，该事件导致包括150万朝日客户在内的200万人个人信息泄露，并引发至少持续至2026年2月的运营中断。 自称Qilin的勒索软件组织发动的此次攻击，入侵了朝日集团的核心系统，对运行中的服务器进行加密并感染了网络内的员工设备。这严重干扰了其在日本的关键业务运营，迫使公司暂时中止自动化订单处理和发货流程。 “我们原以为已采取充分防护措施，但它们轻易就被攻破了，”胜木在接受彭博社视频采访时承认道。 作为预计持续至明年2月的恢复计划的一部分，朝日集团控股正着手淘汰虚拟专用网络的使用，转而采用更严格的零信任模型——该模型假定网络内部的任何用户或设备均不可自动信任。 胜木淳还表示，公司应在2月后转向“重建阶段”。他补充道：“我们不仅致力于将发货量恢复至以往水平，更力求实现超越。” 此次网络攻击的首波财务影响现已显现：朝日集团控股在2025年11月的日本酒类销售额同比下滑20%。受9月29日网络攻击引发的系统中断影响，该公司已推迟披露其运营销售业绩。 由于网络攻击对系统造成的持续影响，该公司已暂停按类别和品牌发布月度销售数据。11月是其连续第三个月跳过此类披露，理由是无法准确汇编相关数据。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华盛顿州皮尔斯县图书馆系统遭遇网络攻击，导致超过34万人的信息泄露。 皮尔斯县图书馆系统本周在其网站及多个州发布了违规通知信。这些信件涉及一起网络安全事件，该事件于4月21日首次被发现，迫使图书馆系统关闭了所有系统。 截至5月12日，该机构确认黑客入侵其系统并窃取了图书馆员工及客户信息。该图书馆系统共有19个分馆，服务西雅图郊外近百万人口的县区。 通知信称，调查显示黑客在4月15日至4月21日期间入侵了机构系统。泄露信息因用户身份而异：图书馆服务用户的姓名和出生日期遭泄露；当前或前任员工的失窃数据则包括社会安全号码、财务账户信息、驾照号码、信用卡信息、护照号码、健康保险信息及医疗数据。 今年5月，INC勒索软件团伙宣称对此次攻击负责。该团伙在2025年已针对政府系统发动多起严重攻击。 皮尔斯县此前曾在2023年遭遇针对公共巴士服务的勒索软件攻击，导致日均1.8万人使用的系统瘫痪。 近年来，公共图书馆系统反复遭受勒索软件团伙攻击，攻击者认为图书馆在线服务的需求将迫使政府支付赎金。 除了对大型系统等高知名度目标的大规模攻击外，美国多个州及加拿大的众多图书馆都曾因勒索软件攻击导致服务中断。 全球图书馆频遭攻击的状况甚至促使美国官员采取专项措施，专门收集关于网络安全和高级防火墙服务的数据，以帮助图书馆更好地防御黑客攻击。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据称与巴勒斯坦武装组织哈马斯有关联的黑客组织被指控使用含恶意软件的文档，入侵了与阿曼、摩洛哥及巴勒斯坦权力机构相关的政府及外交实体。 帕洛阿尔托网络公司旗下Unit 42团队周四发布了一份关于该组织（其称为“灰兔”）的报告。该公司发言人向新闻媒体表示，基于多年来对该组织活动的分析，他们将其归属于哈马斯，称其“活动始终与哈马斯的战略利益保持一致”。 Unit 42指出，该组织近期活动涉及一种名为AshTag的新型恶意软件，使其得以从中东多国关键实体窃取信息。报告称，自2020年以来，“灰兔”组织的攻击手段日益复杂，发展了包括基础设施混淆等更高级的黑客技术及新工具。 该恶意软件通常伪装成涉及土耳其与巴勒斯坦实体关系的合法文档。尽管在巴以冲突期间其他哈马斯关联的黑客活动有所减少，“灰兔”组织却持续活跃，甚至在2025年10月停火后仍未停止。 AshTag恶意软件已使用多年，在10月宣布的加沙停火后仍被用于攻击。Unit 42观察到停火后该组织在某些受害环境中的直接操作活动。该恶意软件允许黑客提取文件、在受害设备下载内容并执行进一步操作。 最新攻击活动中使用的文档聚焦于土耳其与巴勒斯坦政治实体的关系，研究人员称这一转变表明土耳其实体可能成为其新的关注目标。 诱饵文档标题涉及摩洛哥与土耳其的合作关系、土耳其国防计划、哈马斯在叙利亚的活动以及巴勒斯坦政府事务等。 攻击始于一个受感染的PDF诱饵文件，引导目标下载包含恶意负载的RAR压缩包。 该组织已进行多项改进以提升操作安全性，采用不同策略使其活动更隐蔽地混入正常网络流量中。 在多起案例中，该组织利用恶意软件入侵受害系统后，直接通过键盘操控进行数据窃取。Unit 42曾发现攻击者直接从受害者邮箱下载文档——重点获取特定的外交相关文件。 研究人员表示：“‘灰兔’组织仍是持续活跃的间谍行为体，其明显意图是在近期地区冲突中继续运作——这与活动显著减少的其他关联威胁组织不同。特别是近两年来，该威胁组织的活动凸显了其持续进行情报收集的执着力。” 其他网络安全公司以“WIRTE”为名追踪该组织活动，并将其与“加沙网络组织”“Molerats”等更大团伙关联。研究人员此前曾将哈马斯关联黑客与针对以色列教育机构的SysJoker恶意软件联系起来。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个匿名黑客组织据称入侵了一家据信参与了俄罗斯统一征兵数据库建设工作的、名不见经传的俄罗斯科技公司的服务器。 据俄罗斯反战人权组织“走开”（Idite Lesom）的负责人格里戈里·斯维尔德洛夫称，黑客与他取得了联系，并移交了大量Mikord公司的内部文件，包括源代码、技术和财务记录，以及内部通信。斯维尔德洛夫表示，该组织声称已持续访问Mikord的系统数月之久，并已破坏了该公司部分基础设施。 “走开”组织旨在帮助俄罗斯人逃避征兵和动员，已被莫斯科列为“外国代理人”。斯维尔德洛夫本人因涉嫌散布关于俄罗斯军队的“假新闻”而面临刑事指控。 Mikord公司的网站已瘫痪数日，仅显示一条维护信息。本月早些时候，该公司的主页曾被黑客涂改，黑客当时声称打算将窃取的材料交给记者，之后会公开披露。 这家为政府机构和大型企业提供软件开发和自动化服务的公司，从未公开承认参与开发俄罗斯的新兵役登记系统。但总部位于拉脱维亚的调查媒体《重要故事》（iStories）表示，他们已经核实了泄露的材料，并确认Mikord参与了该项目。 Mikord的负责人拉米尔·加布德拉赫马诺夫向iStories承认公司遭到了黑客攻击。“听着，这种事谁没遇到过？现在很多人都被攻击了，”他告诉该媒体。但对于公司是否参与了军事数据库的工作，他拒绝置评。 俄罗斯国防部周四驳斥了这些报道，称有关入侵的说法“不属实”。该部表示，登记系统“运行正常”，没有发生个人数据泄露事件。该部补充说，该系统经常成为攻击目标，但所有攻击都已被“成功阻止”。 统一征兵数据库中存储了所有适龄服役公民的详细个人数据。该系统旨在简化动员流程，取代地方征兵办公室使用的苏联时期的纸质登记系统。 该黑客组织的身份和来源不明。Recorded Future News无法独立核实黑客提供给俄罗斯媒体和人权组织的文件的真实性。 12月初，疑似俄罗斯黑客曾针对乌克兰的多个国家登记系统——这些系统存储着生物特征数据、财产记录、法院判决、商业信息和税务文件——并短暂中断了乌克兰的数字兵役应用程序“Reserve+”。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯媒体The Bell发布了一篇深度报道，揭秘今年 7 月俄罗斯国家航空公司俄罗斯国际航空公司（俄航，Aeroflot）遭遇的重大黑客攻击事件，证实该公司当时整个基础设施曾濒临崩溃边缘。 早在 7 月，两个亲乌黑客组织 ——“沉默乌鸦（Silent Crow）” 和 “白俄罗斯网络游击队（Belarusian Cyber-Partisans）” 就已宣称对这起针对俄航的攻击负责。 黑客们不仅瘫痪了 7000 台服务器、窃取了乘客及员工数据，还控制了包括高管在内的员工个人电脑。他们透露，此次行动是一场耗时一年的俄航网络渗透计划。 不过，当时现场的实际情况究竟如何？据The Bell报道，与其他多起规模较小的同类攻击不同，俄航遇袭事件根本无法被俄罗斯官方掩盖：数百架航班延误或取消，数千名乘客滞留于大大小小的机场。 尽管如此，俄航仍试图隐瞒。The Bell指出，该航空公司甚至未告知内部员工公司正遭受黑客攻击，反而将事件定性为 “信息系统故障”。但事实上，攻击者当时已险些摧毁其全部基础设施。 紧急切断全楼电源 这场攻击始于 7 月 28 日凌晨 5 时，彼时俄航技术支持群内开始上报紧急情况：系统瘫痪、电脑反复重启且无法恢复。 两小时后，在确认黑客正实时擦除员工办公电脑数据后，俄航下达了 “全面停机” 的指令。 《The Bell》的消息源透露，当时切断总部所有楼层的电源，是阻止攻击者彻底摧毁公司全部网络基础设施的唯一办法。 这是因为，正如黑客后续所言，且有匿名俄航官员向《The Bell》证实的那样，他们已获取了航空公司整个企业网络的管理员权限。 随后，攻击者在俄航企业网络中推送了一项组策略，触发了工作站的定时数据擦除程序。局势一度濒临全面失控 —— 不过俄航团队的应对其实十分迅速。 一位接近仍在进行中的调查的消息人士解释道：“他们切断了与俄罗斯电信公司（Rostelecom）的通信，中断了与机票数据库的连接，还断开了和谢列梅捷沃机场的链路，以至于工作人员只能靠 Excel 表格重建所有数据，在大幅纸上重新绘制全部航线。” “这无疑对公司声誉造成了损害。但如果当时没有如此迅速地行动，公司的基础设施恐怕会荡然无存。” 事发当天，俄航共取消 108 架次航班，仅在其枢纽机场谢列梅捷沃机场，就有超 80 架次航班延误。该航空公司称，此次航班取消造成的损失至少达 2.6 亿卢布（约合 334 万美元）—— 但这个数字其实并不算多。 薄弱环节：合作承包商 尽管直接经济损失有限，此次攻击造成的整体危害却极大。《The Bell》指出，被窃取的数据中，“非商业航班” 相关信息或为最敏感的内容。 原因在于，攻击发生后，黑客公布了一份由俄国防部代表签署的文件，文件中国防部要求将其设备接入俄航内部网络，以 “高效规划军事空运任务”。 一位俄航消息人士指出：“这对俄航是沉重一击。该公司一直将自身定位为纯民用航空公司，过去几年也一直在刻意与战事保持距离，而这份文件却将一切白纸黑字地摆到了台面上。” 该人士认为，这或许正是此次网络攻击的核心目的。 此次攻击的初始入口，似乎是一家名为巴卡软件（Bakka Soft）的小型 IT 公司。该公司负责为俄航开发移动及网页应用，且在攻击发生前一个月，还刚宣布推出了俄航新版 iOS 网页应用。 《The Bell》称，早在 2025 年 1 月，也就是攻击发生前 6 个月，为俄航提供技术支持的 IT 专家就已在俄航及巴卡软件的网络中监测到了可疑活动。 巴卡软件从未公开披露其系统遭黑客入侵的消息，但种种迹象表明入侵确实发生过。 白俄罗斯网络游击队的代表尤利娅娜・舍梅托维茨（Yuliana Shemetovets）指出，俄航管理层使用的是简单且极易被破解的密码。 网络安全专家虽已将入侵者逐出俄航系统，但消息人士称，他们并未彻底清理巴卡软件的基础设施，这使得攻击者得以着手筹备后续的网络攻击。 《The Bell》的一位消息人士惋惜道：“这类事件中，承包商往往是薄弱环节：他们难以及时取得联系、会抗拒配合调查、不允许访问其基础设施，而且基础设施的清理工作也做得一塌糊涂。” 该媒体还联系到白俄罗斯网络游击队代表尤利娅娜・舍梅托维茨，她也指出俄航管理层存在使用简易密码的问题。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，组织松散的支持俄罗斯的黑客行动团体一直在利用暴露的虚拟网络计算连接，入侵多个行业的运营技术系统。 根据美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）及其他国内外合作伙伴发布的一份新报告，这些攻击是近期一波技术含量低但具有破坏性的入侵活动的一部分，影响了美国水处理、食品生产和能源领域的实体。 报告撰写机构指出，“俄罗斯重生网络军”（CARR）、”Z-Pentest”、”NoName057(16)”以及”Sector16″等组织正在使用简单的侦察工具和常见的密码猜测技术，来访问面向互联网的人机界面。 尽管他们的活动水平不如国家支持的威胁组织先进，但在某些情况下已导致实际影响。 CISA表示，这些黑客行动分子通常追求的是曝光度而非战略优势，经常夸大他们在网上公开的事件规模。 即便如此，在攻击者篡改参数、禁用警报或重启设备后，运营商仍面临暂时的监控失灵以及代价高昂的手动恢复工作。 该报告概述了自2022年以来，几个亲俄黑客团体如何扩张，其中一些还得到了与俄罗斯国家有关联组织的间接或直接支持。 CARR和NoName057(16)在2024年组建Z-Pentest之前曾广泛合作，而Sector16则在2025年初通过类似联盟出现。每个团体都依赖广泛可用的工具来扫描端口、暴力破解弱密码、录制被入侵系统的屏幕截图，并在网上传播。 给运营商的建议措施 报告强调，工业和运营技术的所有者应加强系统暴露面管理和认证措施。建议的措施包括： 减少运营技术资产对公共互联网的访问 采用更强的资产管理，例如映射数据流 使用强身份验证，在可能的情况下包括多因素身份验证 报告还强调了网络分段、严格的防火墙策略、软件更新以及允许在系统受损时快速手动操作的应急计划的重要性。 报告警告称，发现存在弱凭证的暴露系统的组织应假定已遭入侵，并立即启动事件响应。 尽管这些攻击仍然相对简单，但报告撰写机构警告称，持续的活动可能会导致更严重的后果。 “本报告中强调的亲俄黑客行动团体已表现出对脆弱系统造成实际损害的意图和能力，” CISA网络安全执行助理局长尼克·安德森警告说。 “除了实施建议的缓解措施并严格验证其安全控制外，我们呼吁所有运营技术设备制造商优先考虑安全设计原则——因为从一开始就构建安全性对于降低风险和保护国家最重要的系统至关重要。” 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 巴德尔航空公司数据泄露事件 一名黑客声称已入侵苏丹为数不多仍在运营的航空公司之一，并将其内部手册及安全数据泄露至网络犯罪交易平台。 苏丹一家主要航空公司疑似遭遇网络攻击。近期，一名攻击者在某网络犯罪论坛发帖，宣称掌握了巴德尔航空公司 2.21GB 的数据，其中包含受管控的内部文件。 据该黑客声称，这批文件的时间范围为今年 6 月至 7 月，其正以加密货币为支付方式兜售这批数据。 据称，被泄露的数据包含以下内容： 飞行调度手册 超 1400 页的资料，详细说明运营政策、飞行员培训体系及波音 737 机型技术规程 公司安全项目手册，内含航空公司安全架构及威胁响应协议的敏感信息 安全管理体系手册，明确了航司的安全治理架构、组织体系及管理层监督职责 最低设备清单，包含机队层面数据，完整标注了飞机注册号及序列号 地面服务与标准作业程序手册，涵盖波音 737 机型运营及地面服务流程的标准操作规范 站点人员信息，包括卢旺达基加利站点的完整联系方式，含站点经理姓名、电子邮箱及电话号码 为佐证其说法，攻击者还附上了飞行调度手册的截图作为数据样本。不过，其是否真的持有其他敏感文件，目前尚无法证实。 “若该黑客的说法属实，且其确实掌握了其余文件，那么社会工程学攻击的频次可能会上升，而运营规程的泄露也可能暴露内部工作流程，进而被用于敲诈勒索。”Cybernews 研究团队解释道。 Cybernews 已就此事件联系巴德尔航空公司寻求置评，但截至目前尚未收到回复。巴德尔航空公司是一家总部位于苏丹首都喀土穆的私营航司，主营常规运输服务及人道主义援助运输业务。 尽管战乱导致苏丹大部分民用航空基础设施几近瘫痪，巴德尔航空仍是少数坚持运营的民用航班运营商之一。 该航司成立于 2004 年，提供国内及地区性客运、货运和贵宾包机服务，航线连接苏丹与中东及非洲多国，年营收达 5600 万美元。 航空业的多事之秋 今年全球航空业风波不断，已遭遇多起重大网络攻击。就在上月，一个与俄罗斯相关的勒索软件团伙 ——verest Ransomware，对西班牙国家航空（伊比利亚航空）发起了攻击。 该团伙称，窃取的数据包含客户姓名、联系方式、出生日期、出行及预订信息、脱敏银行卡数据和营销档案。此外，其还宣称已 “长期不受限制地访问” 所有航班预订系统，具备查看和修改预订信息的能力。 西班牙国家航空已证实该攻击事件，并向所有受影响客户推送了相关通知，但同时淡化了此次攻击造成的影响。 另一家航空业巨头柯林斯宇航也遭此团伙攻击，导致欧洲多座机场系统陷入瘫痪。该公司旗下的 MUSE 值机软件（欧洲多家大型机场均使用此软件管理值机和登机系统）同样成为 “珠穆朗玛峰勒索软件” 的攻击目标。 最终，该团伙在暗网上泄露了据称属于柯林斯宇航的 23GB 数据。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 波兰警方逮捕了 3 名乌克兰籍公民，指控其涉嫌使用黑客设备攻击信息技术系统并窃取国防领域敏感数据。 这 3 名乌克兰男子因被指试图利用先进黑客装备破坏 IT 系统、获取国防相关敏感信息而遭到逮捕。警方在其驾乘车辆内查获了 Flipper 系列黑客工具、间谍设备探测器、SIM 卡、存储驱动器及天线等物品。 据 Flipper Zero 官方网站介绍，该工具是一款外观形似玩具的便携式多功能设备，主要面向渗透测试人员和技术爱好者，可实现对无线电协议、门禁控制系统、硬件等各类数字设备的破解操作；同时该工具为完全开源且支持自定义，用户可按需对其功能进行拓展。 此外，3 人还携带了 K19 反监视工具，该设备能够探测射频信号、全球定位系统追踪器、隐藏摄像头以及强磁场。 这三名嫌疑人年龄分别为 43 岁、42 岁和 39 岁，面临欺诈、计算机欺诈以及持有用于破坏国家国防敏感 IT 系统工具等多项指控。目前法院已下令对其实施为期三个月的审前羁押，相关调查仍在持续推进。 事发时，华沙警方在参议员街拦下一辆丰田汽车，车内 3 名乌克兰男子神情紧张，他们声称正进行欧洲跨国旅行，刚抵达波兰，后续计划前往立陶宛。 波兰警方发布的新闻稿称：“警员对车辆内部进行了全面搜查，发现了一批可疑物品，这些物品甚至可被用于干扰本国战略 IT 系统、侵入 IT 及电信网络。调查期间，警员查扣了间谍设备探测器、先进的 FLIPPER 黑客设备、天线、笔记本电脑、大量 SIM 卡、路由器、便携式硬盘及摄像头等涉案物品。” 警方对查获的电子设备进行了解密，而 3 名嫌疑人虽自称 IT 领域专业人士，却始终无法对所持设备的用途作出合理解释，且对相关问题刻意回避。目前调查人员怀疑其涉嫌欺诈及计算机类犯罪。 新闻稿最后指出：“警方正排查多种可能性，同时就 3 人入境波兰的时间及目的展开调查，案件仍在侦办中，相关案卷已移交华沙市中心北区检察院。被羁押人员面临的指控包括欺诈、计算机欺诈，以及持有经改装可用于实施犯罪的设备和计算机程序 —— 其中涉及试图破坏对国家国防具有特殊重要性的计算机数据。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 通过对印尼非法赌博网络的深入调查，一个已运作超过 14 年的复杂网络犯罪基础设施被成功揭露。 安全研究人员发现，该犯罪生态体系规模庞大，涉及数十万个域名、数千款恶意移动应用，且全球范围内大量政府及企业基础设施遭域名劫持。 这一至少自 2011 年便已活跃的网络犯罪活动，其背后的资金实力、技术复杂度和运营持续性，更符合国家赞助型威胁行为者的特征，而非普通网络犯罪分子。 该团伙最初仅从事本地化赌博活动，后逐步发展为集非法赌博运营、搜索引擎优化操纵、恶意软件分发及网站持久化劫持技术于一体的多层级犯罪基础设施。 此次发现的犯罪活动，其规模与复杂度堪称目前已知最大的印尼语网络犯罪生态之一。 该威胁行为者掌控着约 328039 个域名，其中包括 90125 个遭入侵的域名、1481 个被攻陷的子域名，以及 236433 个用于将用户重定向至赌博平台的外购域名。 Malanta 安全分析师通过系统化的基础设施测绘与威胁情报收集，成功识别出其恶意软件生态体系。研究表明，该犯罪网络的技术架构中，嵌入了复杂的攻击链路与规避检测的能力。 安卓恶意软件的分发与持久化手段 该犯罪网络最值得警惕的环节，是其通过可公开访问的亚马逊云服务 S3 存储桶，分发数千款安卓恶意应用。 这些应用实为高复杂度的投放器，它们伪装成正规赌博平台，以实现对设备的持久化入侵。 应用安装后，会在用户不知情的情况下自动下载并安装额外 APK 文件，展现出先进的投放器功能。该恶意软件借助谷歌 Firebase 云消息服务接收远程指令，无需建立传统的命令与控制（C2）连接，即可直接向受感染设备下发操作指令。 技术分析显示，恶意软件中内置了用于遥测与设备管理的硬编码凭据及 API 密钥，同时还会申请高危权限（如外部存储读写权限），使攻击者能够窃取敏感数据并投放更多恶意载荷。 一项尤为令人震惊的发现是，多款 APK 样本共用同一域名jp-api.namesvr.dev，该域名是协调恶意软件运作的中心化命令与控制服务器。 该犯罪基础设施的影响范围不仅限于安卓设备，还延伸至被攻陷的政府及企业服务器子域名。 攻击者在正规政府域名上部署了基于 NGINX 的反向代理以终止 TLS 连接，将恶意命令与控制流量伪装成合法的政府通信，以此规避检测。 研究人员还发现，超过 51000 个源自赌博平台、受感染安卓设备及遭劫持子域名的被盗凭据，正在暗网论坛流通，这直接将受害者数据与该犯罪基础设施关联起来。 此次事件表明，网络犯罪分子可大规模利用可信基础设施实施攻击，同时借助域名多样性与先进的规避机制，维持自身的运营安全。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FortiGuard 实验室的报告显示，伊朗黑客组织 MuddyWater 近期启用了一款名为 UDPGangster 的新型后门程序，该后门通过用户数据报协议（UDP）实现命令与控制（C2）通信，且已针对土耳其、以色列和阿塞拜疆三国用户发起网络间谍活动。 安全研究员卡拉・林表示：“这款恶意软件可实现对受感染系统的远程控制，支持攻击者执行系统命令、窃取文件、投放额外恶意载荷，而所有通信均通过 UDP 信道完成，以此规避传统网络防御手段的检测。” 此次攻击的完整链路以鱼叉式钓鱼为初始入口：攻击者向目标发送携带恶意 Microsoft Word 文档的钓鱼邮件，一旦受害者启用文档宏，便会触发恶意载荷执行。部分钓鱼邮件还伪装成北塞浦路斯土耳其共和国外交部的官方信函，谎称邀请收件人参加一场名为 “总统选举及结果” 的线上研讨会。 钓鱼攻击细节 钓鱼邮件中通常附带一个压缩包（“seminer.zip”）和一份 Word 文档（“seminer.doc”），压缩包内也包含相同的恶意 Word 文件。用户打开文件后会被诱导启用宏，进而触发内嵌 VBA 代码的隐秘执行。 该投放器文档中的 VBA 脚本还设置了伪装机制以掩盖恶意行为：它会展示一张希伯来语的诱饵图片，内容为以色列电信运营商 Bezeq 发布的 “2025 年 11 月第一周以色列多城网络断连通知”，以此迷惑受害者。 卡拉・林解释道：“该宏会通过 Document_Open () 事件实现自动运行，先解码隐藏表单域（UserForm1.bodf90.Text）中的 Base64 编码数据，并将解码内容写入路径 C:\Users\Public\ui.txt，随后调用 Windows API 接口 CreateProcessA 执行该文件，最终加载 UDPGangster 后门。” UDPGangster 后门核心特性 UDPGangster 通过修改 Windows 注册表实现持久化驻留，同时内置多重反分析检测机制以抵御安全人员的逆向分析，具体包括： 检测自身进程是否被调试 分析 CPU 配置以识别沙箱或虚拟机环境 校验系统内存是否低于 2048MB 获取网卡信息，验证 MAC 地址前缀是否匹配已知虚拟机厂商列表 确认计算机是否加入域环境，而非处于默认 Windows 工作组 排查运行进程中是否存在 VBoxService.exe、VBoxTray.exe、vmware.exe、vmtoolsd.exe 等虚拟化工具 扫描注册表，检索 VBox、VMBox、QEMU、VMWARE 等虚拟化厂商特征标识 查找已知沙箱或调试工具进程 判断自身是否运行于分析环境 只有通过全部检测后，UDPGangster 才会开始收集系统信息，并通过 UDP 1269 端口连接外部 C2 服务器（157.20.182 [.] 75），执行数据窃取、cmd.exe 命令调用、文件传输、C2 服务器配置更新及额外恶意载荷投放等操作。 卡拉・林提醒：“UDPGangster 依赖宏投放器实现初始入侵，且集成了大量反分析逻辑来规避检测，用户及企业需警惕来路不明的文档，尤其是要求启用宏的文件。” 值得注意的是，就在此次攻击披露数天前，ESET 曾发布报告称，该组织还针对以色列的学术界、工程领域、地方政府、制造业、科技、交通及公用事业等行业发起攻击，并投放了另一款名为 MuddyViper 的后门程序。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文