HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场持续攻击活动”KongTuke”的详细信息。该活动利用一款伪装成广告拦截器的恶意谷歌Chrome扩展程序，故意使网页浏览器崩溃，并模仿ClickFix式诱饵欺骗受害者运行任意命令，从而投递一种先前未被记录的远程访问木马（RAT），名为ModeloRAT。 Huntress将这种ClickFix攻击的新变种命名为CrashFix。 KongTuke（也称为404 TDS、Chaya_002、LandUpdate808和TAG-124）是一个流量分发系统的名称。该系统以在将受害者重定向至有效载荷投递站点感染其系统前，先对受害者主机进行特征分析而闻名。随后，对这些受感染主机的访问权限会被移交给其他威胁行为者（包括勒索软件组织），以进行后续的恶意软件投递。 根据Recorded Future于2025年4月发布的一份报告，一些曾利用TAG-124基础设施的网络犯罪团伙包括Rhysida勒索软件、Interlock勒索软件和TA866（又名Asylum Ambuscade）。该威胁行为者还与SocGholish和D3F@ck Loader有关联。 根据该网络安全公司记录的攻击链，据称受害者在搜索广告拦截器时，被引导至一个恶意广告，该广告将其重定向到官方Chrome网上应用商店托管的一个扩展程序。 这个名为”NexShield – Advanced Web Guardian”（ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi）的浏览器扩展程序，伪装成”终极隐私护盾”，声称能保护用户免受网页上的广告、追踪器、恶意软件和侵扰性内容的侵害。该扩展至少被下载了5000次。目前它已无法下载。 Huntress表示，该扩展程序几乎是所有主流浏览器可用的合法广告拦截器插件uBlock Origin Lite版本2025.1116.1841的克隆。其设计目的是显示虚假的安全警告，声称浏览器”异常停止”，并提示用户运行”扫描”以修复由Microsoft Edge检测到的潜在安全威胁。 如果用户选择运行扫描，受害者会看到一个伪造的安全警报，指示他们打开Windows”运行”对话框，粘贴已复制到剪贴板的显示命令并执行它。这反过来会导致浏览器完全冻结，通过发起拒绝服务攻击使其崩溃——该攻击通过无限循环创建新的运行时端口连接，重复触发同一步骤十亿次。 这种资源耗尽技术会导致内存消耗过度，使网页浏览器变得缓慢、无响应，并最终崩溃。 一旦安装，该扩展程序还设计向攻击者控制的服务器（”nexsnield[.]com”）传输一个唯一ID，使操作者能够追踪受害者。此外，它采用了延迟执行机制，确保恶意行为仅在安装60分钟后才被触发。此后，有效载荷每10分钟执行一次。 研究人员Anna Pham、Tanner Filip和Dani Lopez表示：”弹窗仅在浏览器变得无响应后、在浏览器启动时出现。在DoS执行之前，时间戳会存储在本地存储中。当用户强制退出并重新启动浏览器时，启动处理程序会检查此时间戳，如果存在，则显示CrashFix弹窗，并移除时间戳。” “仅当UUID存在（意味着用户正被追踪）、C2服务器成功响应获取请求、并且弹窗窗口至少被打开并随后关闭过一次时，DoS才会执行。最后一个条件可能是为了确保在触发有效载荷前用户与扩展程序有交互。” 最终结果是它创建了自己的循环，每当受害者因DoS攻击导致浏览器无响应而强制退出并重启浏览器时，都会激活虚假警告。如果扩展程序未被移除，攻击将在10分钟后再次触发。 该弹窗还采用了多种反分析技术，包括禁用右键上下文菜单，并阻止尝试使用键盘快捷键启动开发者工具。CrashFix命令利用合法的Windows实用程序finger.exe，从攻击者的服务器（”199.217.98[.]108″）检索并执行下一阶段的有效载荷。安全研究员Brad Duncan在2025年12月记录了KongTuke对Finger命令的使用。 从服务器接收的有效载荷是一个PowerShell命令，该命令被配置为检索第二个PowerShell脚本。后者转而借鉴了SocGholish的手法，使用多层Base64编码和XOR运算来隐藏下一阶段的恶意软件。 解密后的代码块会扫描正在运行的进程，查找超过50种分析工具和虚拟机指示器，如果发现则立即停止执行。它还检查计算机是否已加入域或是独立计算机，并向同一服务器发送HTTP POST请求，其中包含两条信息： 已安装的防病毒产品列表 一个标志，对于独立的”WORKGROUP”计算机值为”ABCD111″，对于已加入域的主机值为”BCDA222″ 如果被入侵系统在HTTP请求中被标记为已加入域，则KongTuke攻击链最终会部署ModeloRAT。这是一个功能齐全的基于Python的Windows RAT，它使用RC4加密进行命令与控制通信（”170.168.103[.]208″ 或 “158.247.252[.]178″），利用注册表建立持久化，并便于执行二进制文件、DLL、Python脚本和PowerShell命令。 ModeloRAT能够在收到自我更新（”VERSION_UPDATE”）或退出（”TERMINATION_SIGNAL”）命令时进行自我更新或终止。它还实现了变化的信标逻辑以躲避检测。 Huntress表示：”在正常操作下，它使用300秒（5分钟）的标准间隔。当服务器发送激活配置命令时，植入程序进入主动模式，以可配置的间隔进行快速轮询，默认间隔为150毫秒。” “在连续六次或更多次通信失败后，RAT会退避到900秒（15分钟）的延长间隔以避免检测。从单次通信失败恢复时，它在恢复正常操作前使用150秒的重连间隔。” 虽然针对已加入域的机器部署ModeloRAT表明KongTuke的目标是企业环境，以便于更深层次的渗透，但独立工作站上的用户则会遭受另一个多阶段感染序列。该序列最终C2服务器会响应消息”TEST PAYLOAD!!!!”，表明其可能仍处于测试阶段。 该网络安全公司总结道：”KongTuke的CrashFix活动展示了威胁行为者如何不断演进其社会工程策略。通过假冒可信的开源项目（uBlock Origin Lite）、故意使用户的浏览器崩溃，然后提供一个虚假的修复方案，他们构建了一个自我维持的感染循环，利用用户的挫败感进行攻击。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一款名为GoBruteforcer的高复杂度 Go 语言僵尸网络，正针对全球范围内的 Linux 服务器发起猛烈攻击，通过暴力破解手段尝试获取 FTP、MySQL、PostgreSQL 及 phpMyAdmin 等公网暴露服务的弱密码。  Check Point Research近期记录到该恶意软件的 2025 年变种版本，其技术水平较之前版本实现大幅升级，已成功攻陷数万台服务器。 该僵尸网络采用模块化感染链架构，核心组件包含网页后门、下载器、互联网中继聊天（IRC）僵尸程序以及暴力破解模块。 据切克波因特的分析数据显示，全球超5 万台公网暴露服务器或面临高布鲁特福瑟攻击风险，目前有近 570 万台 FTP 服务器、223 万台 MySQL 服务器及 56 万台 PostgreSQL 服务器在默认端口上暴露。 人工智能生成服务器配置成攻击推手 本轮GoBruteforcer攻击浪潮的爆发，主要源于两大关键因素：一是大量运维人员直接复用人工智能生成的服务器部署示例，这类配置模板普遍存在通用用户名与弱默认密码问题；二是 XAMPP 等老旧网站集成环境仍被广泛使用，其搭载的各类服务缺乏基础加固措施。 研究人员发现，该僵尸网络在暴力破解的凭证列表中，大量使用 “appuser”“myuser” 等通用运维用户名，而这些用户名恰好是大型语言模型在生成数据库配置示例时最常推荐的默认名称。 切克波因特的调查显示，高布鲁特福瑟使用的凭证列表，与一个包含 1000 万条泄露密码的数据库存在约2.44% 的重合度。 尽管这一匹配成功率看似较低，但庞大的暴露服务基数，使得暴力破解攻击对威胁行为体而言具备极高的经济效益。谷歌 2024 年《云威胁态势报告》指出，在遭攻陷的云环境中，47.2% 的初始入侵路径均源于弱密码或缺失身份验证机制，这也印证了此类攻击手段的可行性。 僵尸网络的命令与控制服务器会下发包含 200 组凭证的列表用于暴力破解任务，且攻击配置文件每周会更新数次。 密码列表的生成逻辑十分固定，仅基于 375-600 个常用弱密码构成基础库，再衍生出 “appuser1234”“operatoroperator” 等基于用户名变体的密码组合。 相较于 2023 年首次被记录的早期版本，2025 年变种版本实现多项重大技术升级：其 IRC 僵尸程序组件已完全基于 Go 语言重构，并使用加布勒混淆工具（Garbler）进行深度代码混淆，彻底取代了原先基于 C 语言的开发架构。 该恶意软件还新增进程伪装技术，通过调用prctl系统调用将自身进程名修改为 “init”，并对二进制文件进行覆盖处理，以此躲避安全检测。 研究人员还发现一个以加密货币敛财为目标的攻击活动，威胁行为体在攻陷服务器后，会部署额外的 Go 语言工具集，其中包含针对波场（TRON）及币安智能链的挖矿程序与钱包窃取工具。 在一台被攻陷的服务器上，调查人员提取到一个包含约 2.3 万个波场钱包地址的文件，并通过链上交易数据分析证实，这批攻击已成功实现经济收益。 该僵尸网络通过多重机制保障自身的抗打击能力：内置备用 C2 服务器地址、基于域名的故障恢复路径，以及将已感染主机升级为分发节点或 IRC 中继服务器的功能。 IRC 僵尸程序模块每日可完成两次更新，暴力破解组件则通过与系统架构匹配的 Shell 脚本下载，并在执行前校验文件的 MD5 哈希值，确保恶意程序未被篡改。 攻击兼具广谱性与针对性 GoBruteforcer的攻击活动同时具备广谱扫射与定向行业打击的双重特征。通用型攻击活动会组合使用通用运维用户名与标准弱密码发起试探；而专项攻击任务则会采用 “cryptouser”“appcrypto” 等加密货币相关用户名，或 “wpuser” 这类针对 WordPress 系统的专属凭证。 该恶意软件还会针对性攻击 XAMPP 集成环境 —— 这一热门开发工具通常默认启用 FTP 服务，并将 FTP 根目录映射到公网可访问的网页路径，存在严重安全隐患。 僵尸网络的架构设计具备高效攻击能力，受感染主机每秒可扫描约 20 个 IP 地址，且在 FTP 攻击任务执行期间，能将带宽消耗控制在较低水平：出站流量约 64 千比特 / 秒，入站流量约 32 千比特 / 秒。 攻击线程池的规模会根据目标服务器的 CPU 架构动态调整：64 位系统上会运行 95 个并发暴力破解线程，32 位系统则会适配为更少的线程数。 该恶意软件还具备智能目标筛选能力，会主动排除私有网络、云服务商网段及美国国防部 IP 地址范围，以此降低被安全监测系统发现的概率。 防护建议 企业可通过以下措施降低GoBruteforcer攻击风险：实施强密码策略、关闭不必要的公网暴露服务、部署多因素身份验证机制，以及持续监测异常登录尝试行为。 相关威胁指标（IOC） 类型 指标内容 描述 网络地址 190.14.37[.]10 命令与控制服务器（活跃端点） 网络地址 93.113.25[.]114 命令与控制服务器（活跃端点） 网络地址 fi.warmachine[.]su 命令与控制服务器 网络地址 xyz.yuzgebhmwu[.]ru 命令与控制服务器（活跃端点） 网络地址 pool.breakfastidentity[.]ru 命令与控制服务器 网络地址 pandaspandas[.]pm 命令与控制服务器（列表中重复出现） 网络地址 my.magicpandas[.]fun 命令与控制服务器 文件哈希（SHA-256） 7423b6424b26c7a32ae2388bc23bef386c30e9a6acad2b63966188cb49c283ad IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） 8fd41cb9d73cb68da89b67e9c28228886b8a4a5858c12d5bb1bffb3c4addca7c IRC 僵尸程序（x86 架构） 文件哈希（SHA-256） bd219811c81247ae0b6372662da28eab6135ece34716064facd501c45a3f4c0d IRC 僵尸程序（ARM 架构） 文件哈希（SHA-256） b0c6fe570647fdedd72c920bb40621fdb0c55ed217955557ea7c27544186aeec IRC 僵尸程序（ARM64 架构） 文件哈希（SHA-256） ab468da7e50e6e73b04b738f636da150d75007f140e468bf75bc95e8592468e5 暴力破解模块（x86 架构） 文件哈希（SHA-256） 4fbea12c44f56d5733494455a0426b25db9f8813992948c5fbb28f38c6367446 暴力破解模块（x64 架构） 文件哈希（SHA-256） 64e02ffb89ae0083f4414ef8a72e6367bf813701b95e3d316e3dfbdb415562c4 暴力破解模块（ARM 架构） 文件哈希（SHA-256） c7886535973fd9911f8979355eae5f5abef29a89039c179842385cc574dfa166 暴力破解模块（ARM64 架构） 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025 年 12 月 30 日消息，节日期间两所法国高校遭遇网络攻击，数千名学生的数据据称已被窃取。里尔大学与格勒诺布尔高等管理学院本周成为攻击目标，其校名于 12 月 29 日出现在某臭名昭著的黑客论坛上，或致数千名学生信息面临泄露风险。这波攻击使本就遭遇内政部网络攻击、正处于网络安全修复期的法国雪上加霜，同时也呼应了美国多所顶尖高校今年频发的网络安全事件。 一、两所院校数据泄露详情 格勒诺布尔高等管理学院 网名为 CZX 的攻击者称于 11 月入侵该校系统，窃取 1.35GB 数据，波及超 40 万人（该校实际在校学生 7000 余人，数据含学生及外部订阅者信息）。 泄露数据包括姓名、邮箱、电话、住址、学术与职业背景、活动参与情况、订阅偏好、IP 地址等，来源疑似学校客户关系管理或营销系统。该攻击者此前也曾宣称入侵过其他法国企业与机构。 里尔大学 知名黑客组织 “LAPSUS$ 团伙” 宣称入侵这所拥有 8 万余名学生的法国顶尖高校，窃取近 2000 名学生数据。 泄露信息包含学生校内身份标识（NIP）、姓名、出生日期、住址、个人及工作邮箱、电话与行政数据等。研究人员指出，出生日期与其他个人信息一同泄露，大幅提升了身份被盗用的风险。 二、黑客组织背景与攻击关联 **LAPSUS\(团伙**：今年与Scattered Spider、Shiny Hunters合并为Scattered LAPSUS$ Hunters。6 月被谷歌威胁研究人员锁定，涉嫌攻击 Salesforce 及帕洛阿尔托网络、Cloudflare 等多家知名网络安全企业，还宣称入侵过戴尔、威瑞森等公司，之后虽宣称 “达成目标” 停止活动，但研究人员认为这是其在成员被捕后进行重组的策略。 近期法国其他网络攻击事件：两周前法国内政部遭网络攻击，已确认并逮捕一名嫌疑人；11 月欧洲光纤通信公司法国分部的工单管理平台被入侵，部分客户信息被盗。 三、欧美高校网络安全态势 美国哥伦比亚大学、耶鲁大学、哈佛大学今年均遭网络攻击。10 月，黑客组织 Cl0p 利用甲骨文电子商务套件的零日漏洞入侵哈佛大学，泄露 1.4TB 数据，含校内支付系统日志、内部工具源代码等；8 月哥伦比亚大学数据泄露，波及近 90 万人；4 月耶鲁大学合作酒店集团遭勒索软件攻击，私密数据被窃。 研究人员指出，此类高校攻击多以核心个人联系信息泄露为特征，而里尔大学因泄露出生日期，其风险等级更高，学生面临身份盗窃等威胁。目前相关高校暂未回应媒体问询。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客“Lovely”宣称攻破康泰纳仕系统，泄露 230 万《WIRED》订阅者数据，并威胁将曝光旗下其他品牌多达 4000 万用户的信息。 据称，这批数据于 2025 年 12 月 20 日被发布在新兴黑客论坛 Breach Stars 上，附带下载链接与文件哈希值。黑客指责《WIRED》母公司康泰纳仕在收到多次安全警告后仍置之不理。 Lovely 在论坛留言中写道： “康泰纳仕根本不在乎用户数据安全。我们花了一个月时间才说服他们修复网站漏洞。接下来几周，我们会陆续泄露超过 4000 万用户的数据，敬请期待！” 起初，Lovely 假扮安全研究员，声称希望协助康泰纳仕进行负责任的漏洞披露；但随后承认已下载完整数据库并威胁公开，误导了 DataBreaches.net。 黑客声称已侵入康泰纳仕的集中式账户体系，覆盖旗下《纽约客》《WIRED》《Vogue》《GQ》等主要品牌，总计逾 4000 万用户，并扬言将分批公开这些用户的个人资料。 Hackread 报道称，泄露文件中还包含近 950 万条标记为“NIL”的记录以及若干国际小型子集，进一步佐证了“统一身份基础设施”的存在。 被泄信息包括：姓名、邮箱地址、用户 ID、显示昵称、账户创建与更新时间戳，部分记录还含最后登录时间。 数据集中既有系统生成的测试邮箱，也有真实个人邮箱，确认最早可追溯到 2011 年的真实用户账户；创建时间跨度为 2011–2022 年，登录活跃度不一。 未涉及密码或支付信息。 Hudson Rock 联合创始人 Alon Gal 通过将泄露记录与窃密木马日志比对，验证了数据真实性。 “Hudson Rock 利用窃密木马感染数据，确认这 230 万条《WIRED》记录属实。更令人担忧的是，黑客声称即将公开一份包含 4000 万行的康泰纳仕更大规模数据库，预计波及《Vogue》《纽约客》《名利场》等知名刊物。”公司官网 Infostealers 发布的报告指出。 “我们验证发现，当前数据真实且新鲜，最新条目截至 2025 年 9 月 8 日。” Gal 强调，超 10.2 万条家庭地址的泄露已带来严重风险，若更大规模数据发布，可能引发人肉搜索、报假警（swatting）以及利用康泰纳仕品牌背景实施精准鱼叉式钓鱼攻击。 目前，该数据集已被收录进“Have I Been Pwned”泄露查询库。   消息来源： securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利纺织行业的巨头企业Fulgar近日成为勒索软件攻击的受害者，这家公司为H&M、阿迪达斯、Calzedonia和Wolford等多个知名品牌供应原材料。 实施此次攻击的黑客组织RansomHouse已在其暗网泄露站点上将Fulgar列为受害者。攻击者的帖子于11月12日公开，但该组织声称自10月31日起就已持有加密数据。 在其暗网勒索站点上，RansomHouse留下了一条威胁信息：”尊敬的Fulgar S.p.A.管理层，我们确信诸位绝不希望贵公司的机密数据被泄露或出售给第三方。我们强烈建议你们开始着手解决此事。” 这是勒索软件团伙常用的敲诈手段，如果企业拒绝支付赎金，他们通常会将被盗数据在网上公开或在地下论坛出售。 Fulgar公司在其官网发布通知，确认于2025年11月3日遭遇了针对其”全国范围内”IT系统的网络犯罪攻击。声明中称：”作为预防措施，并根据公司内部安全程序，在识别攻击后已立即关闭意大利的所有IT系统。” 公司表示，虽然不排除存在个人数据外泄的可能性，但目前尚未”单独识别出”任何此类数据。 威胁行为者提供了数据样本以支持其主张。这些数据包括内部文件和电子表格，详细列出了银行账户余额、与其他公司及政府机构的通信记录以及发票。 攻击者可以利用窃取的数据，针对公司发起高度定制化的网络钓鱼活动，利用内部信息欺骗员工或合作伙伴，以获取更敏感的信息。除了网络安全威胁，内部商业信息的任何曝光都将使Fulgar处于战略劣势，竞争对手可能获取其运营、客户或定价结构方面的宝贵信息，从而削弱其市场优势。 Fulgar公司成立于1970年代末，已成为合成纱线领域的全球领导者，专注于聚酰胺66和包覆弹性纤维的生产。这些纱线是袜类、内衣、运动服和技术面料的骨干材料。该公司运营着欧洲最大的纺纱厂，并在意大利、欧洲和土耳其分销莱卡®和Elaspan®品牌产品。其业务范围远超出意大利本土，在斯里兰卡和土耳其均有业务。 RansomHouse并非勒索软件领域的新手，该团伙最早于2021年12月进入公众视野。根据Cybernews的暗网追踪器Ransomlooker的数据，该团伙已在其泄露站点上列出了超过148名受害者。 今年5月，RansomHouse声称已入侵了德国最大、全球排名前25的啤酒厂之一Oettinger。在据称被盗的数据中，包含2022年至2025年的内部文件。 该团伙此前曾在西班牙制造混乱，当时他们攻击了巴塞罗那医院诊所，迫使医护人员取消了数千个医疗预约。根据美国网络当局2024年的一份联合咨询报告，已确认有伊朗行为体直接与勒索软件 affiliates 合作，以换取一定比例的赎金，而Ransomhouse是当局识别的参与者之一。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年初以来，麒麟勒索软件组织每月声称入侵超过40名受害者，其数据泄露网站上的帖子数量在6月份达到了100例的高峰。 根据思科Talos汇编的数据，美国、加拿大、英国、法国和德国是受麒麟影响最严重的国家。这些攻击主要针对制造业（23%）、专业和科学服务（18%）以及批发贸易（10%）等领域。 麒麟附属组织发起的攻击可能利用了暗网上泄露的管理凭证，通过VPN接口进行初始访问，随后对域控制器和成功入侵的端点执行RDP连接。 在下一阶段，攻击者进行了系统侦察和网络发现操作以绘制基础设施地图，并执行了Mimikatz、WebBrowserPassView.exe、BypassCredGuard.exe和SharpDecryptPwd等工具，以促进从各种应用程序中获取凭证，并使用Visual Basic脚本将数据外泄到外部SMTP服务器。 Talos表示：”通过Mimikatz执行的命令针对一系列敏感数据和系统功能，包括清除Windows事件日志、启用SeDebugPrivilege、从Chrome的SQLite数据库提取保存的密码、恢复之前登录的凭证，以及获取与RDP、SSH和Citrix相关的凭证和配置数据。” 进一步分析发现，威胁行为者使用mspaint.exe、notepad.exe和iexplore.exe来检查文件中的敏感信息，以及使用名为Cyberduck的合法工具将感兴趣的文件传输到远程服务器，同时掩盖恶意活动。 研究发现，被盗凭证使得攻击者能够进行权限提升和横向移动，他们滥用提升后的访问权限来安装多种远程监控和管理（RMM）工具，例如AnyDesk、Chrome Remote Desktop、Distant Desktop、GoToDesk、QuickAssist和ScreenConnect。Talos表示无法确定这些程序是否用于横向移动。 为了规避检测，该攻击链包括执行PowerShell命令来禁用AMSI、关闭TLS证书验证并启用Restricted Admin，此外还运行dark-kill和HRSword等工具来终止安全软件[citation:1。主机上还部署了Cobalt Strike和SystemBC以实现持久远程访问。 感染的最终阶段是启动麒麟勒索软件，该软件会加密文件并在每个加密文件夹中投放赎金记录，但在之前会清除事件日志并删除由Windows卷影复制服务（VSS）维护的所有卷影副本。 这一发现与一起复杂的麒麟攻击事件相吻合，该攻击将其Linux勒索软件变体部署在Windows系统上，并将其与合法的IT工具和自带易受攻击驱动（BYOVD）技术结合使用，以绕过安全屏障。 趋势科技表示：”攻击者滥用了合法工具，特别是通过Atera Networks的远程监控和管理（RMM）平台安装AnyDesk，并使用ScreenConnect执行命令。他们滥用Splashtop来最终执行勒索软件。” “他们使用专门的凭证提取工具专门针对Veeam备份基础设施，在部署勒索软件有效负载之前，系统地从多个备份数据库获取凭证，以破坏组织的灾难恢复能力。” 除了使用有效账户入侵目标网络外，部分攻击还采用了鱼叉式网络钓鱼和托管在Cloudflare R2基础设施上的ClickFix式虚假CAPTCHA页面，来触发恶意有效负载的执行。据评估，这些页面会投放获取初始访问权限所必需的信息窃取程序以收集凭证。 攻击者采取的一些关键步骤如下： 部署SOCKS代理DLL以促进远程访问和命令执行 滥用ScreenConnect的远程管理功能来执行发现命令，并运行网络扫描工具以识别潜在的横向移动目标 针对Veeam备份基础设施以获取凭证 使用”eskle.sys”驱动程序作为BYOVD攻击的一部分来禁用安全解决方案、终止进程并逃避检测 部署PuTTY SSH客户端以促进向Linux系统的横向移动 使用跨多个系统目录的SOCKS代理实例，通过COROXY后门混淆命令与控制（C2）流量 使用WinSCP安全传输Linux勒索软件二进制文件到Windows系统 使用Splashtop Remote的管理服务（SRManager.exe）直接在Windows系统上执行Linux勒索软件二进制文件 趋势科技研究人员指出：”Linux勒索软件二进制文件提供了跨平台能力，使攻击者能够使用单个有效负载影响环境中的Windows和Linux系统。” “更新的样本加入了Nutanix AHV检测功能，将目标扩展至超融合基础设施平台。这证明了威胁行为者除了传统的VMware部署之外，也对现代企业虚拟化环境的适应。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯高级持续性威胁（APT）组织 COLDRIVER 被指控发起新一轮 ClickFix 式攻击，用于投递两种新型“轻量级”恶意软件家族，分别为 BAITSWITCH 和 SIMPLEFIX。 本月早些时候，Zscaler ThreatLabz 发现了这一多阶段 ClickFix 攻击活动。研究人员指出，BAITSWITCH 是一个下载器，最终会投递 SIMPLEFIX ，一种基于 PowerShell 的后门。 COLDRIVER 也被称为 Callisto、Star Blizzard 和 UNC4057，自2019年以来一直被追踪为与俄罗斯相关的威胁行为体，其攻击目标涵盖多个领域。早期，该组织常通过鱼叉式钓鱼诱导受害者进入凭证窃取页面；近年来，他们逐渐开发并使用 SPICA 和 LOSTKEYS 等定制工具，显示出较高的技术成熟度。 该组织使用 ClickFix 战术的情况，早在2025年5月就被 Google 威胁情报组（GTIG）披露。当时他们通过伪造网站的“假验证码验证”界面，诱使受害者执行 PowerShell 命令，从而下载 LOSTKEYS 的 Visual Basic 脚本。 Zscaler 安全研究员 Sudeep Singh 和 Yin Hong Chang 在本周发布的报告中表示：“持续利用 ClickFix 表明它作为感染途径依然高效，即使这种方法既不新颖，也不算特别先进。” 最新攻击链沿用了相同模式：诱骗毫无防备的用户在 Windows 运行对话框中输入恶意 DLL，以完成伪造的验证码检查。这个 DLL（即 BAITSWITCH）会连接到攻击者控制的域名 captchanom[.]top，从中下载 SIMPLEFIX 后门，同时向受害者展示托管在 Google Drive 上的诱饵文档。 此外，该恶意程序还会向同一服务器发送多次 HTTP 请求，用于传送系统信息、接收建立持久化的命令、将加密载荷存储在 Windows 注册表中、下载 PowerShell 启动器，并清除运行对话框中最近执行的命令，以此抹除 ClickFix 攻击的痕迹。 下载的 PowerShell 启动器随后会连接到外部服务器 southprovesolutions[.]com，下载 SIMPLEFIX，再与指挥控制（C2）服务器建立通信，执行远程 URL 上托管的 PowerShell 脚本、命令及二进制文件。 其中一段通过 SIMPLEFIX 执行的 PowerShell 脚本会窃取指定目录下、预设文件类型清单中的信息。这些扫描目录和文件扩展名与 LOSTKEYS 有部分重叠。 Zscaler 表示：“COLDRIVER APT组织长期以来以西方地区的非政府组织成员、人权维护者、智库研究人员，以及流亡在外的俄罗斯公民为主要攻击对象。本次活动的受害者画像与其一贯的攻击目标高度一致。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国特勤局在纽约联合国总部附近查获一个秘密通信网络，收缴 10 万张 SIM 卡与 300 台服务器。该网络具备每分钟发送 3000 万条短信的能力，可瘫痪手机信号塔并实施大规模监控，引发公众对移动网络安全的新担忧。 美国特勤局发布的公告中写道：“近日，我们捣毁了一个分布在纽约都会区的电子设备网络，这些设备被用于实施多起针对美国高级政府官员的电信相关威胁，对特勤局的安保行动构成直接威胁。” 公告还指出：“此次安全情报调查行动中，工作人员在多个地点发现了 300 余台共置的 SIM 服务器，以及 10 万张 SIM 卡。” 特工人员在查获通信设备的同时，还发现了非法枪支、电脑、手机及 80 克可卡因。可见，目前网络犯罪活动与传统犯罪组织之间的界限正逐渐模糊。 情报专家推测，该网络或与 “国家行为体”的行动有关。 《纽约时报》报道称：“调查人员表示，此次查获的设备库与当时正在召开的联合国大会虽无直接关联，但其所处位置及潜在威胁引起了我们的担忧。一名官员指出，特勤局此前从未发现过规模如此庞大的非法通信网络，部分专家怀疑此次有国家行为体参与其中。” 此次被捣毁的设备库是一个完整的“平行通信网络”，由成架的服务器与 10 万余张 SIM 卡组成，可对通信运营商发起流量攻击、破坏服务，或发起大规模钓鱼攻击。专家警告，除造成通信中断外，该网络还可能被用于间谍活动、窃听或追踪政府官员。 对SIM卡的初步分析显示，其与某外国及包括犯罪集团在内的多个犯罪组织存在关联，凸显出国家级行为体与网络犯罪团伙之间的勾结。 美国特勤局在公告中进一步表示：“目前对这些设备的司法鉴定仍在进行中，但据初步分析显示，国家级威胁行为体与部分已被联邦执法部门关注的人员之间存在手机通信联系。” 前白宫网络安全官员、现任FTI咨询公司全球网络安全负责人安东尼·J·费兰特（Anthony J. Ferrante）向《纽约时报》表示：“这个网络技术复杂且投入高昂，我的直觉是，它被用于间谍活动。” 研究人员认为，仅有“俄罗斯、以色列等少数国家” 具备搭建此类秘密通信网络的资源与能力。 尽管此次发现的网络规模前所未有，但通信网络被非法利用或劫持的情况并非首次出现： 2017 年，华盛顿特区的安全专家在白宫、国会山等敏感区域附近检测到多台 “IMSI 捕集器”（一种模拟合法手机信号塔以拦截通话和短信的设备）。 2021 年，墨西哥当局捣毁了由贩毒集团运营的平行电信网络，其中包括定制信号塔和中继系统，这些设备被用于协调贩毒活动，且不受正规通信运营商的监管。 此次事件表明，通信网络可被“武器化”利用。瘫痪手机网络、实施间谍活动、劫持数据等威胁真实存在，且会对安全防护造成影响。在联合国总部附近发现此类网络，也凸显出联合国大会等重大活动期间的安全风险，每分钟数百万条信息的传输量与匿名通信渠道，都可能被用于间谍活动。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 芬兰国家检察署周一宣布，已对油轮Eagle S的三名高级船员提出严重刑事损害和严重干扰通信系统的指控。该船悬挂库克群岛旗帜，被指控蓄意破坏波罗的海关键海底电缆。 被指控的三名船员包括船长、大副和二副，其姓名未公开。该船据信属于俄罗斯“影子舰队”——该舰队通过方便旗和不透明所有权结构掩盖与俄罗斯的联系，用于运输受制裁货物（尤其是石油）。 芬兰当局于2024年12月登船调查，怀疑该船拖锚导致连接芬兰与爱沙尼亚的Estlink-2电力电缆及通信基础设施受损。最新调查显示，该船涉嫌通过拖锚在海底形成约90公里长的痕迹，造成五条海底电缆损坏。 检方声明：“除导致芬兰境内电缆停用外，仅维修费用已造成电缆所有者至少6000万欧元（约6960万美元）的直接损失。破坏高传输容量的电力与通信电缆，还对芬兰能源供应及通信安全构成严重威胁，尽管通过备用线路保障了服务运行。” 检方称嫌疑人否认指控，并声称损害发生在芬兰领海外，因此芬兰无管辖权。今年1月，波罗的海沿岸北约盟国召开会议应对该地区关键基础设施遭蓄意破坏事件激增问题，警告将“增强北约在波罗的海的军事存在”。与会方当时强调：“俄罗斯使用所谓影子舰队的行为，对波罗的海地区乃至全球的海事安全与环境构成特殊威胁。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种名为“幽灵呼叫”（Ghost Calls）的新型攻击后命令与控制（C2）规避技术，通过滥用Zoom和Microsoft Teams等会议应用的TURN服务器，将流量隧道化传输至受信任的基础设施中。 幽灵呼叫技术利用合法凭证、WebRTC及定制工具，在不依赖漏洞利用的情况下，绕过了大多数现有防御和反滥用措施。 该新战术由Praetorian安全研究员Adam Crosser在BlackHat USA大会上公布，并强调红队（Red Teams）在执行渗透模拟演习时可使用该技术。 “我们利用专为实时、低延迟通信设计的网络会议协议，这些协议通过作为天然流量中继的全球分布式媒体服务器运行，”演示文稿摘要中写道。“这种方法使操作者能够将交互式C2会话融入正常的企业流量模式中，使其看起来就像临时加入了一个在线会议。” 幽灵呼叫如何运作 TURN（Traversal Using Relays around NAT）是一种网络协议，常见于视频通话、VoIP和WebRTC服务中。当设备位于NAT防火墙后无法直接连接时，它可帮助设备相互通信。 当Zoom或Teams客户端加入会议时，它会收到临时TURN凭证。幽灵呼叫技术可劫持这些凭证，在攻击者与受害者之间建立基于TURN的WebRTC隧道。该隧道可用于代理任意数据，或将C2流量伪装成通过Zoom或Teams使用的受信任基础设施传输的常规视频会议流量。 由于流量通过企业广泛使用的合法域名和IP地址路由，恶意流量可绕过防火墙、代理和TLS检测。此外，WebRTC流量是加密的，因此隐蔽性极佳。通过滥用这些工具，攻击者既能避免暴露自身域名和基础设施，又能享受高性能、可靠的连接，以及通过443端口同时使用UDP和TCP的适应性优势。相比之下，传统C2机制速度慢、特征明显，且通常缺乏支持VNC（虚拟网络计算）操作所需的实时交换能力。 TURNt工具 Crosser的研究最终开发出一款名为“TURNt”的自定义开源工具（可在GitHub获取），该工具可利用Zoom和Teams提供的WebRTC TURN服务器对C2流量进行隧道化传输。 TURNt包含两个组件：运行在攻击者端的控制器（Controller）和部署在已入侵主机上的中继器（Relay）。控制器运行一个SOCKS代理服务器，用于接收通过TURN隧道传输的连接。中继器使用TURN凭证回连控制器，并通过提供商的TURN服务器建立WebRTC数据通道。 TURNt可执行SOCKS代理、本地或远程端口转发、数据窃取，并支持隐蔽的VNC流量隧道传输。 尽管幽灵呼叫技术并未利用Zoom或Microsoft Teams的任何漏洞，BleepingComputer已联系两家供应商，询问其是否计划引入额外保障措施以降低该技术的可行性。将在收到任一方回复后更新本文。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文