HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）向网络防御人员发出警告，与伊朗情报与安全部（MOIS）有关联的黑客正利用Telegram进行恶意软件攻击。 FBI在周五发布的紧急警报中指出，Telegram被用作恶意软件的命令控制（C2）基础设施，攻击目标包括批评伊朗政府的记者、伊朗异见人士及全球各类反对派组织。 “鉴于中东地区当前的地缘政治形势和冲突态势，FBI特此强调MOIS的网络活动，”该局表示。 “该恶意软件导致情报收集、数据泄露及针对目标方的声誉损害。FBI发布此信息旨在最大限度提高对伊朗恶意网络活动的认知，并提供缓解策略以降低被入侵风险。” 该局将这些攻击与伊朗关联的亲巴勒斯坦Handala黑客组织（又称Handala Hack Team、Hatef、Hamsa），以及伊朗伊斯兰革命卫队（IRGC）支持的国家资助威胁组织Homeland Justice联系起来。 在这些攻击中，伊朗黑客利用社交工程感染目标设备，植入Windows恶意软件，使其能够从受感染计算机外泄截图或文件。 “不法分子会利用任何可用渠道控制恶意软件，包括其他通讯工具、电子邮件甚至直接网络连接，”Telegram发言人在文章发表后告诉BleepingComputer。”虽然使用Telegram控制软件并无特殊之处，但平台审核人员会例行删除任何涉及恶意软件的账户。” 该警告发布前一天，FBI刚刚查封了四个域名：handala-redwanted[.]to、handala-hack[.]to、justicehomeland[.]org和karmabelow80[.]org。 这些明网域名对应的网站被Handala、Homeland Justice威胁组织，以及被追踪为Karma Below的第三个威胁行为体用于攻击活动，并泄露在美国及全球网络攻击中窃取的敏感文件和数据。 这些行动紧随Handala对美国医疗巨头Stryker的网络攻击之后——该组织在入侵Windows域管理员账户并新建全局管理员账户后，利用Microsoft Intune擦除命令对约8万台设备（包括公司管理的员工个人电脑和移动设备）执行了出厂重置。 上周，FBI还警告称，与俄罗斯情报部门关联的威胁行为体正针对Signal和WhatsApp用户发起钓鱼活动，已入侵数千个账户。 “该活动瞄准高情报价值人员，如现任及前任美国政府官员、军事人员、政治人物和记者，”FBI在荷兰和法国网络安全机构描述类似账户劫持行动后发布的公共服务公告中表示。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 BitSight 报告，朗多克斯（RondoDox）僵尸网络的开发者大幅扩充了其攻击漏洞列表，且在攻击方式上更具针对性。 朗多克斯僵尸网络最早于去年下半年被详细披露，至少从 2025 年 3 月起就已活跃，当时安全研究人员观察到与之相关的首次攻击尝试。 自 2025 年 4 月起，该僵尸网络的运营者开始进行系统性的漏洞扫描，大多采用 “霰弹枪” 式的方法来入侵设备。 到 10 月时，它已针对 56 个漏洞发起攻击，其中包括一些未分配 CVE 编号的漏洞，12 月，有人发现它在攻击 React2Shell。 如今，BitSight 表示，由于其开发者密切关注漏洞披露信息，在漏洞被分配 CVE 编号之前就展开攻击，该僵尸网络的攻击漏洞列表已扩充至 174 个不同的漏洞。 此外，朗多克斯僵尸网络已将其攻击策略转变为更具针对性的方式。不再像之前观察到的 “霰弹枪” 方法那样，对同一设备发动多种攻击，而是聚焦于那些更有可能导致感染的特定漏洞。 抵御人工智能威胁 朗多克斯僵尸网络与 Mirai 有诸多相似之处，它也以瞄准弱密码和未经清理的输入来获取初始访问权限而闻名。它与 Mirai 的不同之处在于，其重点在于发动分布式拒绝服务（DDoS）攻击，而非扫描和感染更多设备。 为扩大僵尸网络规模，朗多克斯的运营者利用自身基础设施在互联网上扫描易受攻击的设备，然后部署可躲避检测的植入程序，清除其他恶意软件，找到合适的目录来放置主二进制文件并执行。 BitSight 对该僵尸网络的调查显示，它使用了二十多个 IP 地址用于设备攻击、有效载荷分发和僵尸网络管理，其中包括可能属于受感染系统的住宅 IP。 朗多克斯的运营者不断在其攻击漏洞列表中添加和删除漏洞，曾观察到他们在一天内使用多达 49 个漏洞。然而，大多数漏洞很快就被弃用。 BitSight 指出：“在研究每个漏洞的使用频率时，出现了明显的长尾趋势。虽然平均每个漏洞使用 18 天，但在已识别的 174 个漏洞中，近一半（84 个，占 48%）仅被使用一天。这表明他们尝试各种漏洞，并根据每个漏洞的成功率采取行动。” 据这家网络安全公司称，该僵尸网络的运营者似乎密切关注与漏洞相关的发布信息，至少有一次，他们在漏洞公开披露前两天就利用了该安全缺陷。 BitSight 称，尽管他们紧跟新漏洞信息，但运营者未能正确实施针对这些漏洞的可用攻击手段。 这家网络安全公司还指出，该僵尸网络似乎并未使用 “加载器即服务” 来进行分发，且之前有关朗多克斯具备 P2P 功能的报道似乎并不准确。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦调查局（FBI）正在向安装了含恶意软件 Steam 游戏的玩家征集信息，这是针对上传至该游戏平台的 8 款恶意游戏所开展调查的一部分。 在 FBI 西雅图分局今日发布的一则通知中，该机构表示，正在试图确认 2024 年 5 月至 2026 年 1 月期间，在 Steam 上安装了其中一款恶意游戏后受到影响的人员。 通知中写道：“FBI 西雅图分局正在寻找可能安装了嵌入恶意软件 Steam 游戏的受害者。FBI 认为，威胁行为者主要针对的是 2024 年 5 月至 2026 年 1 月这一时间段内的用户。” “在调查中，已确定多款游戏存在问题，包括《方块爆破手》（BlockBlasters）、《化学世界》（Chemia）、《达什宇宙 / 达什第一人称射击》（Dashverse/DashFPS）、《小灯神》（Lampy）、《露娜拉》（Lunara）、《海盗加密》（PirateFi）和《托肯诺瓦》（Tokenova）。” “如果您和 / 或您监护的未成年人因安装这些游戏之一而成为受害者，或者拥有与此次调查相关的信息，请填写这份简短表格。” 调查问卷显示，FBI 关注的重点是安装恶意软件后的加密货币盗窃和账户劫持情况，询问有关加密货币交易、被盗用账户及被盗资金的问题。 该表格还要求提供与推广这些游戏的人员的通信截图，这有助于调查人员追踪被盗的加密货币，并追查到传播恶意软件的人。 FBI 向 BleepingComputer 表示：“法律要求 FBI 确认其调查的联邦犯罪受害者身份。受害者可能有资格根据联邦和 / 或州法律获得某些服务、赔偿并享有相应权利。所有受害者身份都将予以保密。” “2026 年 3 月 12 日发出的大规模通知中列出的网站和电子邮件是 FBI 官方授权的。目前，FBI 无法提供超出电子邮件通知中网站所提及信息之外的具体细节。” FBI 还呼吁任何知晓可能受影响人员的人，鼓励他们向 Steam_Malware@fbi.gov 提交问询。 BleepingComputer 也向 Valve 公司发送了有关此次调查的问题，但未收到回复。 Steam 游戏中隐藏的恶意软件 在过去两年里，Steam 平台上发现的多款恶意游戏传播了窃取信息的恶意软件，这些恶意软件旨在从玩家设备中获取凭证、加密货币钱包及其他敏感数据。 其中最引人注目的案例之一涉及《方块爆破手》，这是一款 2024 年 7 月至 9 月期间在 Steam 平台上提供的免费 2D 平台游戏。该游戏最初上传至 Steam 时是干净的程序，但后来被添加了加密货币窃取恶意软件。 这款 Steam 恶意游戏的情况是由视频游戏主播雷沃・普拉夫尼克斯（拉斯特兰 TV，Raivo Plavnieks/RastalandTV）在一次直播中揭露的，当时他正在为癌症治疗筹款。 这位主播下载了这款经 Steam 验证的游戏后，称其加密货币钱包损失了超过 3.2 万美元。 区块链调查员扎克 XBT（ZachXBT）后来估计，攻击者从 261 个 Steam 账户中窃取了约 15 万美元。网络安全研究员 VX-Underground 随后报告称，受害者数量高达 478 人。 在恶意生存建造游戏《化学世界》中，一个名为 EncryptHub 的威胁行为者添加了 HijackLoader 恶意软件，该软件会下载 Vidar 信息窃取器。后来发现，这款游戏还安装了 EncryptHub 定制的 Fickle Stealer 恶意软件，该软件会窃取凭证、浏览器数据、Cookie 和加密货币钱包信息。 《海盗加密》游戏也传播了 Vidar 信息窃取器，2025 年 2 月在 Steam 平台上存在了约一周时间。在该游戏从 Steam 下架前，可能有多达 1500 名用户下载了它。 Steam 随后警告启动该游戏的玩家，其电脑上可能已执行恶意文件，并建议他们运行杀毒扫描、检查已安装软件，并考虑重新安装操作系统。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Payload 勒索软件组织宣称已入侵巴林一家主要医疗机构 —— 巴林皇家医院（RBH）。 Payload 勒索软件组织声称侵入了巴林皇家医院，并窃取了 110GB 的数据。该勒索软件团伙将这家医疗机构列入其暗网数据泄露网站，并公布了疑似被攻击系统的图片，以此作为攻击证据。 该组织威胁称，如果在 3 月 23 日前未收到赎金，就会公开所窃取的数据。 巴林皇家医院成立于 2011 年，是一家拥有 70 张床位的医疗机构，提供住院和门诊服务，包括手术、产科护理和诊断等。其服务对象来自巴林及阿曼、卡塔尔、沙特阿拉伯和阿联酋等周边国家。 Payload 勒索软件是一个相对较新的网络犯罪活动，采用双重勒索模式，即结合数据窃取和文件加密手段向受害者施压。该组织主要针对新兴市场中房地产和物流等行业的大中型企业。从技术层面看，这款勒索软件使用 ChaCha20 算法进行文件加密，Curve25519 算法进行密钥交换，同时会删除卷影副本并禁用安全工具。 与许多现代犯罪团伙一样，Payload 很可能是以勒索软件即服务的模式运营，并设有一个暗网泄露网站，用于公布未支付赎金受害者的数据。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款疑似由人工智能（AI）生成的恶意软件的详细信息，该软件代号为 Slopoly，由以经济利益为动机的威胁行为者 Hive0163 使用。 IBM X-Force 研究员 Golo Mühr 在提前提供给 The Hacker News 的报告中表示：“尽管 Slopoly 这类 AI 生成的恶意软件目前仍相对普通，但它表明威胁行为者可以多么轻松地利用 AI 来开发新的恶意软件框架，所需时间仅为过去的一小部分。” Hive0163 的活动以大规模数据窃取和勒索软件勒索为驱动。该电子犯罪团伙主要与一系列恶意工具相关联，包括 NodeSnake、Interlock RAT、JunkFiction loader 和 Interlock ransomware。 在该公司 2026 年初观察到的一起勒索软件攻击中，威胁行为者在漏洞利用后阶段部署了 Slopoly，以便在受感染服务器上维持超过一周的持久访问权限。 Slopoly 的发现可追溯至一个很可能通过构建器部署的 PowerShell 脚本，该脚本还通过名为 “Runtime Broker” 的计划任务建立了持久访问权限。 有迹象表明，该恶意软件是在一个尚未确定的大语言模型（LLM）的帮助下开发的。这些迹象包括存在大量注释、日志记录、错误处理和命名准确的变量。注释还将该脚本描述为 “Polymorphic C2 Persistence Client”，表明它是一个命令与控制（C2）框架的一部分。 Mühr 指出：“不过，该脚本不具备任何高级技术，几乎不能被视为多态的，因为它无法在执行过程中修改自身代码。但构建器可能会生成具有不同随机配置值和函数名的新客户端，这在恶意软件构建器中是标准做法。” 该 PowerShell 脚本充当一个功能完整的后门，每 30 秒向 C2 服务器发送一次包含系统信息的心跳消息，每 50 秒轮询一次新命令，通过 “cmd.exe” 执行该命令，并将结果传回服务器。目前尚不清楚在受感染网络上运行的命令的具体性质。 据称，此次攻击本身利用了 ClickFix 社会工程策略，诱骗受害者运行一个 PowerShell 命令，该命令随后下载了 NodeSnake—— 一款被归因于 Hive0163 的已知恶意软件。 为第一阶段组件，NodeSnake 旨在运行 shell 命令、建立持久访问权限，并检索和启动一个更广泛的恶意软件框架，即 Interlock RAT。 Hive0163 有使用 ClickFix 和恶意广告进行初始访问的记录。该威胁行为者用来建立立足点的另一种方法是依赖初始访问代理，例如 TA569（又名 SocGholish）和 TAG-124（又名 KongTuke 和 LandUpdate808）。 该框架在 PowerShell、PHP、C/C++、Java 和 JavaScript 中有多种实现，以同时支持 Windows 和 Linux。与 NodeSnake 一样，它也与远程服务器通信以获取命令，这些命令允许它启动 SOCKS5 代理隧道、在受感染机器上生成反向 shell，并交付更多载荷，例如 Interlock ransomware 和 Slopoly。 Slopoly 的出现进一步扩大了 AI 辅助恶意软件的名单，该名单还包括 VoidLink 和 PromptSpy，凸显了不良行为者如何利用该技术加速恶意软件开发并扩大其活动规模。 IBM X-Force 表示：“从技术角度来看，AI 生成的恶意软件的引入并不构成新的或复杂的威胁。它通过减少操作者开发和执行攻击所需的时间，极大地增强了威胁行为者的能力。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款针对巴西用户的新型银行恶意软件的详细信息，该软件用 Rust 编写，与拉丁美洲网络犯罪生态系统中其他已知的基于 Delphi 的恶意软件家族存在显著差异。 这款旨在感染 Windows 系统的恶意软件于上月首次被发现，巴西网络安全公司 ZenoX 将其代号命名为 VENON。 VENON 的特别之处在于，它与针对该地区的成熟银行木马（如 Grandoreiro、Mekotio 和 Coyote）具有一致的行为，特别是在银行覆盖层逻辑、活动窗口监控和快捷方式（LNK）劫持机制等功能方面。 该恶意软件尚未被归因于任何此前记录的组织或活动。然而，可追溯至 2026 年 1 月的早期版本样本被发现暴露了恶意软件作者开发环境的完整路径。这些路径反复引用 Windows 机器用户名 “byst4”（例如 “C:\Users\byst4…”）。 ZenoX 表示：“Rust 代码结构呈现出的模式表明，开发者熟悉现有拉丁美洲银行木马的功能，但使用生成式 AI 在 Rust 中重写并扩展了这些功能 —— 要达到所观察到的复杂程度，使用 Rust 需要丰富的技术经验。” VENON 通过复杂的感染链传播，利用 DLL 侧加载技术启动恶意 DLL。据推测，该活动利用 ClickFix 等社会工程策略，诱骗用户通过 PowerShell 脚本下载包含载荷的 ZIP 压缩包。 DLL 执行后，会在实际发起任何恶意操作前执行九种规避技术，包括反沙箱检查、间接系统调用、ETW 绕过、AMSI 绕过。它还会访问 Google Cloud Storage URL 以获取配置、安装计划任务，并与命令与控制（C2）服务器建立 WebSocket 连接。 从 DLL 中还提取出两个 Visual Basic Script 代码块，它们实现了专门针对 Itaú 银行应用的快捷方式劫持机制。这些组件通过将合法系统快捷方式替换为篡改版本来运作，将受害者重定向至威胁行为者控制的网页。 该攻击还支持卸载步骤以撤销修改，表明操作者可远程控制该活动，将快捷方式恢复至原始状态以掩盖痕迹。 总体而言，这款银行恶意软件通过监控窗口标题和活动浏览器域名，针对 33 家金融机构和数字资产平台，仅在任何目标应用或网站被打开时才会启动，通过提供虚假覆盖层来窃取凭据。 此次披露之际，威胁行为者正利用 WhatsApp 在巴西的普及性，通过该消息平台的桌面网页版分发名为 SORVEPOTEL 的蠕虫。该攻击依赖滥用此前已认证的聊天，直接向受害者发送恶意诱饵，最终导致部署 Maverick、Casbaneiro 或 Astaroth 等银行恶意软件。 Blackpoint Cyber 表示：“通过被劫持的 SORVEPOTEL 会话发送的一条 WhatsApp 消息，就足以将受害者引入多阶段链路，最终导致 Astaroth 植入程序完全在内存中运行。” “本地自动化工具、无监督浏览器驱动程序和用户可写运行时的结合，创造了一个异常宽松的环境，使蠕虫和最终载荷都能以最小阻力建立自身。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 医疗科技巨头史赛克（Stryker）遭擦除式恶意软件攻击，与伊朗关联、支持巴勒斯坦的黑客组织 Handala 宣称对此负责。 史赛克是全球领先医疗科技企业，生产外科、神经技术等多类设备；拥有超 5.3 万名员工，为《财富》500 强企业，2024 年全球销售额达 226 亿美元。 Handala 组织称，攻击中先窃取 50 TB 数据，随后擦除公司网络内数万系统与服务器，迫使史赛克 “遭受前所未有的打击” 并关停系统。 “此次行动中，超 20 万台系统、服务器与移动设备被擦除，50 TB 关键数据被窃取；史赛克在 79 个国家的办事处被迫关停。” 攻击者表示。 美国、爱尔兰、哥斯达黎加、澳大利亚等地自称史赛克员工的人士称，其受管理的 Windows 设备与移动设备在夜间被远程擦除；攻击者还篡改公司 Entra 登录页面，展示 Handala 组织标识。 一名史赛克员工向 BleepingComputer 透露，事件始于 3 月 11 日凌晨，公司移动设备管理系统注册的设备被远程擦除；注册用于工作访问的个人手机也被重置，数据丢失。 公司要求员工从个人设备移除企业管理应用与程序，包括 Intune 公司门户、Teams 与 VPN 客户端。 多名员工反馈，攻击导致内部服务与应用无法访问，部分办公地点因系统不可用，被迫恢复 “纸笔” 办公流程。 受攻击影响，史赛克正开展全球系统恢复工作，《华尔街日报》率先报道此事。 据爱尔兰当地媒体，史赛克告知科克员工：“我们正遭遇严重的全球中断，影响所有连接公司网络的笔记本电脑与系统。” 公司向亚洲员工发送的消息称：“目前尚未确定根本原因，我们正与微软积极协作，将此视为全企业级关键事件处理。” Handala 组织（又称 Handala Hack Team、Hatef、Hamsa）于 2023 年 12 月首次现身，是与伊朗情报与安全部（MOIS）关联的黑客行动组织，以破坏性恶意软件攻击以色列机构，擦除 Windows 与 Linux 设备。 该组织还以窃取受害者系统敏感数据，并在数据泄露门户公开数据著称。 史赛克确认网络攻击 报道发布后，史赛克向美国证券交易委员会提交 8-K 表格，确认遭受影响其整个微软环境的网络攻击。 “2026 年 3 月 11 日，史赛克公司确认发生影响公司部分信息技术系统的网络安全事件，导致公司微软环境全球中断。”8-K 文件显示。 “事件被发现后，公司立即启动网络安全响应计划，在外部顾问与网络安全专家支持下开展内部调查，评估并遏制威胁。” “公司未发现勒索软件或恶意软件迹象，认为事件已得到控制。” 公司表示，系统恢复期间，事件将持续影响工作环境，包括网络系统与业务应用访问；但尚未给出全面恢复的时间线。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被追踪为 APT28 的俄罗斯国家背景黑客组织被观察到使用两款名为 BEARDSHELL 和 COVENANT 的植入程序，对乌克兰军方人员实施长期监视。 ESET 在一份分享给《黑客新闻》的最新报告中称，这两个恶意软件家族自 2024 年 4 月起投入使用。 APT28 也以 Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard（前身为 Strontium）、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy 和 TA422 等代号被追踪，是隶属于俄罗斯联邦军事情报总局（GRU）第 26165 部队的国家级行为体。 该威胁行为者的恶意软件武器库包含 BEARDSHELL 和 COVENANT 等工具，以及另一款代号为 SLIMAGENT 的程序，该程序能够记录键盘输入、捕获屏幕截图并收集剪贴板数据。SLIMAGENT 最早由乌克兰计算机应急响应小组（CERT-UA）于 2025 年 6 月公开披露。 据这家斯洛伐克网络安全公司称，SLIMAGENT 起源于 XAgent—— 这是 APT28 在 2010 年代使用的另一款用于远程控制和数据窃取的植入程序。这一结论基于 SLIMAGENT 与早在 2018 年就被部署在针对两个欧洲国家政府机构攻击中的此前未知样本之间发现的代码相似性。 评估认为，2018 年的样本与 2024 年的 SLIMAGENT 样本均源自 XAgent，ESET 的分析还发现 SLIMAGENT 与 2014 年底在野外检测到的 XAgent 样本在键盘记录功能上存在重叠。 “SLIMAGENT 以 HTML 格式输出间谍日志，其中应用程序名称、记录的按键和窗口名称分别以蓝色、红色和绿色显示。”ESET 表示，“XAgent 键盘记录器也使用相同的配色方案生成 HTML 日志。” 与 SLIMAGENT 一同部署的还有另一款被称为 BEARDSHELL 的后门程序，它能够在受攻陷主机上执行 PowerShell 命令。该程序使用合法的云存储服务 Icedrive 作为命令与控制（C2）服务器。 图片SLIMAGENT（左）与 XAgent（右）代码对比 该恶意软件的一个值得注意的特点是，它使用一种独特的混淆技术，称为不透明谓词（opaque predicate），这种技术同样出现在 XTunnel（又名 X-Tunnel）中 —— 这是 APT28 在 2016 年美国民主党全国委员会（DNC）黑客攻击中使用的一款网络穿透与横向移动工具。该工具为外部 C2 服务器提供安全隧道。 “这种罕见混淆技术的共用，再加上它与 SLIMAGENT 共同部署，使我们高度确信 BEARDSHELL 属于 Sednit 定制武器库的一部分。”ESET 补充道。 该威胁行为者工具套件中的第三款主要组件是 COVENANT，这是一个开源的 .NET 后渗透利用框架，已被深度修改以支持长期间谍活动，并自 2025 年 7 月起实现一种新的基于云的网络协议，滥用 Filen 云存储服务进行 C2 通信。此前，APT28 的 COVENANT 变体曾使用 pCloud（2023 年）和 Koofr（2024-2025 年）。 “这些调整表明 Sednit 开发者对 Covenant 掌握了深厚的专业知识 —— 这款植入程序的官方开发已于 2021 年 4 月停止，可能被防御方认为已不再使用。”ESET 表示，“这一出人意料的行动选择似乎取得了成效：Sednit 已成功依赖 Covenant 数年之久，尤其是针对乌克兰的特定目标。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过一年以来，一名讲俄语的威胁行为者以人力资源（HR）部门为目标，通过恶意软件投放一款名为 BlackSanta 的新型 EDR 杀手。 该攻击活动被描述为 “高度复杂”，结合了社会工程学与高级规避技术，从受攻陷系统中窃取敏感信息。 目前尚不清楚攻击的初始入口，但网络与安全解决方案提供商 Aryaka 的研究人员怀疑，该恶意软件通过鱼叉式钓鱼邮件进行分发。 他们认为，目标被引导下载托管在云存储服务（如 Dropbox）上、伪装成简历的 ISO 镜像文件。 分析的其中一个恶意 ISO 包含四个文件：一个伪装成 PDF 文件的 Windows 快捷方式（.LNK）、一个 PowerShell 脚本、一张图片和一个 .ICO 文件。 ISO 文件内容（来源：Aryaka） 该快捷方式启动 PowerShell 并执行脚本，脚本利用隐写术提取隐藏在图片文件中的数据，并在系统内存中执行。 该代码还会下载一个 ZIP 压缩包，其中包含一个合法的 SumatraPDF 可执行文件和一个恶意 DLL（DWrite.dll），以利用 DLL 侧载技术加载。 解密后的 PowerShell 脚本（来源：Aryaka） 该恶意软件执行系统指纹采集，并将信息发送至命令与控制（C2）服务器，随后执行大量环境检查，若检测到沙箱、虚拟机或调试工具则停止执行。 它还会修改 Windows Defender 设置以削弱主机安全防护，执行磁盘写入测试，然后从 C2 服务器下载更多载荷，通过进程空心化技术在合法进程内执行。 BlackSanta EDR 杀手 该攻击活动投放的一个关键组件是被识别为 BlackSanta EDR 杀手的可执行文件，这是一个在部署恶意载荷前使终端安全解决方案失效的模块。 BlackSanta 为 .dls 和 .sys 文件添加微软 Defender 排除项，并修改注册表值以减少遥测数据和向微软安全云端点的自动样本提交。 研究人员的报告（PDF）指出，BlackSanta 还可屏蔽 Windows 通知，以最小化或完全屏蔽用户警报。BlackSanta 的核心功能是终止安全进程，实现方式如下： ·     枚举正在运行的进程 ·     将进程名与内置的大量杀毒软件、EDR、SIEM 和取证工具列表进行比对 ·     获取匹配的进程 ID ·     使用已加载的驱动在内核层面解锁并终止这些进程 内置列表的部分内容（来源：Aryaka） Aryaka 没有披露此次活动背后的目标组织或威胁行为者相关细节，且未能获取观察案例中使用的最终载荷，因为在其检查时 C2 服务器已无法访问。 研究人员成功识别出同一威胁行为者使用的其他基础设施，并发现了与同一攻击活动相关的多个 IP 地址。他们正是通过这种方式得知，该行动在过去一年中一直在未被察觉的情况下运行。 通过对这些 IP 地址的分析，研究人员发现该恶意软件还会下载 “自带驱动”（BYOD）组件，其中包括 Adlice Software 公司的 RogueKiller 反 Rootkit 驱动 v3.1.0，以及 IObit 公司的 IObitUnlocker.sys v1.2.0.1。 这些驱动已被用于恶意软件行动中，以在受攻陷机器上获得提升权限并压制安全工具。 RogueKiller（truesight.sys）允许操纵内核钩子和内存监控，而 IObitUnlocker.sys 允许绕过文件和进程锁定。这种组合为恶意软件提供了对系统内存和进程的底层访问权限。 Aryaka 研究人员表示，此次活动背后的威胁行为者展现出强大的作战安全能力，并使用上下文感知、隐蔽的感染链部署 BlackSanta EDR 等组件。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种被称为 “Zombie ZIP” 的新技术有助于将载荷隐藏在特制的压缩文件中，以躲避杀毒软件和终端检测与响应（EDR）产品等安全解决方案的检测。 使用 WinRAR 或 7-Zip 等标准工具解压文件时会出现错误或数据损坏。该技术通过操纵 ZIP 文件头，诱骗解析引擎将压缩数据视为未压缩数据。 安全工具不会将该压缩包标记为潜在危险，而是信任文件头，并将文件当作原始文件的副本在 ZIP 容器中进行扫描。 “Zombie ZIP” 技术由 Bombadil Systems 安全研究员 Chris Aziz 发明，他发现该技术可以绕过 VirusTotal 上 51 款杀毒引擎中的 50 款。 “杀毒引擎信任 ZIP 的 Method 字段。当 Method=0（STORED，存储模式）时，它们会将数据作为原始未压缩字节进行扫描。但数据实际上是经过 DEFLATE 压缩的 —— 因此扫描器看到的是压缩后的乱码，无法发现任何特征码。” 该研究员解释道。 威胁行为者可以制作一个忽略文件头的加载器，并按照实际情况处理压缩包：即使用现代 ZIP 文件中标准的 Deflate 算法压缩的数据。 该研究员已在 GitHub 上发布了概念验证（PoC），分享了示例压缩包以及该方法工作原理的更多细节。 研究员表示，要让主流解压工具（如 7-Zip、unzip、WinRAR）报错，必须将用于确保数据完整性的 CRC 值设置为未压缩载荷的校验和。 “但是，一个专门编写的加载器可以忽略声明的压缩方式，并按 DEFLATE 方式解压，从而完美还原载荷。”Aziz 说。 昨日，CERT 协调中心（CERT/CC）发布公告，就 “Zombie ZIP” 发出警告，并提高人们对畸形压缩文件所带来风险的认识。 该机构表示，虽然畸形文件头可以欺骗安全解决方案，但部分解压工具仍能够正确解压该 ZIP 压缩包。 该安全问题已分配 CVE 编号 CVE-2026-0866，该机构称其与二十多年前披露的一个漏洞类似，即 CVE-2004-0935，影响早期版本的 ESET 杀毒软件。 CERT/CC 建议，安全工具厂商必须根据实际数据验证压缩方式字段，添加检测压缩包结构不一致的机制，并实施更严格的压缩包检查模式。 用户应谨慎对待压缩文件，尤其是来自陌生联系人的文件，如果解压时出现 “不支持的方式” 错误，应立即删除。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文