HackerNews 编译，转载请注明出处： 打开银行应用时，您可能不会想到恶意软件。您关注的是余额、交易记录和房租。 然而，印度越来越多的安卓设备正遭受仿冒正规银行应用的恶意软件攻击。CYFIRMA威胁情报团队的调查揭露：此类恶意应用可清空银行账户、窃取凭证，甚至劫持短信与通话。 研究人员未明确具体仿冒的印度银行应用名称，但潜在风险覆盖该国多数人口——因银行业务高度数字化，大量民众依赖手机应用进行金融交易。 感染如何发生？ 几乎每次感染背后，都交织着社会工程与技术操控，旨在突破用户警惕性与安卓系统防御。 攻击始于经社会工程诱导用户安装的APK投放器。核心诱导手段包括： 通过WhatsApp等即时通讯应用发送钓鱼信息。 欺诈性电子邮件。 仿冒银行网站与恶意二维码。 伪装成系统更新的木马投放程序。 仿冒Google Play的第三方应用商店。 权限滥用实现设备劫持 恶意载荷一旦安装，即索要高危权限以完全掌控设备通信与行为： 短信拦截：窃取一次性密码、接管双因素认证，甚至代用户验证银行操作。 通话监控：监听通话、启动呼叫转移、执行运营商专用USSD代码。 持久化运行：绕过电池优化设置，确保恶意进程永不关闭且开机自启。 通知篡改：伪造银行提醒或隐藏验证码。 “这些能力增强了其隐蔽性与破坏力，凸显金融生态系统亟需用户警惕与多层安全防护。”CYFIRMA研究人员指出。 权限授予需审慎 即便正规应用也需权限提供服务，但用户应警惕过度授权： 调查显示，50款热门安卓应用平均要求11项危险权限（如定位、文件、摄像头访问）。 过度授权不仅威胁隐私（数据用于定向营销），更为攻击者敞开入侵通道。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员确认，新型Coyote银行木马成为首个在真实攻击中滥用微软UI自动化框架（UIA）的恶意软件。该木马锁定75家银行及加密货币平台用户，主要针对巴西地区，通过UIA技术窃取登录凭证，验证了Akamai在2024年12月提出的技术预警。 攻击流程剖析 目标识别 木马首先比对活动窗口标题与预设的75家金融机构/交易所地址列表。若未匹配，则启动UIA框架深度扫描浏览器标签页及地址栏内容。 凭证窃取 UIA技术滥用：利用微软为辅助工具设计的合法框架，解析其他应用程序的UI子元素，无需了解目标程序内部结构即可提取隐藏数据。 离线下操作：即使无网络连接，仍可持续执行检测流程，大幅提升攻击成功率。 攻击升级 除窃取数据外，攻击者可操纵UI元素实施隐蔽攻击，例如篡改浏览器地址栏诱导用户跳转钓鱼网站，或通过最小化视觉痕迹实施定向重定向。 技术演变与影响 历史背景：2024年2月首次发现的Coyote木马原以键盘记录和钓鱼覆盖层攻击拉美金融机构，新变种则通过UIA绕过端点检测与响应（EDR）工具的监控。 攻击范围扩展：目标金融机构从今年1月的73家增至75家，涵盖传统银行与加密货币平台。 多重窃密手段：同步采用键盘记录、屏幕截图及覆盖虚假界面等传统手法，形成复合攻击链。 防御建议 监控异常行为：检测陌生进程加载UIAutomationCore.dll的行为，追踪以UIA_PIPE_开头的命名管道活动。 威胁狩猎：使用osquery工具标记与UIA框架交互的可疑进程，部署专业威胁监测服务识别异常UIA活动。 风险认知：Akamai强调UIA滥用可能成为新型攻击向量，需警惕其被广泛利用的趋势。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动安全研究人员发现一场大规模恶意活动，攻击者通过伪造的约会和社交应用窃取用户敏感数据。该行动被命名为“SarangTrap”，同时针对Android和iOS平台，利用超过250个恶意应用和80余个钓鱼域名实施攻击，韩国用户为主要目标。 安全公司Zimperium本周三发布的报告指出，该活动采用情感操纵策略：通过虚假用户资料、专属“邀请码”及仿真的应用界面诱骗受害者。这些应用伪装成合法服务，实则专门用于窃取用户联系人、私人照片、短信内容及设备标识符等数据。 攻击流程： 用户安装应用后，界面显示正常但会索要不必要的权限。输入攻击者提供的邀请码后，隐藏的间谍程序即被激活。获取权限后，应用将静默上传敏感数据至攻击者控制的服务器。 策略升级与跨平台特性 Zimperium实验室的最新分析显示，恶意软件策略持续演变： Android端：新样本已从清单文件中移除短信权限，但保留窃取短信的代码，表明攻击者正尝试规避安全扫描。 iOS端：改用恶意移动配置描述文件替代传统应用安装。用户授权后，攻击者无需应用即可获取联系人、照片及设备信息。 攻击基础设施 攻击者注册了88个独立域名，其中70余个用于分发恶意软件。至少25个域名被谷歌等搜索引擎收录，并通过“约会”“文件共享”等常见关键词提升排名，使钓鱼页面更具欺骗性。目前累计发现250余个Android恶意样本，部分样本甚至完全省略关键权限以躲避检测，但仍持续窃取数据。 技术与社会工程的结合 该活动将技术手段与社会工程深度融合。典型案例中，一名经历分手的男性用户被虚假约会资料诱导，通过钓鱼链接下载应用并输入邀请码后设备遭入侵。攻击者利用窃取的私密视频对其进行敲诈，威胁向家人公开内容。 Zimperium建议用户：警惕索要邀请码或非常规权限的应用，避免使用第三方应用商店，并定期检查设备配置描述文件与安全设置。 SarangTrap行动目前仍处于活跃进化状态，使得用户保持警惕变得尤为重要。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁组织EncryptHub（又名Larva-208）通过入侵Steam平台游戏《Chemia》，向不知情用户分发信息窃取类恶意软件。 近日，该黑客组织将恶意二进制文件植入由“Aether Forge Studios”开发的生存制作类游戏《Chemia》中。该游戏目前以“抢先体验”形式登陆Steam，尚未公布正式发行日期。 据威胁情报公司Prodaft分析，攻击始于7月22日。EncryptHub在游戏文件中添加了恶意软件HijackLoader（文件名CVKRUTNP.exe），该程序在受害设备上建立持久化机制，并下载信息窃取程序Vidar（文件名v9d9d.exe）。研究人员发现，恶意软件通过某Telegram频道获取命令与控制（C2）服务器地址。 三小时后，攻击者再次通过DLL文件（cclib.dll）植入第二款恶意软件Fickle Stealer。该文件利用PowerShell脚本（worker.ps1）从域名soft-gets[.]com获取主载荷。Fickle Stealer专门窃取浏览器存储数据，包括账户凭证、自动填充信息、Cookie及加密货币钱包数据。该恶意软件去年曾被EncryptHub用于大规模鱼叉式钓鱼攻击，导致全球超六百家组织沦陷。 此威胁组织在黑客领域行为特殊：既恶意利用Windows零日漏洞，又曾向微软负责任的披露关键漏洞。Prodaft在报告中指出：“被篡改的可执行文件对Steam用户显示为合法程序，这种攻击依赖平台信任而非传统欺骗手段，形成高效的社会工程陷阱。当用户在免费游戏中点击《Chemia》的‘测试版’时，实际下载的是恶意软件。” 恶意软件在后台静默运行，不影响游戏性能，玩家难以察觉异常。目前尚不清楚EncryptHub如何将恶意文件植入游戏项目，推测可能有内部人员协助。游戏开发商未在Steam页面或社交媒体发布任何声明。 截至发稿，《Chemia》仍可于Steam下载，无法确认最新版本是否已清除恶意代码。建议用户等待Steam官方公告前避免接触该游戏。 此为Steam平台2025年第三起恶意软件事件：此前3月《Sniper: Phantom’s Resolution》与2月《PirateFi》均曾中招。三款游戏均为“抢先体验”阶段作品，表明Steam对此类内容的审核机制可能存在疏漏。用户下载开发中游戏时需保持警惕。 本次攻击的入侵指标（IOC）已公开。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新型Linux恶意软件Koske疑似利用人工智能技术开发，通过看似无害的熊猫JPEG图片将恶意代码直接部署到系统内存中。 网络安全公司AquaSec的研究人员分析后，将Koske描述为“一种复杂的Linux威胁”。基于其表现出的自适应行为，研究人员认为该恶意软件可能是利用大型语言模型（LLM）或自动化框架开发的。 Koske的主要目的是部署针对CPU和GPU优化的加密货币挖矿程序，利用主机计算资源挖掘超过18种不同的加密货币。 AquaSec在攻击中发现了塞尔维亚的IP地址、脚本中的塞尔维亚语短语，以及托管挖矿程序的GitHub仓库中的斯洛伐克语，但无法据此确认攻击者身份。 熊猫攻击 攻击者首先利用暴露在公网的JupyterLab实例配置错误实现命令执行。获取初始访问权限后，攻击者从OVH images、freeimage和postimage等合法图床下载两张熊猫JPEG图片。这些图片隐藏了恶意载荷。 AquaSec强调，攻击者并未使用隐写术在图片中隐藏恶意软件，而是依赖多态文件（同一文件可被不同应用解析为多种格式）。尽管熊猫图片包含有效的JPEG文件头，但文件尾部同时附加了恶意Shell脚本和C代码，使同一文件既能显示为正常图片，又能被脚本解释器执行。 攻击中使用的两张图片分别隐藏不同载荷，且同时启动： 载荷一：直接写入内存的C代码，编译后作为共享对象（.so文件）执行，充当rootkit。 载荷二：在内存中执行的Shell脚本，利用系统工具实现隐蔽运行和持久化，几乎不留痕迹。 Shell脚本通过滥用Linux原生工具在内存中直接执行，通过每30分钟运行的cron任务和自定义systemd服务实现持久化。其功能包括： 网络加固与代理规避 代理暴力破解 这种自适应行为使AquaSec研究人员怀疑恶意软件由LLM或自动化平台开发。 加密货币挖矿部署 建立网络访问和持久化后，Shell脚本从GitHub下载挖矿程序。部署前会评估主机的CPU和GPU性能，以选择最优矿工。Koske支持挖掘18种加密货币，包括难以追踪的Monero、Ravencoin、Zano、Nexa和Tari。若某个币种或矿池不可用，恶意软件会自动切换备用选项，展现出高度自动化能力。 AquaSec警告，虽然此类AI驱动的恶意软件已构成严重威胁，但未来变种可能具备实时自适应能力，演变成更危险的威胁类型。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌宣布推出一项名为“OSS Rebuild”的新计划，旨在增强开源软件包生态系统的安全性，防范软件供应链攻击。 谷歌开源安全团队（GOSST）的Matthew Suozzo在本周的博客文章中表示：“随着供应链攻击持续针对广泛使用的依赖库，OSS Rebuild能为安全团队提供强大的数据来避免遭受入侵，同时无需增加上游维护者的负担。” 该项目旨在为Python Package Index (Python)、npm (JS/TS) 和 Crates.io (Rust) 软件包注册表提供构建溯源（build provenance），并计划将其扩展到其他开源软件开发平台。 OSS Rebuild 的核心思路是结合利用声明式构建定义（declarative build definitions）、构建工具（build instrumentation）和网络监控能力，生成可信的安全元数据。这些元数据随后可用于验证软件包的来源，并确保其未被篡改。 谷歌表示：“通过自动化和启发式方法，我们确定目标软件包的预期构建定义并重建它。我们将结果与现有的上游制品进行语义比较，对两者进行归一化处理，以消除导致比特级（bit-for-bit）比较失败的不稳定因素（例如，归档压缩差异）。” 成功复现软件包后，构建定义和结果将通过 SLSA Provenance 作为证明机制发布。这使用户能够可靠地验证其来源、重复构建过程，甚至从已知功能基线定制构建。 在自动化无法完全复现软件包的情况下，OSS Rebuild 提供了可替代使用的手动构建规范。 谷歌指出，OSS Rebuild 有助于检测不同类别的供应链入侵事件，包括： 包含公共源代码仓库中不存在代码的已发布软件包（例如 @solana/web3.js 事件） 可疑的构建活动（例如 tj-actions/changed-files 案例） 通过人工审查难以识别的、嵌入在软件包中的异常执行路径或可疑操作（例如 XZ Utils 后门） 除了保护软件供应链，该方案还能改进软件物料清单（SBOM）、加速漏洞响应、增强软件包的可信度，并消除组织依赖 CI/CD 平台负责其软件包安全性的需要。 谷歌解释道：“重建工作通过分析已发布的元数据和制品来推导，并与上游软件包版本进行评估。成功后，将为上游制品发布构建证明，验证上游制品的完整性，并消除许多可能的入侵来源。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： Lumma信息窃取恶意软件（Infostealer）行动在5月遭受大规模执法打击后正逐步恢复活动。此前执法行动查获了2300个域名及部分基础设施，但该恶意软件即服务（MaaS）平台并未关闭。 运营商随即在XSS论坛发布声明，承认执法行动的影响，但声称其核心服务器未被查获（尽管已遭远程擦除），且恢复工作已在进行中。趋势科技（Trend Micro）报告显示，Lumma的基础设施在打击后数周内迅速重建，活动水平已接近行动前状态。该组织为规避进一步打击，已从Cloudflare转向俄罗斯服务商Selectel等替代云设施来伪装恶意流量。 当前Lumma主要通过四类渠道传播恶意软件： 虚假破解工具/密钥生成器：通过恶意广告和篡改的搜索结果推广，诱导用户访问欺诈网站。这些网站先用流量检测系统（TDS）分析用户环境，再分发Lumma下载器。 ClickFix技术：入侵网站植入虚假验证码页面，诱骗用户执行PowerShell命令，直接将Lumma载入内存以规避文件检测机制。 GitHub仓库：攻击者创建含AI生成内容的仓库，以虚假游戏外挂为诱饵（如“TempSpoofer.exe”），通过可执行文件或ZIP压缩包分发恶意负载。 YouTube/Facebook平台：利用视频和帖子推广破解软件，将用户引流至托管Lumma的第三方站点（甚至滥用Google协作平台等可信服务提升可信度）。 趋势科技指出，Lumma的复苏印证了缺乏逮捕或起诉的执法行动难以阻止高利润的MaaS运营者，其核心成员仅将此类打击视为“需规避的常规障碍。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二警告北美和欧洲的企业，需加强系统防护以应对一种新的Interlock勒索软件变种。 该双重勒索组织于2024年秋季首次出现在勒索软件领域，已知针对各种关键基础设施组织和行业，包括医疗保健、教育、技术、政府和制造业。 “这些行为者本质上是机会主义且受经济利益驱动，采用各种手段渗透并破坏受害者提供基本服务的能力。”CISA表示。 “Interlock勒索软件是一个鲜明的例子，展示了当今勒索软件组织变得多么危险和不可预测，”Swimlane的首席安全自动化架构师Nick Tausek表示。 “尽管他们直到2024年底才被发现，但该组织一直非常活跃，并对像DaVita和Kettering Health这样的医疗机构发起了高调攻击。”Tausek说。 今年5月，Interlock成为头条新闻，原因是它声称对中西部医疗集团Kettering Health长达数周的勒索软件攻击负责，该攻击迫使其14个医疗中心和120多家门诊诊所取消了数千个诊疗程序。 JavaScript转向PHP FBI表示，已观察到Interlock通过入侵合法网站进行路过式下载（drive-by download）来获得对其受害者的初始访问权限，将恶意载荷伪装成虚假的Google Chrome或Microsoft Edge浏览器更新，这对勒索软件行为者而言是一种非典型方法。 该组织还以使用“ClickFix社会工程技术”而闻名，例如，通过虚假的reCAPTCHA诱骗用户执行Interlock远程访问木马（RAT）。 “验证码包含指示用户打开Windows运行窗口、粘贴剪贴板内容，然后执行恶意Base64编码的PowerShell进程。”公告称。 该警告发布不到一周前，The DFIR Report和Proofpoint的联合研究发现该组织正在使用其先前识别的基于JavaScript的Interlock RAT的“一种新的、更具弹性的变种”。 这种新变种转而使用PHP，似乎是2025年6月首次出现的、新的大规模Kongtuke FileFix恶意软件活动的一部分。 Interlock Kongtube FileFix 恶意软件活动 链接的JavaScript首先提示用户点击验证码以“验证您是人类”，然后是“验证步骤”，要求打开运行命令并粘贴剪贴板内容。粘贴后，它会执行一个PowerShell脚本，最终导致Interlock RAT感染。图片来自The DFIR Report和Proofpoint。 Tausek解释说，Interlock的独特之处在于其战术多样性。 “该组织曾使用ClickFix攻击冒充IT工具渗透网络，部署远程访问木马（RAT）来传播恶意软件，并且最近采用了双重勒索策略以最大化对受害者的压力。” 安全研究人员观察到的Interlock勒索软件变种与Rhysidia威胁组织使用的变种有相似之处，表明Interlock可能是经验丰富的俄罗斯相关组织Rhysida团伙的一个分支。 World Secrets Blog 已观察到该组织同时使用RAT和CobaltStrike工具快速建立远程命令与控制中心（C2），然后通常会下载PowerShell来安装某种信息窃取程序（如LumanStealer）以及键盘记录器二进制文件，以“窃取凭据进行横向移动和权限提升”。 Interlock会部署针对Windows和Linux操作系统的勒索软件加密器，同时也常用AnyDesk进行远程文件传输。 在加密受害者的文件（使用.interlock或.1nt3rlock文件扩展名）后，该团伙会发送一张便条，指示受害者访问其“Worldwide Secrets Blog”洋葱地址以进行联系并用比特币支付赎金。 “您的网络已被入侵，我们已获取您最重要的文件。”Interlock在5月对Kettering Health写道，威胁称除非支付未公开的赎金，否则将公布其声称从Kettering网络中窃取的1TB数据。 Broadcom在2024年10月对该勒索软件团伙的分析报告中指出，其“警告受害者不要修改文件、使用恢复软件或重启系统，因为这些行为可能导致不可逆转的损害。”Broadcom还表示，Interlock受害者通常只有96小时进行谈判。 根据Cybernews的Ransomlooker工具，自今年1月以来，该组织已声称至少攻击了35名勒索软件受害者，其中约一半的攻击发生在过去六周内。 “这些攻击的范围和频率突显了现代威胁行为者变得多么具有适应性。攻击现在来自多个向量，通常是同时进行，组织必须做好准备，”Tausek告诉Cybernews。 CISA建议组织通过实施强大的端点检测和响应（EDR）工具及能力来加固系统，包括修补暴露的系统、采用多因素认证和进行网络分段。 Tuasek表示，除了定期修补、网络分段和其他主动防御措施外，“同样关键的是让员工具备识别社会工程尝试的意识，以免导致系统被入侵。”       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）近期发出警报，发现一种名为LameHug的新型恶意软件。该软件利用大语言模型（LLM） 在受感染的Windows系统上生成并执行攻击指令。乌克兰专家将其归因于与俄罗斯有关的黑客组织APT28（又名UAC-0001、Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta和STRONTIUM）。 CERT-UA在警报中指出：“LAMEHUG的显著特征是使用了LLM（大语言模型），根据其文本描述生成可执行命令。我们有中等把握认为该活动与UAC-0001（APT28）组织有关。” 2025年7月10日，CERT-UA发现一起针对政府部门的钓鱼攻击活动，攻击者通过伪装成政府文件的ZIP压缩包进行传播。该压缩包内含伪装成.pif文件的LAMEHUG恶意软件，该软件使用Python编写并通过PyInstaller打包。研究人员发现存在两种不同数据窃取方式的变体。攻击者使用了被入侵的电子邮箱账户，并将基础设施托管在合法但已被攻陷的平台上。 LAMEHUG通过huggingface[.]co服务API调用Qwen 2.5-Coder-32B-Instruct模型，基于静态输入的文本描述生成攻击指令。Qwen 2.5-Coder-32B-Instruct是由阿里巴巴Qwen团队开发的开源大语言模型，专门针对编程任务进行了优化。 该恶意软件会收集系统信息，并在常见文件夹中搜索Office、PDF和TXT文档。收集的数据先存储在本地，然后通过SFTP或HTTP POST方式外传。警报中详细说明：“该软件会收集计算机基本信息（硬件配置、进程、服务、网络连接）并存储在‘%PROGRAMDATA%\info\info.txt’文件中，同时递归搜索‘文档’、‘下载’和‘桌面’目录中的Microsoft Office文档（包括TXT和PDF文件），将其复制到‘%PROGRAMDATA%\info’文件夹。不同版本的程序会使用SFTP或HTTP POST请求外传获取的信息和文件。” LameHug是已知首款利用LLM生成攻击指令的恶意软件，使威胁行为者能够根据实际需求动态调整攻击链。该报告还包含了相关网络威胁指标。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国国家网络安全中心（NCSC）报告称，与俄罗斯军事情报局（GRU）有关的威胁行为者一直在使用以前未知的恶意软件对受害者的电子邮件账户进行间谍活动。 这种新的复杂恶意软件被命名为“真实假象”（Authentic Antics），NCSC表示，与GRU有关的威胁组织APT28（又名Fancy Bear、Pawn Storm、Sednit、Sofacy和Iron Twilight）一直在负责部署该恶意软件。 NCSC的分析显示，“真实假象”是专门设计的，旨在通过伪装成合法活动，实现对微软云账户的持久端点访问。该恶意软件的设计投入了“大量心思”，以实现看起来像真实的微软Outlook活动的效果。 它会定期显示一个登录窗口，提示用户输入凭证，这些凭证随后会被恶意软件拦截，同时被拦截的还有用于访问微软服务的OAuth身份验证令牌。该恶意软件还会通过从受害者的账户向攻击者控制的电子邮件地址发送邮件来窃取受害者的数据，这些邮件不会出现在“已发送”文件夹中。 对该恶意软件的分析表明，它没有采用传统的命令与控制（C&C）机制，这种机制可能会增加其被检测到的可能性。 俄罗斯网络威胁持续存在 NCSC行动总监保罗·奇切斯特（Paul Chichester）评论道：“‘真实假象’恶意软件的使用，证明了俄罗斯GRU构成的网络威胁具有持续性和复杂性。多年来NCSC对GRU活动的调查表明，网络防御者不应轻视这种威胁，监控和保护行动对于防御系统至关重要。” “真实假象”恶意软件是在2023年发生一起网络事件后被发现的，该事件由微软和NCSC认证的网络事件响应服务提供商NCC Group进行了调查。 6月17日，乌克兰国家计算机应急响应小组（CERT-UA）识别出一种名为“LameHug”的新恶意软件，该机构表示，有中等把握认为该软件可能与APT28针对乌克兰安全和国防部门的网络攻击有关。 2025年5月，美国国家安全局与包括NCSC在内的盟友发布了一份联合网络安全咨询，强调了一场由俄罗斯国家支持、针对西方物流实体和科技公司的网络活动。该活动同样与APT28有关联。 英国制裁俄罗斯GRU军官 在英国政府分享“真实假象”恶意软件分析的同一天，英国政府还宣布对三个GRU单位（26165、29155和74455）以及18名GRU军官和特工实施制裁，原因是他们参与了全球范围内的网络和信息干扰行动，以支持俄罗斯更广泛的地缘政治和军事目标。 英国外交大臣戴维·拉米（David Lammy）表示：“克里姆林宫应该毫无疑问：我们看清了他们在阴影中的企图，我们不会容忍这种行为。这就是为什么我们要采取果断行动，制裁俄罗斯间谍。保护英国免受伤害是本政府‘变革计划’（Plan for Change）的根本。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文