HackerNews 编译，转载请注明出处： 美国司法部周四宣布捣毁与DanaBot（又名DanaTools）相关的网络基础设施，并对16名涉嫌参与开发部署该恶意软件的个人提起指控。根据司法部声明，这款由俄罗斯网络犯罪组织操控的恶意软件已感染全球超30万台计算机，造成至少5000万美元损失，目前仍有2名俄罗斯籍主犯在逃。 39岁的亚历山大·斯捷潘诺夫（化名JimmBee）与34岁的阿尔乔姆·卡林金（化名Onix）被列为关键嫌疑人。斯捷潘诺夫面临共谋、电信欺诈、银行欺诈等11项指控，最高可判5年监禁；卡林金被指控非法入侵计算机系统等罪名，最高面临72年刑期。起诉书显示，多名嫌疑人因操作失误导致自身设备感染恶意软件，意外暴露真实身份——部分案例系主动测试恶意软件功能，另一些则纯属意外触发。 作为“Endgame行动”的重要成果，执法部门查封了DanaBot的数十台美国境内C2服务器。司法部指出，该恶意软件通过钓鱼邮件传播，构建僵尸网络实施金融欺诈与勒索攻击。DanaBot采用分层代理架构，受害者流量需经2-3层服务器中转才能抵达最终控制端，日常维持5-6台二级服务器在线，主要受害者集中于巴西、墨西哥与美国。 技术分析显示，DanaBot自2018年5月作为银行木马问世后，逐步发展为模块化恶意软件即服务（MaaS）平台，月租费用500美元起。其功能涵盖数据窃取、银行会话劫持、键盘记录、远程控制等，支持通过加密器（如Matanbuchus）与加载器隐匿行踪。2021年1月出现的定制版本专门针对北美与欧洲的军事、外交及政府实体，具备全设备交互记录能力。 值得注意的是，DanaBot在2020年7月至2024年6月期间几乎未通过邮件传播，转而依赖SEO投毒与恶意广告扩大感染。该组织还曾于2022年3月对乌克兰国防部邮箱系统发动DDoS攻击，并运营两个专门从事情报搜集的子僵尸网络（编号24、25），疑似服务于俄罗斯政府利益。 Proofpoint威胁研究员塞莱娜·拉尔森强调：“此类执法行动不仅削弱恶意软件功能，更迫使犯罪者改变策略，动摇黑产生态信任基础。” 本次行动得到亚马逊、CrowdStrike、ESET等十余家企业的技术支持。 同步披露的另一起案件中，48岁莫斯科居民鲁斯塔姆·加利阿莫夫因运营QakBot僵尸网络被起诉。尽管该网络在2023年8月遭国际执法摧毁，但其团伙转向“垃圾邮件轰炸”等新手法，持续散布Black Basta与CACTUS勒索软件。美方已对查获的2400万美元加密货币启动民事没收程序。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 此前曝光的Bumblebee恶意软件SEO投毒攻击活动已扩大攻击面，除此前发现的VMware管理工具RVTools官网仿冒事件外，攻击者正通过更多仿冒知名开源项目的域名实施渗透。安全研究人员发现两起新案例——攻击者分别仿冒网络扫描工具Zenmap（Nmap的图形界面）和网络诊断工具WinMTR的官方网站，这些工具因需要管理员权限运行，成为突破企业网络防御的理想切入点。 仿冒域名zenmap[.]pro和winmtr[.]org被用于传播恶意负载。前者在直接访问时显示与Zenmap相关的AI生成博客内容作为伪装，但当用户通过谷歌、必应等搜索引擎跳转至该域名时，会呈现高度仿真的nmap工具下载页面，提供携带Bumblebee的安装程序“zenmap-7.97.msi”。后者域名当前虽已下线，但攻击链模式如出一辙。 恶意MSI安装包在部署合法软件功能的同时，会植入恶意DLL文件。这种“白加黑”技术与此前RVTools供应链攻击手法完全一致，通过合法程序掩护Bumblebee加载器的运行。该加载器可进行受害者设备指纹采集，并为后续投放勒索软件、信息窃取程序等恶意载荷建立通道。 攻击版图持续扩张，安全团队还发现该活动针对安防领域：仿冒韩华Techwin监控管理软件WisenetViewer，以及视频管理系统Milestone XProtect的官方网站milestonesys[.]org。值得注意的是，正版RVTools下载站点Robware.net和RVTools.com仍处于离线状态，页面仅显示“勿从非官方渠道下载”的警示——这与攻击者通过DDoS攻击瘫痪官网、迫使用户转向恶意站点的策略形成呼应。戴尔科技集团明确否认官方渠道分发过带毒版本，并将官网下线归因于遭受DDoS攻击。 病毒检测数据显示，这些恶意安装包在VirusTotal上的检出率极低：Zenmap相关样本71个引擎中仅33个报毒，WinMTR样本71个引擎中仅28个识别威胁。安全专家建议用户务必通过软件官网或可信包管理器获取工具，安装前需校验文件哈希值与官方发布版本的一致性。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场恶意软件活动，该活动通过伪装为LetsVPN、QQ浏览器等流行工具的虚假软件安装程序，最终投递Winos 4.0框架。这项由Rapid7在2025年2月首次监测到的攻击行动，使用了名为Catena的多阶段驻内存加载器。 “Catena通过嵌入shellcode和配置切换逻辑，将Winos 4.0等有效载荷完全驻留内存，规避了传统杀毒软件的检测，”安全研究人员安娜·希罗科娃与伊万·费格尔表示，“植入后，它会静默连接攻击者控制的服务器——多数位于香港——接收后续指令或额外恶意程序。”这类攻击与历史上部署Winos 4.0的案例相似，似乎专门针对中文环境，网络安全公司指出幕后存在具备高度能力的威胁组织进行“缜密的长期规划”。 趋势科技于2024年6月首次公开记录到Winos 4.0（又名ValleyRAT），当时该恶意程序通过VPN应用的恶意Windows安装包（MSI文件）针对中文用户发起攻击。相关活动被归因于追踪代号为Void Arachne的威胁集团，该组织也被称为Silver Fox。 后续传播该恶意软件的行动转而使用游戏相关应用作为诱饵，包括安装工具、加速器和优化程序等，诱骗用户安装。2025年2月披露的另一次攻击浪潮通过伪装台湾地区税务机构的钓鱼邮件针对当地实体。 基于知名远程木马Gh0st RAT的代码基础，Winos 4.0是采用C++编写的先进恶意框架，利用插件化系统实现数据窃取、远程Shell访问及发动分布式拒绝服务（DDoS）攻击。 2025年2月发现的基于QQ浏览器的感染流程显示，所有相关攻击载体均依赖NSIS安装程序。这些安装包捆绑了经过签名的诱饵应用，将shellcode嵌入.ini文件，并通过反射式DLL注入技术实现隐蔽驻留。整个感染链被命名为Catena。 研究人员指出：“该活动在2025年全年持续活跃，感染链保持稳定但存在战术调整，显示出攻击者具备强大适应能力。”攻击起点是伪装成腾讯开发的QQ浏览器安装包的恶意NSIS程序，通过Catena框架投递Winos 4.0。恶意程序通过TCP 18856端口和HTTPS 443端口与硬编码的C2基础设施通信。 在2025年4月发现的LetsVPN安装包攻击案例中，恶意程序通过创建计划任务实现持久化，这些任务在初始入侵数周后执行。虽然该恶意软件包含检测系统中文语言设置的显性校验，但即使未发现中文环境仍会继续执行。 这一现象表明该功能尚未完善，预计会在后续版本中改进。Rapid7透露，2025年4月监测到攻击者进行了“战术调整”，不仅修改了Catena执行链的某些组件，还新增了反杀毒检测规避功能。 新版攻击流程中，NSIS安装程序伪装成LetsVPN安装文件，运行PowerShell命令为所有驱动器（C:\至Z:\）添加Microsoft Defender排除项。随后释放的恶意载荷包含一个可执行文件，该文件会对运行进程进行快照扫描，检查是否存在奇虎360开发的杀毒软件相关进程。 该二进制文件使用威瑞信颁发的过期证书进行签名，证书显示归属方为腾讯科技（深圳），有效期从2018年10月11日至2020年2月2日。其主要功能是反射式加载DLL文件，该DLL会连接C2服务器（134.122.204[.]11:18852或103.46.185[.]44:443）以下载执行Winos 4.0。 研究人员总结称：“该行动展现出高度组织化的区域性恶意软件攻击模式，通过特制NSIS安装程序静默植入Winos 4.0。攻击者大量使用内存驻留载荷、反射式DLL加载及合法证书签名的诱饵软件规避告警，基础设施重叠和语言定向特征暗示其与Silver Fox APT存在关联，活动目标可能持续锁定中文语系环境。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现新型恶意软件活动正利用TikTok的病毒式传播特性与庞大用户基数，通过诱导用户执行PowerShell命令传播Vidar和StealC等窃密木马。趋势科技最新报告指出，攻击者采用AI生成的短视频教程，声称可免费激活Microsoft Office或Spotify Premium服务，实则触发恶意代码下载链。 攻击活动全程在TikTok平台内完成，恶意指令通过语音解说与画面动态展示规避传统安全检测。涉事的@gitallowed、@zane.houghton和@digitaldreams771账号（目前已被封停）发布多支AI配音视频，通过分屏演示逐步引导用户输入命令。单个视频观看量近50万次，获超2万点赞，高互动量显著提升设备感染风险。 植入的PowerShell脚本执行以下恶意操作： 在用户目录创建隐藏文件并添加至Windows Defender排除列表 从amssh[.]co等域名下载Vidar或StealC木马 采用重试逻辑确保代码执行成功率 通过注册表修改实现持久化驻留 清除日志文件消除入侵痕迹 Vidar木马通过将C2服务器IP地址嵌入Steam游戏平台及Telegram消息元数据实现通信伪装，StealC则专门窃取加密货币钱包与浏览器凭证。趋势科技呼吁企业升级防御策略，建议监控社交媒体平台高互动技术指导类视频，部署行为检测工具识别异常命令行操作，并加强用户对视听组合式社会工程学攻击的识别培训。目前TikTok已下架违规内容，但相同攻击手法的变种仍在暗网传播。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现针对macOS用户的伪造Ledger应用攻击活动持续升级，攻击者通过恶意软件窃取加密货币钱包助记词。Moonlock Lab追踪数据显示，此类攻击自2024年8月起已从单纯窃取密码升级为直接劫持数字资产。以下是攻击技术演进与防护建议： 恶意软件技术演变 Odyssey新型窃取程序：2025年3月发现的Odyssey恶意程序会替换受害者设备的合法Ledger Live应用，通过伪造”严重错误”弹窗诱导用户输入24词助记词。该程序可窃取macOS账户信息，并将钓鱼页面数据发送至攻击者的命令与控制服务器。 AMOS窃取器模仿攻击：地下论坛迅速出现模仿攻击，AMOS窃取器通过名为JandiInstaller.dmg的文件绕过Gatekeeper防护，安装篡改版Ledger Live。用户在输入助记词后会收到”应用损坏”虚假提示，攻击者利用时间差转移资产。 混合攻击模式扩展：Jamf公司发现新型攻击使用PyInstaller打包的二进制文件，在伪造的Ledger Live界面内嵌iframe加载钓鱼页面。此类混合攻击同时窃取浏览器数据、热钱包配置及系统信息，形成多维数据窃取链。 新兴威胁态势 暗网用户@mentalpositive近期宣传“反Ledger”攻击模块，虽暂未发现有效样本，但预示更复杂攻击工具可能出现。 攻击基础设施溯源发现关联政府实体的IP地址，该地址自2024年7月起托管多个macOS恶意文件。 企业级防护建议 应用来源管控：仅从Ledger官网下载应用，验证数字签名与哈希值。警惕第三方平台或弹窗推送的“紧急更新”。 助记词操作规范：助记词仅用于硬件钱包初始化/恢复场景，且必须通过物理设备输入。任何要求在网络界面输入助记词的行为均为钓鱼攻击。 系统防护强化：启用macOS完整磁盘访问控制，定期审计具有CreateChild权限的账户。部署EDR解决方案监控异常进程创建行为。 安全意识培训：重点识别钓鱼页面特征：非常规域名（如ledger-recovery.info）、紧迫性话术诱导、非官方通讯渠道通知。 技术监测手段：监控事件日志ID 5136（对象属性修改）、5137（服务主体创建）、2946（Kerberos认证请求），配置SIEM规则实时告警。 此次攻击活动揭示硬件钱包生态面临的新挑战：即使采用冷存储方案，配套软件的安全漏洞仍可能成为突破口。Moonlock Lab强调，攻击者正利用macOS用户对系统安全性的过度信任心理，结合社会工程学构建复合攻击链。随着加密货币持有者规模扩大，此类针对性攻击预计将持续增长。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场由全球执法机构和私营企业联盟发起的协同行动成功瓦解了与信息窃取软件Lumma（又名LummaC或LummaC2）相关的网络基础设施，查封了2,300个充当命令与控制（C2）主干网络的域名。这些域名被用于控制数百万台受感染的Windows系统。 美国司法部在声明中指出：“LummaC2等恶意软件被部署用于窃取数百万受害者的敏感信息（如用户登录凭证），以实施包括欺诈性银行转账和加密货币盗窃在内的多种犯罪。”被没收的基础设施通过附属机构和其他网络犯罪分子在全球范围内实施攻击。自2022年底活跃的Lumma Stealer估计已被用于至少170万次信息窃取活动，目标包括浏览器数据、自动填充信息、登录凭证和加密货币助记词等。美国联邦调查局（FBI）已追踪到约1000万例感染事件。 此次查封影响了五个作为管理员和付费客户登录面板的域名，有效阻止了其继续入侵计算机和窃取受害者信息。欧洲刑警组织透露：“2025年3月16日至5月16日期间，微软在全球范围内识别出超过394,000台感染Lumma恶意软件的Windows计算机”，并称此次行动切断了恶意工具与受害者之间的通信。该机构将Lumma描述为“全球最具威胁性的信息窃取软件”。 微软数字犯罪调查部门（DCU）联合ESET、BitSight、Lumen、Cloudflare、CleanDNS和GMO Registry等网络安全公司，摧毁了构成Lumma基础设施主干的约2,300个恶意域名。DCU助理总法律顾问Steven Masada表示：“Lumma的主要开发者来自俄罗斯，使用网络化名‘Shamel’。他通过Telegram和其他俄语聊天论坛销售不同层级的服务——网络犯罪分子可根据购买的服务等级定制恶意软件、添加隐藏和分发工具，并通过在线门户追踪窃取的信息。” 这款以恶意软件即服务（MaaS）模式运营的窃取工具，提供从250至1000美元不等的订阅服务，开发者还提供20,000美元套餐以获取源代码和转售权。ESET补充说明：“基础套餐包含基本过滤和日志下载功能，高级套餐则提供自定义数据收集、规避工具和新功能优先使用权，最昂贵的套餐强调隐蔽性和适应性，提供独特构建生成和降低检测率功能。” 近年来，Lumma通过日益流行的点击修复（ClickFix）等传播方式成为知名威胁。微软追踪到该窃取软件背后的威胁组织Storm-2477，指出其分发基础设施具有“动态弹性”特征，综合运用钓鱼攻击、恶意广告、路过式下载、可信平台滥用和Prometheus等流量分发系统。Cato Networks周三发布的报告披露，疑似俄罗斯威胁组织正利用Tigris对象存储、Oracle云基础设施（OCI）对象存储和Scaleway对象存储托管虚假reCAPTCHA页面，通过点击修复式诱导下载Lumma Stealer。 该恶意软件的显著特征包括：采用九组频繁变更的一级域名和托管在Steam个人资料/Telegram频道的备用C2构成多层级基础设施；通过付费安装（PPI）网络或流量销售商分发；通常与商业软件的破解版捆绑传播；运营者创建了带评级系统的Telegram黑市供附属机构直接销售数据；核心二进制文件采用低级虚拟机（LLVM核心）、控制流扁平化等高级混淆技术阻碍静态分析；2024年4月至6月期间网络犯罪论坛上出现超21,000个Lumma日志销售帖，同比增幅达71.7%。 微软强调：“Lumma Stealer的分发基础设施灵活且适应性强，运营者持续优化技术手段——轮换恶意域名、利用广告网络和合法云服务规避检测。所有C2服务器都隐藏在Cloudflare代理之后，这种动态架构既能最大化攻击成功率，又增加了追踪难度。”云基础设施公司Cloudflare表示，其在恶意C2服务器和黑市域名前部署了新型验证警告页，并对相关账户采取封禁措施。Cloudforce One负责人Blake Darché指出：“虽然此次行动对全球最大信息窃取基础设施造成重大打击，但与其他威胁组织类似，Lumma运营者将调整策略卷土重来。” 2025年1月安全研究人员g0njxa的采访显示，Lumma开发者曾表示计划在次年秋季停止运营：“我们为当前成果付出了两年努力，这已成为日常生活而不仅仅是工作。” 该声明暗示着网络犯罪生态中恶意软件即服务模式的商业化程度已达到新高度。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Check Point披露，黑客利用伪造的Kling AI社交媒体页面及广告，诱导用户下载恶意软件。Kling AI是快手科技2024年6月推出的AI生成图像与视频平台，截至2025年4月用户超2200万。攻击者仿冒官网（如klingaimedia[.]com）设置钓鱼网站，宣称支持浏览器端生成多媒体内容，实则提供藏匿恶意代码的ZIP压缩包。 恶意文件采用双重扩展名（如.jpg.exe）及韩语填充符（0xE3 0x85 0xA4）伪装。压缩包内嵌加载器程序，可植入远程访问木马PureHVNC，并窃取浏览器凭证、会话令牌等数据。该加载器具备反分析能力： 监测Wireshark、OllyDbg等安全工具进程 修改注册表实现持久化驻留 通过注入CasPol.exe等系统进程规避检测 第二阶段载荷PureHVNC RAT使用.NET Reactor混淆，连接C2服务器185.149.232[.]197，具备窃取Chromium浏览器加密货币钱包插件数据、捕捉含特定关键词（银行/钱包名称）窗口截屏等功能。 Check Point已发现至少70个仿冒Kling AI的推广帖，部分广告显示攻击者可能来自越南。这种利用Facebook广告分发窃密软件的手法，与越南黑客组织近年活动模式高度吻合——例如2025年4月Morphisec曾曝光越南团伙通过虚假AI工具传播Noodlophile窃密程序。 《华尔街日报》指出，Meta旗下Facebook和Instagram正面临“诈骗泛滥”，虚假促销、投资骗局及赠品欺诈内容多源自斯里兰卡、越南及菲律宾。另据Rest of World调查，东南亚人口贩卖集团通过Telegram和Facebook发布虚假招聘广告，诱骗印尼青年至诈骗园区从事跨国投资欺诈。 Check Point警告，此类攻击结合社会工程与高阶恶意软件技术，标志着社交媒体定向攻击趋向精准化、复杂化。安全团队建议用户警惕AI工具类广告，下载前验证域名真实性，并启用实时文件扫描防护。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   卡巴斯基最新研究发现，俄罗斯企业正成为传播PureRAT恶意软件的钓鱼活动目标。该网络安全公司表示：“针对俄罗斯企业的攻击活动始于2023年3月，但2025年前三个月的攻击数量较2024年同期激增四倍。” 尚未归因于任何特定威胁行为体的攻击链始于包含RAR文件附件或存档链接的钓鱼邮件，攻击者通过使用双扩展名（如“doc_054_[已编辑].pdf.rar”）将文件伪装成微软Word或PDF文档。存档文件内包含可执行程序，当启动时会将自身复制到受感染Windows设备的“%AppData%”目录下并重命名为“task.exe”，同时在启动VBS文件夹中创建名为“Task.vbs”的Visual Basic脚本。 随后该可执行程序开始解压另一个名为“ckcfb.exe”的可执行文件，运行系统工具“InstallUtil.exe”，并向其中注入解密后的模块。“ckcfb.exe”则会提取并解密包含PureRAT恶意软件主载荷的DLL文件“Spydgozoi.dll”。PureRAT通过与命令控制（C2）服务器建立SSL连接传输系统信息，包括已安装的杀毒软件详情、计算机名称和系统启动后的运行时间。作为响应，C2服务器会发送多种执行恶意操作的辅助模块： PluginPcOption：可执行自删除命令、重启可执行文件以及关闭或重启计算机。 PluginWindowNotify：检查活动窗口名称是否包含“密码”、“银行”、“WhatsApp”等关键词，并执行未经授权的资金转移等后续操作。 PluginClipper：作为剪切板劫持恶意软件，将系统剪贴板中的加密货币钱包地址替换为攻击者控制的地址。 卡巴斯基指出：“该木马包含下载和运行任意文件的模块，可完全访问文件系统、注册表、进程、摄像头和麦克风，实现键盘记录功能，并允许攻击者通过远程桌面原理秘密控制计算机。” 启动“ckcfb.exe”的原始可执行文件还会同时提取第二个名为“StilKrip.exe”的二进制文件，这是被称为PureCrypter的商业化下载器，自2022年以来被用于投递各种有效载荷。“StilKrip.exe”被设计用于下载“Bghwwhmlr.wav”文件，该文件通过上述攻击流程运行“InstallUtil.exe”，最终启动名为“Ttcxxewxtly.exe”的可执行程序，该程序会解压并运行名为PureLogs的DLL载荷（“Bftvbho.dll”）。 PureLogs是一款现成的信息窃取程序，可从网络浏览器、电子邮件客户端、VPN服务、即时通讯应用、钱包浏览器扩展、密码管理器、加密货币钱包应用以及FileZilla和WinSCP等其他程序中窃取数据。卡巴斯基强调：“PureRAT后门和PureLogs窃取程序具有广泛功能，可使攻击者无限访问受感染系统和机密组织数据。带有恶意附件或链接的电子邮件始终是企业遭受攻击的主要途径。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 斯里兰卡、孟加拉国与巴基斯坦的高级别政府机构近期成为APT组织SideWinder新一轮攻击的重点目标。 研究人员发现，攻击者采用鱼叉式钓鱼邮件结合地理围栏技术，确保仅特定国家的目标会收到恶意载荷。攻击链通过诱饵文档激活感染流程，最终部署名为StealerBot的恶意软件，该作案手法与此前披露的SideWinder活动特征一致。 此次攻击瞄准南亚多国关键部门，包括孟加拉国电信监管委员会、国防部与财政部，巴基斯坦本土技术发展局，以及斯里兰卡外债管理局、国防部与中央银行。攻击者利用微软Office中历史悠久的远程代码执行漏洞（CVE-2017-0199与CVE-2017-11882）作为初始攻击媒介，部署具备持久化访问能力的恶意程序。 恶意文档被打开时触发CVE-2017-0199漏洞，通过DLL侧载技术释放后续载荷安装StealerBot。攻击者采用地理围栏技术增强隐蔽性：若受害者IP地址不符合预设国家范围，系统仅返回空白RTF文件作为诱饵。实际恶意RTF文件利用公式编辑器漏洞CVE-2017-11882触发内存破坏，执行基于shellcode的加载器运行StealerBot。 StealerBot是基于.NET开发的模块化植入程序，能够投放额外恶意组件、启动反向shell，并从受控主机窃取屏幕截图、键盘记录、密码、文件等敏感数据。分析指出，该组织展现出持续的活跃度与精准控制能力——恶意载荷仅在限定时间内分发给经过严格筛选的目标，反映出其组织架构的延续性与攻击意图的持久性。 攻击活动中，SideWinder延续了其标志性战术：频繁更新工具集以规避安全检测，通常在安全解决方案识别其工具后5小时内生成新变种。若遭遇行为检测，则迅速调整持久化维持与组件加载技术，并修改恶意文件路径及名称。尽管主要依赖旧版Office漏洞实施攻击，但其对目标选择的高度精准性与攻击流程的严密控制，仍使其成为南亚地区最具威胁的APT组织之一。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Python软件包仓库PyPI上新发现的恶意软件包dbgpkg引发了对开源生态安全性的新一轮担忧。 网络安全公司ReversingLabs披露，这个伪装成调试工具的程序实际上是为植入隐蔽后门提供通道，其恶意活动被认为与亲乌克兰黑客组织Phoenix Hyena存在关联。该组织自2022年俄乌冲突以来持续针对俄罗斯网络目标发起攻击，2024年曾入侵俄罗斯网络安全公司Dr.Web并泄露数据。 在技术实现方面，该恶意软件利用Python函数装饰器植入后门，通过sys.modules劫持requests和socket等常用网络库，在运行时模块被调用前保持潜伏状态。触发后，恶意代码首先检查是否存在后门程序。若未检测到，则会分阶段执行从Pastebin平台下载公钥、安装防火墙穿透工具Global Socket Toolkit，以及发送加密密钥至私密地址等操作。这种将恶意行为隐藏于可信模块调用的手法极大增加了检测难度。 安全研究人员指出，该后门与Phoenix Hyena组织使用的恶意软件存在技术相似性。该组织以Telegram频道DumpForums为平台持续泄露窃取的俄罗斯敏感数据。虽然不能完全排除模仿者作案的可能，但相同攻击载荷的反复使用及时间线特征增强了关联证据的可信度。 值得注意的是，攻击者采用的函数装饰器、隐蔽网络工具包等先进技术显示出其高超的技术能力和持久渗透意图。虽然dbgpkg被快速发现，但其前身discordpydebug软件包曾潜伏三年未被察觉，累计下载量超过11,000次。这警示开发者即使面对看似有用的工具也必须保持审慎态度，避免从不可信来源安装软件包。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文