HackerNews 编译，转载请注明出处： 黑客通过微软 Teams 联系金融和医疗行业的员工，诱骗他们通过快速助手（Quick Assist）授予远程访问权限，并部署一款名为 A0Backdoor 的新型恶意软件。 攻击者依靠社会工程学获取员工信任：首先向受害者收件箱发送大量垃圾邮件，随后通过 Teams 联系受害者，伪装成公司 IT 人员，声称可以帮助处理这些垃圾消息。 为获取目标设备的访问权限，威胁行为者诱导用户启动快速助手远程会话，并借此部署一套恶意工具集，其中包括托管在个人微软云存储账户中、经过数字签名的 MSI 安装程序。 网络安全公司 BlueVoyant 的研究人员表示，这些恶意 MSI 文件伪装成微软 Teams 组件以及 CrossDeviceService—— 后者是 Phone Link 应用所使用的一款合法 Windows 工具。 用于安装恶意 CrossDeviceService.exe 的命令行参数来源：BlueVoyant 攻击者利用合法微软二进制文件实施 DLL 侧载攻击，部署一个包含压缩或加密数据的恶意库文件（hostfxr.dll）。该库被加载到内存后，会将数据解密为 shellcode 并移交执行权。 研究人员称，该恶意库还使用 CreateThread 函数来阻碍分析。BlueVoyant 解释道，大量创建线程可能导致调试器崩溃，但在正常执行环境下不会产生显著影响。 该 shellcode 会执行沙箱检测，随后生成一个基于 SHA-256 的密钥，并用该密钥提取经 AES 算法加密的 A0Backdoor。 shellcode 中的加密载荷来源：BlueVoyant 该恶意软件将自身重定向到新的内存区域，解密核心功能代码，并通过调用 Windows API（如 DeviceIoControl、GetUserNameExW、GetComputerNameW）收集主机信息并生成设备指纹。 与命令与控制服务器（C2）的通信隐藏在 DNS 流量中：恶意软件向公共递归解析器发送 DNS MX 查询，在高熵子域名中携带编码后的元数据。DNS 服务器以包含编码指令数据的 MX 记录进行回应。 捕获到的 DNS 通信流量来源：BlueVoyant BlueVoyant 解释道：“恶意软件提取并解码最左侧的 DNS 标签，以恢复指令或配置数据，随后执行相应操作。” “使用 DNS MX 记录可以让流量混入正常通信中，并绕过专门针对基于 TXT 记录的 DNS 隧道的检测规则，而这类隧道通常会被更频繁地监控。” BlueVoyant 表示，此次攻击活动的两个目标分别是加拿大的一家金融机构和一家全球性医疗组织。 研究人员以中高可信度判断，该攻击活动是与 BlackBasta 勒索软件团伙相关战术、技术与流程（TTP）的演进版本。BlackBasta 团伙在内部聊天记录泄露后已宣告解散。 BlueVoyant 指出，尽管两者存在大量重合之处，但本次攻击中使用的签名 MSI 文件、恶意 DLL、A0Backdoor 载荷以及基于 DNS MX 的 C2 通信均为新增特征。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗相关联的 APT 组织 MuddyWater 以美国机构为目标，在银行、机场、非营利组织等多个行业部署了新型 Dindoor 后门程序。 博通公司旗下的赛门铁克威胁狩猎团队发现了一场由与伊朗相关的 MuddyWater（又名 SeedWorm、TEMP.Zagros、Mango Sandstorm、TA450、Static Kitten）APT 组织发起的攻击活动，该活动针对多家美国机构。 博通赛门铁克发布的报告称：“在多家美国企业的网络中发现了与伊朗 APT 组织 Seedworm 相关的活动。该活动始于 2026 年 2 月，并在最近几天仍在持续。” 该组织部署了一款名为 Dindoor 的新型后门程序，并渗透进入多个行业的网络，包括银行、机场、非营利组织，以及一家软件公司的以色列分支机构。 首次 MuddyWater 攻击活动于 2017 年末被发现，当时该 APT 组织以中东地区实体为攻击目标。 专家将该活动命名为 “MuddyWater”，原因是难以对 2017 年 2 月至 10 月期间针对沙特阿拉伯、伊拉克、以色列、阿联酋、格鲁吉亚、印度、巴基斯坦、土耳其和美国的一系列攻击进行溯源归因。多年来，该组织不断扩充攻击手段，持续进化，攻击目标也扩展至欧洲和北美国家。 该组织的受害者主要集中在电信、政府（信息技术服务）以及石油行业。 2022 年 1 月，美国网络司令部（USCYBERCOM）正式将 MuddyWater APT 组织与伊朗情报与安全部（MOIS）关联起来。 自 2026 年 2 月初以来，MuddyWater APT 组织已针对美国和加拿大的多家机构发动攻击。受害者包括一家美国银行、一座机场、多家非营利组织，以及一家在以色列开展业务、服务于国防和航空航天领域的软件供应商。这款此前不为人知的 Dindoor 后门依赖 Deno 运行时执行 JavaScript 和 TypeScript 代码，并使用了一张颁发给 “Amy Cherne” 的证书进行签名。 研究人员还观察到，攻击者曾尝试使用 Rclone 工具从一家被攻击的软件公司窃取数据，并传输至 Wasabi Technologies 云存储桶中，目前尚不清楚此次数据传输是否成功。专家还在美国机场和非营利组织的网络中发现了另一个独立的 Python 后门程序，命名为 Fakeset，该程序使用了与 Seedworm 相关联的证书进行签名。该恶意软件托管在 Backblaze 服务器上，并与其他 Seedworm 关联的恶意软件家族共享证书，这表明这些入侵事件背后是该伊朗组织所为。 报告继续指出：“伊朗在网络空间行动的特点之一是，它会定期对其视为敌对国家的机构发起破坏性攻击，目前这类国家显然包括美国和以色列。”“这对这些国家的机构构成了风险，因为此类攻击的目的是传递信号，而非窃取信息，这意味着该国境内任何被盯上的机构都可能成为攻击目标。” 近期与伊朗网络行为体相关的活动显示，其行动混合了间谍活动、破坏行动与影响力行动。支持巴勒斯坦的黑客组织 Handala 通过钓鱼、数据窃取、勒索软件和数据泄露活动攻击以色列官员和能源公司，并宣称攻破了以色列和海湾地区的多家机构。与此同时，伊朗 APT 组织 Seedworm 针对学者、非政府组织和政府机构开展鱼叉式钓鱼攻击以收集情报。另一个组织 Marshtreader 在地区紧张局势期间对以色列境内存在漏洞的摄像头进行扫描，以实施侦察。 黑客组织 DieNet 也宣称对美国关键基础设施发起了 DDoS 攻击。研究人员警告称，与伊朗结盟的行为体可能升级攻击行动，包括 DDoS 攻击、网站篡改、凭证窃取、数据泄露，以及针对关键基础设施、能源、交通、电信、医疗和国防领域的潜在破坏性行动。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员披露一起与俄罗斯关联的钓鱼攻击活动，使用两款全新恶意软件家族 BadPaw 和 MeowMeow 针对乌克兰组织。攻击链以携带 ZIP 压缩包链接的钓鱼邮件开始。打开后，一个 HTA 文件会显示一份乌克兰语的边境过境申请诱饵文档，同时在后台秘密启动感染链。 ClearSky 的报告写道：“攻击链始于一封包含 ZIP 压缩包链接的钓鱼邮件。解压后，初始 HTA 文件会显示一份用乌克兰语撰写的关于边境过境申请的诱饵文档，以欺骗受害者。与此同时，感染程序会下载基于.NET 的加载器 BadPaw。在建立 C2 通信后，该加载器会投放功能复杂的后门 MeowMeow。” 研究人员发现，这两款恶意软件均使用.NET Reactor 加壳工具增加分析与逆向难度，表明攻击者意图规避检测并实现长期驻留。 报告继续写道：“BadPaw 采用的另一层防护是使用.NET Reactor，这是一款用于.NET 程序集的商用保护与混淆工具。该加壳工具对底层代码进行混淆，阻碍静态分析与逆向工程。” 该恶意软件还包含多重防御机制。其组件仅在使用特定参数启动时才会激活，否则显示正常界面并执行无害代码。 MeowMeow 后门增加环境检测，扫描系统是否为虚拟机，以及是否存在 Wireshark、ProcMon、Fiddler 等分析工具。若检测到沙箱或研究环境，会立即停止运行以避免被分析。 ClearSky 研究人员高置信度将此次活动归为与俄罗斯相关的网络间谍组织，较低置信度归为 APT28。评估依据三点：针对乌克兰机构、代码中存在俄语痕迹、战术与俄罗斯过往网络行动一致（包括多阶段感染链、.NET 加载器）。 与此同时，攻击链会投放名为 BadPaw 的.NET 加载器，该加载器与远程服务器建立通信，获取并投放高级后门 MeowMeow。 该活动中置信度归为俄罗斯国家级威胁组织 APT28，依据是目标范围、诱饵的地缘政治属性，以及与俄罗斯过往网络行动的技术重合点。 ClearSky 的研究详细描述了多阶段感染链，该感染链始于通过乌克兰服务商 ukr [.] net 发送的钓鱼邮件，该服务商曾在俄罗斯的攻击活动中被滥用。邮件包含一个链接，首先加载追踪像素，受害者点击时通知攻击者，随后跳转到短链接，下载 ZIP 压缩包。 压缩包内是伪装成 HTML 文档的 HTA 文件。执行时会打开关于乌克兰边境过境申请的诱饵文档，同时静默启动恶意流程。该 HTA 通过检查系统安装日期进行反分析，若为新近安装系统则终止运行，这是常见的沙箱规避手段。 报告继续写道：“释放的诱饵文档属于社会工程手段，显示为乌克兰边境过境政府申请的回执确认。该诱饵用于维持合法外观，而 HTA 文件在后台执行后续阶段。” “为规避检测并识别潜在沙箱环境，HTA 文件通过检查以下注册表项进行环境判断：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate 通过查询该值，恶意软件计算操作系统 “年龄”。若系统安装时间距运行不足 10 天，恶意软件直接退出。这是一种常见反分析技术，用于避免在新建虚拟机或自动化分析沙箱中运行。” 若条件满足，会查找原始压缩包，释放额外组件，并通过计划任务实现持久化。随后 VBS 脚本通过隐写术从图片中提取隐藏的载荷数据，释放出 PE 文件，研究人员确认为 BadPaw 加载器，该加载器最终投放 MeowMeow 后门并建立 C2 通信。 研究人员在恶意软件代码中发现俄语字符串，其中包括表示达到运行状态所需时间的内容。这些痕迹表明来源为俄罗斯，可能是操作安全（OPSEC）失误，或未针对乌克兰目标移除开发残留内容。 报告总结道：“这些俄语字符串的存在表明两种可能：威胁组织犯了操作安全错误，未针对乌克兰目标环境做代码本地化；或是在恶意软件制作阶段无意中留下了俄语开发痕迹。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国新泽西州最大的县之一正遭受网络攻击，全县政府部门电话线路与 IT 系统均受影响中断。 位于新泽西州北部、人口近 60 万的帕塞伊克县（Passaic County）于周三晚间发布公告，告知居民该县遭遇恶意软件攻击，IT 系统与电话线路受影响。 该县表示：“我们正与联邦及州政府官员合作，调查并控制此次事件。” 该县周三上午首次通报电话线路中断，下午确认故障由网络攻击导致。 在 2023 至 2025 年针对大型都会区的多起勒索软件攻击后，网络犯罪团伙现已将目标转向中小型地方政府。2026 年至今，已有数十个县市成为攻击目标，包括佛罗里达州、康涅狄格州和西弗吉尼亚州的多个城市。 除地方政府外，近几周多家医院也成为黑客攻击目标。密西西比州一家大型医院遭勒索软件攻击后，经过数周恢复，终于在周一恢复正常运营；此前该院系统长期中断、停诊并取消大量预约。 帕塞伊克县官员表示：“新泽西州其他多个地方政府也遭遇过类似事件”，这很可能指此前曾遭勒索软件攻击的萨默塞特县、卡姆登县、伯根县、蒙特克莱尔镇和霍博肯市。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子找到了绕过用户防御的新方法 —— 将恶意软件隐藏在看似正常的游戏工具中。微软安全团队发现一项活跃攻击活动，攻击者向毫无防备的用户分发热门游戏工具的木马化版本。 这些伪造工具一旦运行，会静默部署远程访问木马（RAT），使攻击者获得对受感染主机的完全无限制控制权。 该攻击活动标志着威胁行为者的攻击方式发生明显转变，他们利用日常软件攻击范围更广、警惕性更低的受害者群体。 恶意软件通过浏览器和聊天平台传播，用户极易在不知情的情况下下载并运行受感染文件。 该活动中使用的两个主要文件名为 Xeno.exe 和 RobloxPlayerBeta.exe，选择这些名称是因为它们对游戏玩家而言看起来熟悉且完全可信。 通过针对游戏社区，攻击者赌定年轻用户或休闲用户对运行从聊天群或非正规第三方网站下载的可执行文件警惕性较低。 该手段有效降低受害者警惕性，并显著提升攻击者的整体成功率。 微软威胁情报分析师识别出该恶意软件并追踪其完整攻击链，揭示出一个经过精心策划的多阶段感染流程。 研究人员指出，最终载荷是一种多功能威胁，可同时充当加载器、执行器、下载器和 RAT。 这种组合能力使其远胜于单纯的数据窃取工具，攻击者可随时利用其安装更多恶意软件、执行远程命令并窃取敏感信息。 该攻击活动的影响十分严重，不可低估。 一旦 RAT 成功安装，攻击者通过 IP 地址为 79.110.49 [.] 15 的命令与控制（C2）服务器连接受害者主机。从此时起，受攻陷系统完全处于攻击者控制之下。 主机上的个人文件、登录凭据以及所有存储或输入的数据均可被静默窃取，用户毫无察觉。 对于员工可能使用个人设备办公的机构而言，该威胁会造成严重且深远的后果。 感染机制与持久化手段 该攻击活动的巧妙之处在于恶意软件的自安装方式及规避安全工具检测的手段。 受害者运行木马化游戏工具后，恶意下载器会在主机上静默部署便携式 Java 运行环境，随后执行名为 jd-gui.jar 的恶意 Java 归档文件。 使用便携式 Java 运行环境意味着攻击者无需受害者设备预先安装 Java，恶意软件自带所需全部组件。 为避免被检测，下载器采取多项谨慎措施。它利用 PowerShell 及系统自带工具（LOLBins）—— 特别是合法 Windows 工具 cmstp.exe—— 以融入正常系统活动的方式执行代码。 下载器完成任务后会自删除，以清除在系统中的所有痕迹。攻击者还直接在 Microsoft Defender 中为 RAT 组件添加排除项，实质上让安全工具完全忽略恶意文件。 为确保恶意软件在系统重启后依然运行，攻击者创建了计划任务和名为 world.vbs 的启动脚本。 这些持久化机制确保 RAT 在每次系统启动时运行，为攻击者在受感染系统中提供稳定持久的立足点。 机构与个人用户应采取以下措施防御该威胁： ・拦截或监控指向已知恶意域名与 IP 地址的外连流量，并对从非企业来源下载 java [.] zip 或 jd-gui.jar 设置告警。 ・利用 EDR 遥测数据在终端中检索相关进程与组件。 ・审计 Microsoft Defender 排除项与计划任务，排查可疑或随机命名条目，并删除恶意任务与启动脚本。 ・发现受影响终端后立即隔离，收集 EDR 遥测数据，并重置受攻陷主机上所有活跃用户的凭据。 入侵指标（IOC）     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜威胁组织 ScarCruft 被发现使用一系列新型工具，其中包括一款利用 Zoho WorkDrive 进行命令与控制（C2）通信以下载更多载荷的后门，以及一款利用可移动介质转发命令、攻陷物理隔离网络的植入程序。 Zscaler ThreatLabz 将该攻击活动命名为 Ruby Jumper，其中部署了 RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK、FOOTWINE、BLUELIGHT 等多款恶意软件，用于对受害系统实施监控。该网络安全公司于 2025 年 12 月发现此次活动。 安全研究员 Seongsu Park 表示：“在 Ruby Jumper 攻击活动中，受害者打开恶意 LNK 文件后，该文件会执行 PowerShell 命令，并扫描当前目录，根据文件大小定位自身。” “随后，由 LNK 文件启动的 PowerShell 脚本从该 LNK 文件内的固定偏移量中提取多个内嵌载荷，包括诱饵文档、可执行载荷、额外 PowerShell 脚本和批处理文件。” 该活动使用的诱饵文档之一展示了一篇从朝鲜报纸翻译成阿拉伯语的关于巴以冲突的文章。 其余三个载荷均用于逐步将攻击推进至下一阶段：批处理脚本启动 PowerShell，PowerShell 负责解密并加载包含载荷的 shellcode。名为 RESTLEAF 的 Windows 可执行载荷在内存中运行，并使用 Zoho WorkDrive 作为 C2，这是该威胁组织首次在攻击活动中滥用该云存储服务。 RESTLEAF 通过有效访问令牌成功在 Zoho WorkDrive 基础架构中完成认证后，会下载 shellcode 并通过进程注入执行，最终部署 SNAKEDROPPER。SNAKEDROPPER 安装 Ruby 运行环境，通过计划任务实现持久化，并释放 THUMBSBD 和 VIRUSTASK。 THUMBSBD 伪装为 Ruby 文件，利用可移动介质在联网系统与物理隔离系统之间转发命令、传输数据。该恶意软件可收集系统信息、从远程服务器下载二级载荷、外传文件并执行任意命令。若检测到可移动介质，恶意软件会创建隐藏文件夹，用于存放攻击者下发的命令或存储执行结果。 THUMBSBD 投放的载荷之一是 FOOTWINE，这是一个内置 shellcode 加载器的加密载荷，具备键盘记录、音视频采集能力，用于实施监控。该恶意软件通过 TCP 使用自定义二进制协议与 C2 服务器通信。 该恶意软件支持的完整命令如下： ·     sm：交互式命令 Shell ·     fm：文件与目录操作 ·     gm：插件与配置管理 ·     rm：修改 Windows 注册表 ·     pm：枚举运行中的进程 ·     dm：截屏与键盘记录 ·     cm：音视频监控 ·     s_d：从 C2 服务器接收批处理脚本内容，保存至 % TEMP%\SSMMHH_DDMMYYYY.bat 并执行 ·     pxm：建立代理连接并双向转发流量 ·     [filepath]：加载指定 DLL THUMBSBD 还用于分发 BLUELIGHT，这是一款至少从 2021 年起就被归属于 ScarCruft 的后门。该恶意软件利用 Google Drive、Microsoft OneDrive、pCloud、BackBlaze 等合法云服务作为 C2，执行任意命令、枚举文件系统、下载额外载荷、上传文件并自删除。 VIRUSTASK 同样以 Ruby 文件形式释放，功能与 THUMBSBD 类似，作为可移动介质传播组件，将恶意软件扩散至未受感染的物理隔离系统。 Park 解释道：“与负责命令执行和数据外传的 THUMBSBD 不同，VIRUSTASK 专注于利用可移动介质实现对物理隔离系统的初始访问。” Park 表示：“Ruby Jumper 攻击活动采用多级感染链，以恶意 LNK 文件为起点，利用 Zoho WorkDrive、Google Drive、Microsoft OneDrive 等合法云服务部署新型独立 Ruby 执行环境。” “最关键的是，THUMBSBD 和 VIRUSTASK 利用可移动介质绕过网络隔离，感染物理隔离系统。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Aeternum C2 的新型僵尸网络加载器细节，该恶意软件采用基于区块链的命令与控制（C2）架构，使其难以被取缔。 Qrator Labs 在提交给 The Hacker News 的报告中表示：“Aeternum 不依赖传统服务器或域名实现命令与控制，而是将指令存储在公共的 Polygon 区块链上。” “该网络被包括全球最大预测市场 Polymarket 在内的去中心化应用广泛使用。这种方式使 Aeternum 的 C2 架构具备事实上的永久性，且能够抵御传统取缔手段。” 这并非首次发现僵尸网络依赖区块链实现 C2 通信。 2021 年，谷歌表示已采取行动干扰名为 Glupteba 的僵尸网络，该网络将比特币区块链用作备用 C2 机制，以获取真实 C2 服务器地址。 Aeternum C2 的相关细节最早于 2025 年 12 月曝光，Outpost24 旗下 KrakenLabs 披露，名为 LenAI 的威胁行为者在地下论坛以 200 美元的价格兜售该恶意软件，向客户提供管理面板与已配置的编译版本。 据称，支付 4000 美元即可获得完整的 C++ 源代码及后续更新。 该恶意软件为原生 C++ 加载器，提供 32 位与 64 位版本，其运行机制是将下发给受感染主机的命令写入 Polygon 区块链上的智能合约。 僵尸主机随后通过查询公共远程过程调用（RPC）端点读取这些命令。 所有操作均通过基于网页的管理面板进行，客户可在面板中选择智能合约、选择命令类型、指定载荷 URL 并进行更新。 可面向全部终端或指定终端的命令会以交易形式写入区块链，之后所有轮询该网络的受感染设备均可获取该命令。 Qrator Labs 表示：“命令一经确认，除钱包持有者外，其他任何人都无法修改或删除。” “操作者可同时管理多个智能合约，每个合约可承载不同的载荷或功能，例如剪切器、信息窃取器、远程访问木马或挖矿程序。” 根据 Ctrl Alt Intel 本月早些时候发布的两部分研究内容，该 C2 面板基于 Next.js 网页应用实现，允许操作者向 Polygon 区块链部署智能合约。智能合约中包含一个函数，当恶意软件通过 Polygon RPC 调用该函数时，合约会返回加密命令，该命令随后会在受害主机上解密并执行。 除利用区块链实现抗取缔能力外，该恶意软件还集成了多种反分析功能，以延长感染存活时间。其中包括检测虚拟化环境，同时为客户提供通过 Kleenscan 扫描其编译版本的能力，确保不被杀毒软件厂商检出。 这家捷克网络安全厂商表示：“运营成本极低：价值 1 美元的 Polygon 网络原生代币 MATIC，即可支持 100 至 150 次命令交易。操作者无需租用服务器、注册域名或维护任何基础设施，仅需一个加密货币钱包和面板的本地副本即可。” 该威胁行为者随后试图以 10000 美元的价格出售整套工具包，声称无暇提供支持且正在参与其他项目。LenAI 称：“我将把整个项目出售给一个人，允许转售和商业使用，授予全部‘权限’。我还会提供尚未实现的开发相关实用提示 / 笔记。” 值得注意的是，LenAI 还开发了另一款恶意软件工具 ErrTraffic，该工具可使威胁行为者在受攻陷网站上制造虚假故障，自动实施 ClickFix 攻击，制造虚假紧急感并诱骗用户执行恶意指令。 本次披露发布的同时，Infrawatch 也公布了一项地下服务的细节：该服务将专用笔记本硬件部署到美国家庭中，将这些设备纳入名为 DSLRoot 的住宅代理网络，用于转发恶意流量。 该硬件运行基于 Delphi 编写的 DSLPylon 程序，该程序具备枚举网络中受支持调制解调器的能力，并可通过安卓调试桥（ADB）集成功能远程控制家用网络设备与安卓设备。 Infrawatch 表示：“溯源分析确认，该服务运营者为白俄罗斯公民，常住地为明斯克和莫斯科。据估计，DSLRoot 在美国 20 多个州运营约 300 台活跃硬件设备。” 该运营者身份已确认为 Andrei Holas（别名 Andre Holas、Andrei Golas），该服务由 BlackHatWorld 上名为 GlobalSolutions 的用户推广，声称提供实体住宅 ADSL 代理，无限制使用价格为每月 190 美元。套餐价格为半年 990 美元、一年 1750 美元。 该公司指出：“DSLRoot 的定制软件可通过 ADB 对家用调制解调器（ARRIS / 摩托罗拉、贝尔金、D-Link、华硕）与安卓设备实现自动化远程管理，支持 IP 地址轮换与连接控制。” “该网络无需认证即可运行，允许客户端通过美国住宅 IP 匿名转发流量。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个此前未被记录的威胁活动集群，被关联到一场至少从 2025 年 12 月开始、针对美国教育和医疗行业的持续恶意攻击活动。 Cisco Talos 正在以代号 UAT-10027 追踪该攻击活动。攻击的最终目的是投放一款此前从未出现过、代号为 Dohdoor 的后门。 “Dohdoor 利用基于 HTTPS 的 DNS（DoH）技术进行命令与控制（C2）通信，并能够以反射式方式下载并执行其他二进制载荷，” 安全研究人员 Alex Karkins 和 Chetan Raghuprasad 在一份分享给《The Hacker News》的技术报告中表示。 尽管目前尚不清楚该攻击活动使用的初始入口向量，但据推测涉及社会工程钓鱼手段，最终会执行一段 PowerShell 脚本。 该脚本随后会从远程中转服务器下载并运行一个 Windows 批处理脚本，而该脚本会进一步协助下载一个名为 propsys.dll 或 batmeter.dll 的恶意 Windows 动态链接库（DLL）。 该 DLL 载荷，即 Dohdoor，通过合法 Windows 可执行文件（如 Fondue.exe、mblctr.exe 和 ScreenClippingHost.exe），使用一种被称为 DLL 侧加载的技术启动。该植入程序创建的后门访问权限被用于将下一阶段载荷直接加载到受害者内存并执行。该载荷被判定为 Cobalt Strike Beacon。 “威胁行为者将 C2 服务器隐藏在 Cloudflare 基础设施之后，确保从受害者机器发出的所有出站通信，在外观上都与发往可信全球 IP 地址的合法 HTTPS 流量一致，”Talos 表示。 “该技术绕过了基于 DNS 的检测系统、DNS 黑洞以及监控可疑域名查询的网络流量分析工具，确保恶意软件的 C2 通信能够躲避传统网络安全基础设施的检测。” 研究人员还发现，Dohdoor 会对系统调用进行脱钩，以绕过那些通过 NTDLL.dll 中的用户态钩子监控 Windows API 调用的终端检测与响应（EDR）方案。 Raghuprasad 向 The Hacker News 表示：“攻击者已入侵多家教育机构，其中包括一所与其他多家机构相连的大学，这表明其潜在攻击面可能更广。此外，受影响实体中还有一家医疗设施，专门提供老年护理服务。” 对该攻击活动的分析显示，截至目前尚未发现数据窃取的证据。研究人员补充称，除了看似用于在受害者环境中植入后门的 Cobalt Strike Beacon 之外，尚未观察到其他最终载荷，但根据受害者类型模式判断，UAT-10027 的行动很可能受金融利益驱动。 目前尚不清楚 UAT-10027 背后的组织身份，但 Cisco Talos 表示，其发现 Dohdoor 与 LazarLoader 在战术上存在一些相似之处。LazarLoader 是一款此前被发现由朝鲜黑客组织 Lazarus 在针对韩国的攻击中使用的下载器。 “尽管 UAT-10027 的恶意软件与 Lazarus 组织存在技术重合，但该攻击活动对教育和医疗行业的聚焦，与 Lazarus 通常针对加密货币和国防领域的特征并不一致，”Talos 总结道。 “不过…… 朝鲜 APT 行为者曾使用 Maui 勒索软件攻击医疗行业，而另一个朝鲜 APT 组织 Kimsuky 也曾针对教育行业，这表明 UAT-10027 的受害者特征与其他朝鲜 APT 存在重合之处。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场以求职为诱饵针对软件开发人员的协同攻击活动，正利用伪装成合法 Next.js 项目和技术评估材料（包括招聘编码测试）的恶意代码仓库实施攻击。 攻击者的目标是在开发者设备上实现远程代码执行（RCE）、窃取敏感数据，并在受入侵系统中植入额外的有效载荷。 多重执行触发机制 Next.js 是一款用于构建 Web 应用的热门 JavaScript 框架，它基于 React 运行，并使用 Node.js 作为后端。 微软防御团队表示，攻击者创建了伪造的基于 Next.js 构建的 Web 应用项目，并将其伪装成编码项目，在求职面试或技术评估环节分享给开发者。 研究人员最初发现了一个托管在 Bitbucket（基于 Git 的云端代码托管与协作服务）上的代码仓库。但随后发现了多个具有相同代码结构、加载器逻辑和命名模式的代码仓库。 当目标开发者按照标准流程克隆该仓库并在本地打开时，会触发恶意 JavaScript 代码，该代码在启动应用时自动执行。 该脚本从攻击者的服务器下载额外的恶意代码（一个 JavaScript 后门），并通过正在运行的 Node.js 进程直接在内存中执行，从而实现对设备的远程代码执行。 攻击链概述（来源：微软） 微软解释称，为提高感染率，攻击者在恶意代码仓库中嵌入了多重执行触发机制。具体总结如下： VS Code 触发机制 —— 配置了 runOn: “folderOpen” 的 .vscode/tasks.json 文件，会在项目文件夹被打开（且被信任）时立即执行一个 Node 脚本。 开发服务器触发机制 —— 当开发者运行 npm run dev 命令时，一个被植入木马的资源（如修改后的 JS 库）会解码隐藏的 URL，从远程服务器获取加载器并在内存中执行。 后端启动触发机制 —— 服务器启动时，一个后端模块会从 .env 文件中解码 base64 格式的端点地址，将 process.env 信息发送给攻击者，接收响应的 JavaScript 代码并通过 new Function () 执行。 感染过程会释放一个 JavaScript 有效载荷（第一阶段），该载荷会收集主机信息并向命令与控制（C2）端点注册，按固定时间间隔轮询服务器。 随后感染会升级为任务控制器（第二阶段），连接至另一个独立的 C2 服务器，检查待执行任务，在内存中执行下发的 JavaScript 代码，并跟踪衍生的进程。该有效载荷还支持文件枚举、目录浏览和分阶段文件窃取。 第二阶段的服务器轮询功能（来源：微软） 微软发现，此次攻击活动涉及多个具有相同命名规则、加载器结构和分级基础设施的代码仓库，表明这是一场协同攻击，而非单次攻击行为。 除技术分析外，研究人员未披露关于攻击者或攻击规模的任何细节。 这家科技巨头建议，开发者应将日常标准工作流程视为真正的高风险攻击面，并采取相应的防范措施。 建议的缓解措施包括启用 VS Code 工作区信任 / 受限模式、使用攻击面减少（ASR）规则，以及通过 Entra ID Protection 监控高风险登录行为。 应尽量减少存储在开发者终端上的敏感信息，并尽可能使用权限最小化的短期令牌。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，一个与俄罗斯相关联的威胁行为者针对一家欧洲金融机构发起社会工程攻击，目的可能是情报收集或金融盗窃，这表明该威胁行为者可能将攻击范围从乌克兰扩大到支持该国的相关机构。 此次活动针对一家参与地区发展与重建项目的未具名机构，已被归因于编号为 UAC-0050（又称 DaVinci Group）的网络犯罪组织。BlueVoyant 将该威胁集群命名为 Mercenary Akula。该攻击于本月早些时候被发现。 研究人员 Patrick McHale 和 Joshua Green 在提交给 The Hacker News 的报告中表示：“此次攻击伪造了乌克兰司法域名，发送包含远程访问有效载荷链接的邮件。” “攻击目标是一名负责采购事务的高级法律与政策顾问，该职位对机构运营和财务机制拥有高权限了解。” 攻击起点为鱼叉式钓鱼邮件，以法律相关内容为主题，引导收件人下载存储在 PixelDrain 上的压缩文件，该威胁行为者利用此文件共享服务绕过基于信誉的安全管控。 该 ZIP 文件用于启动多层级感染链。ZIP 文件内包含一个 RAR 压缩包，其中有加密的 7-Zip 文件，内含可执行程序，通过被广泛滥用的双后缀技巧（*.pdf.exe）伪装成 PDF 文档。 程序运行后会部署 Remote Manipulator System（RMS）的 MSI 安装包，这是一款俄罗斯远程桌面软件，可实现远程控制、桌面共享和文件传输。 研究人员指出：“使用此类‘ Living‑off‑the‑Land ’工具可为攻击者提供持久、隐蔽的访问权限，同时通常能规避传统杀毒软件检测。” 使用 RMS 符合 UAC-0050 以往的作案手法，该威胁行为者在针对乌克兰的攻击中曾投放 LiteManager 等合法远程访问软件以及 RemcosRAT 等远程访问木马。 乌克兰计算机应急响应小组（CERT-UA）将 UAC-0050 定性为与俄罗斯执法机构相关的雇佣兵组织，该组织以 Fire Cells 为代号开展数据收集、金融盗窃、信息战与心理战行动。 BlueVoyant 表示：“此次攻击体现了 Mercenary Akula 成熟且固定的攻击特征，同时也出现了显著变化。” “首先，他们的攻击目标此前主要集中在乌克兰境内机构，尤其是会计和财务人员。” “但此次事件表明，该组织可能开始试探西欧地区支持乌克兰的机构。” 据 The Record 报道，此次披露发布之际，乌克兰表示俄罗斯针对其能源基础设施的网络攻击正越来越多地聚焦于情报收集，为导弹打击提供指引，而非直接破坏设施运行。 网络安全公司 CrowdStrike 在其年度《全球威胁报告》中表示，预计与俄罗斯相关的对手将继续开展激进行动，目标是从乌克兰目标和北约成员国处收集情报。 这其中包括 APT29（又称 Cozy Bear、Midnight Blizzard）在鱼叉式钓鱼攻击中 “系统性” 利用信任关系、机构信誉与平台合法性，针对美国非政府组织及一家美国法律机构，以非法获取受害者的微软账号权限。 CrowdStrike 表示：“Cozy Bear 成功入侵或冒充与目标用户存在信任职业关系的人员。” “被冒充的人员包括国际非政府组织分支机构及亲乌克兰组织的员工。” “攻击者投入大量资源完善伪装，使用入侵人员的合法邮箱账号及临时通信渠道增强真实性。”       消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文