HackerNews 编译，转载请注明出处： 一项针对PlugX蠕虫的开创性恶意软件消毒行动在国际机构的协作下已圆满执行。 此次行动由Sekoia威胁检测与研究团队牵头，成功为多个国家的受感染系统进行了消毒。 PlugX蠕虫常与“野马熊猫”（Mustang Panda）相关联，可通过受感染的闪存盘传播，极具普遍性。2023年，Sekoia研究人员查尔斯·梅斯莱（Charles Meslay）和费利克斯·艾梅（Félix Aimé）在控制了一个关键的指挥与控制（C2）服务器后，对该恶意软件进行了分析，并提出了两种潜在的消毒方法。 这包括一个自我删除命令和一种更先进的代码执行方法，以清理系统和连接的驱动器。此次行动主要采用了更简单、侵入性更低的方法来降低风险。 响应公开求助，34个国家请求获取蜜罐日志以识别受感染的网络，而22个国家表示对主动消毒感兴趣。 最终，在巴黎检察院和法国国家宪兵队网络部门的监督下，10个国家开展了消毒行动。 为简化操作，Sekoia仅用一周时间就开发了一个专用的消毒门户。该平台允许参与国家登录，访问受感染资产的详细统计信息，并通过选择特定网络或IP范围来启动消毒行动。 该过程确保了最小程度的干扰。如果IP地址符合预定标准，蜜罐将发送一个小型消毒有效载荷并记录操作。 在整个行动期间，共向5539个IP地址发送了59475个有效载荷。 尽管技术上相对简单，但此次行动凸显了法律层面的复杂性。执法机构和司法部门的积极参与对于遵守国际法律至关重要。 此次合作也为未来的消毒行动树立了先例，展示了主权网络安全合作的潜力。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub正遭遇虚假“星标”泛滥的问题，这些虚假星标被恶意用于提升软件病毒传播仓库的曝光度，诱使更多无辜用户上钩。 星标功能类似于社交媒体上的“点赞”，让用户能够为自己感兴趣的仓库标记。GitHub则将这些星标作为全球排名系统的参考指标之一，并据此向用户推荐相关内容。 GitHub说明：“用户可通过为仓库或主题加注星标，来发掘平台上的相似项目。一旦加星标，GitHub可能会在个人仪表板上推荐相关内容。” 去年夏季，Check Point揭露了一个名为“Stargazers Ghost Network”的恶意软件传播网络，该网络通过大量虚假账户为虚假项目加星标，以推广信息窃取恶意软件，揭示了这一问题的存在已久。 不仅恶意项目，部分非恶意项目也采用虚假星标手段提升人气、扩大影响，吸引真实用户关注与采用，此举不仅加剧了问题，还损害了平台信誉。 近期，Socket联合卡内基梅隆大学及北卡罗来纳州立大学的研究人员发布的一项新研究显示，GitHub上约有450万个星标疑似虚假。 追踪虚假星标 研究团队开发了一款名为“StarScout”的工具，用于分析来自“GHArchive”的20TB数据，寻找虚假星标的迹象。GHArchive记录了2019年7月至2024年10月期间超过60亿个GitHub事件的元数据，包括3.1亿个仓库的6,050万用户操作和6.1亿个星标。 StarScout通过检测用户的活动特征来识别可疑星标行为，比如仅为单个仓库加星标的用户、显示出机器人或临时账户活动模式的用户，以及在短时间内对相同仓库加星标的账户群体。该方法基于CopyCatch算法，这是一种专为发现社交网络中欺诈模式设计的算法。 通过将低活动量和同步模式算法应用于数据分析，研究团队识别出了4,530,000个疑似虚假星标，这些星标来自1,320,000个账户，分布在22,915个仓库中。 为了提高结果的准确性，研究人员筛除了潜在的误报，仅保留了那些在单个月份内出现显著异常星标激增且虚假星标比例超过10%的仓库。这一筛选过程将结果缩减为310万个虚假星标，涉及278,000个账户和15,835个仓库。 到2024年10月，约91%的相关仓库和62%的虚假账户已被删除，这进一步证明了StarScout工具的有效性。此外，2024年虚假星标活动显著增加，特别是在7月期间，超过50个星标的仓库中约有15.8%参与了这些恶意活动。 研究团队在2024年7月报告了StarScout识别的虚假仓库和账户，GitHub已将其全部删除。目前，他们仍在评估并报告2024年11月发现的其他虚假星标群体。 虚假星标对GitHub及其用户的影响多方面显现，但总体而言，这一问题正在侵蚀平台的信任基础及其托管的各种软件项目的可靠性。 用户在下载软件前应谨慎对待星标数量，深入评估仓库的活动和质量，仔细阅读文档、检查内容和贡献，并在可能的情况下审查代码。 欺诈性GitHub仓库的存在十分普遍，甚至被国家支持的行动所利用。因此，在下载软件时必须提高警惕。 BleepingComputer已联系GitHub以了解其应对虚假星标问题的具体措施，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，恶意软件僵尸网络“Ficora”与“Capsaicin”正利用已停产或运行过时固件版本的D-Link路由器发起攻击。这些目标涵盖了多款常见的D-Link型号，例如DIR-645、DIR-806、GO-RT-AC750以及DIR-845L。 在初始攻击阶段，攻击者利用了几个已知的漏洞，包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。一旦设备沦陷，攻击者会通过D-Link管理界面（HNAP）的GetDeviceSettings操作执行恶意命令。 这两个僵尸网络不仅具备数据窃取能力，还能执行shell脚本。它们的主要用途是进行分布式拒绝服务（DDoS）攻击。 关于Ficora僵尸网络 Ficora是Mirai的一个变种，专门设计用于利用D-Link设备的漏洞。 根据Fortinet的遥测数据，Ficora的攻击活动在10月和11月出现了两次显著的峰值。该僵尸网络的感染范围广泛，但特别关注日本和美国。一旦感染，Ficora会通过名为“multi”的shell脚本下载并执行有效载荷，利用wget、curl、ftpget和tftp等多种方法。 此外，Ficora内置了暴力破解功能，并包含硬编码的凭证，使其能够感染其他基于Linux的设备，且支持多种硬件架构。 在DDoS攻击方面，Ficora具备UDP泛洪、TCP泛洪和DNS放大功能，从而增强了其攻击效果。 关于Capsaicin僵尸网络 Capsaicin是Kaiten僵尸网络的一个变种，据推测由Keksec组织开发，该组织因“EnemyBot”等针对Linux设备的恶意软件而闻名。 Capsaicin的攻击活动主要集中在10月21日至22日，目标多为东亚国家。在感染过程中，Capsaicin使用名为“bins.sh”的下载器脚本获取以“yakuza”为前缀的二进制文件，这些文件支持arm、mips、sparc和x86等多种架构。 此外，该恶意软件还会主动查找并禁用同一主机上运行的其他僵尸网络有效载荷。 除了与Ficora类似的DDoS功能外，Capsaicin还能收集主机信息并将其传输到指挥与控制（C2）服务器进行追踪。 为了防御这些僵尸网络恶意软件的攻击，建议采取以下措施： 确保路由器和物联网设备运行最新的固件版本，以修复已知的漏洞。 如果设备已停产且不再接收安全更新，建议更换为新型号的设备。 更改默认的管理员凭证为独特且强大的密码，以增加攻击者的破解难度。 关闭不必要的远程访问接口，以降低被攻击的风险。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司 ESET 在其 2024 年下半年报告中指出，Lumma Stealer 信息窃取恶意软件在网络犯罪领域迅速崛起，检测量激增了 369%。 自 2022 年首次现身以来，Lumma Stealer 逐步崭露头角，最终在 2024 年下半年跻身 ESET 产品检测的十大信息窃取者之列。这款恶意软件主要针对两因素认证（2FA）浏览器扩展、用户凭证及加密货币钱包发起攻击。 在众多信息窃取者中，长期占据主导地位的 Agent Tesla 恶意软件已被 Formbook 取代。Formbook（又称 XLoader）自 2016 年以来一直活跃于网络犯罪领域，因其作为恶意软件即服务（MaaS）的性质而持续得到开发，并频繁被网络犯罪分子利用。ESET 的一位恶意软件分析师在报告中指出，Formbook 的活跃度持续不减。 与此同时，尽管臭名昭著的“信息窃取者即服务”Redline Stealer 在 2024 年 10 月作为“Magnus 行动”的一部分被国际执法机关拆除，但 ESET 认为，这一行动将促使其他类似威胁的扩张。ESET 恶意软件研究员 Alexandre Côté Cyr 表示，RedLine 信息窃取者的创作者不太可能尝试恢复该恶意软件，因为执法机关已掌握其用户名和最后使用的 IP 地址。他预计，RedLine 被拆除后留下的权力真空将导致其他恶意软件即服务信息窃取者活动的增加。 在勒索软件方面，ESET 分析指出，LockBit 勒索软件被拆除后，其他威胁行为者正在填补这一空缺。值得注意的是，RansomHub 勒索软件即服务在 2024 年下半年占据主导地位，到下半年结束时已累积数百个受害者。 ESET 威胁检测总监 Jiří Kropáč 评论道：“2024 年下半年，网络犯罪分子忙于寻找安全漏洞和创新方式，以扩大受害者群体，继续与防御者进行猫捉老鼠的游戏。因此，我们在遥测数据中观察到新的攻击途径和社交工程方法，以及新威胁的激增。同时，拆除行动也导致了之前稳定的威胁排名发生变化。”   消息来源：Infosecurity Magazine，编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客近期发起了一项名为“Contagious Interview”（传染性面试）的行动，通过虚假的职位邀请针对软件开发人员，传播一种新型恶意软件——“OtterCookie”。 据网络安全公司Palo Alto Networks和NTT Security Japan的研究分析，这项行动自2022年12月以来一直在活跃，并已经演化了多种攻击手段。最初，该行动主要利用BeaverTail和InvisibleFerret等恶意软件进行攻击，但来自NTT Security Japan的报告指出，Contagious Interview行动现在正在使用一种新的恶意软件，名为OtterCookie，该恶意软件可能于2023年9月首次被引入，且在11月出现了新的变种。 与Palo Alto Networks Unit42研究员记录的攻击类似，OtterCookie通过一个加载器传递，该加载器获取JSON数据并将“cookie”属性作为JavaScript代码执行。 NTT表示，尽管BeaverTail仍然是最常见的有效载荷，OtterCookie在一些情况下与BeaverTail一同部署，或单独使用。 该加载器通过从GitHub或Bitbucket下载的Node.js项目或npm包感染目标。然而，最近也使用了构建为Qt或Electron应用程序的文件。 攻击概述 图源：NTT Japan 一旦OtterCookie在目标设备上激活，它会使用Socket.IO WebSocket工具与其命令控制（C2）基础设施建立安全通信，并等待接收指令。 研究人员观察到执行数据窃取的Shell命令（例如收集加密货币钱包密钥、文档、图片及其他有价值信息）。 NTT解释道：“9月版本的OtterCookie已包含内置功能，用于窃取与加密货币钱包相关的密钥。” “例如，checkForSensitiveData函数使用正则表达式检查以太坊私钥，”研究人员指出，并补充说，11月版本的恶意软件对这一点进行了修改，改为通过远程Shell命令来实现此功能。 锁定加密货币信息 图源：NTT Japan 最新版本的OtterCookie还可以将剪贴板数据泄露给威胁行为者，这些数据可能包含敏感信息。 研究人员还检测到一些典型的侦察命令，如ls和cat，这表明攻击者意图探索目标环境，为进一步的深入渗透或横向移动做准备。 OtterCookie恶意软件的出现以及感染方法的多样化，表明Contagious Interview行动背后的威胁行为者正在尝试新的战术。 针对这一威胁，软件开发人员应当提高警惕，核实潜在雇主的信息，避免在个人或工作计算机上随意运行代码，尤其是在应聘过程中要求进行编程测试时。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据观察，名为 Charming Kitten （迷人小猫）的伊朗APT组织正在部署已知恶意软件 BellaCiao 的 C++ 变体。 卡巴斯基将新版本命名为BellaCPP，该公司表示，它是在“最近”对亚洲一台被感染了 BellaCiao 恶意软件的机器进行调查时发现这个文件的。 BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录在案，该公司将其描述为能够传递额外有效载荷的自定义投放器。Charming Kitten （迷人小猫）黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。 这也是Charming Kitten （迷人小猫）多年来众多开发定制的恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC)，也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm（以前称为 Phosphorus）、Newscaster、TA453 和 Yellow Garuda。 虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件，但研究发现，涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。 卡巴斯基研究员 Mert Degirmenci表示：“BellaCiao 是一个基于 .NET 的恶意软件家族，它为入侵增添了独特的变化，将 Web shell 的隐秘持久性与建立隐蔽隧道的能力相结合。” BellaCiao 的 C++ 变体是一个名为“adhapl.dll”的 DLL 文件，它实现与其祖先类似的功能，包含用于加载另一个未知 DLL（“D3D12_1core.dll”）的代码，该 DLL 可能用于创建 SSH 隧道。 BellaCPP 的独特之处在于缺少 BellaCiao 中用于上传和下载任意文件以及运行命令的 Web shell。 Degirmenci 表示：“从高层角度来看，这是没有 Web Shell 功能的 BellaCiao 样本的 C++ 表示”，并补充说 BellaCPP“使用了先前归因于该参与者的域名”。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-w5W0f_bwQql3_QeHIz37A 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现，可以使用大型语言模型 (LLM) 大规模生成恶意 JavaScript 代码的新变种，以更好地逃避检测。 Palo Alto Networks Unit 42 研究人员在一项新报告中表示： “尽管 LLM 很难从头开始创建恶意软件，但犯罪分子可以很容易地使用它们来重写或混淆现有的恶意软件，使其更难检测。” “犯罪分子可以促使 LLM 执行看起来更自然的转换，这使得检测这种恶意软件更具挑战性。” 随着时间的推移，经过足够多的转换，该方法可以降低恶意软件分类系统的性能，诱使它们相信一段恶意代码实际上是良性的。 尽管 LLM 提供商已不断加强安全防护，以防止其出轨并产生意外输出，但恶意开发人员却宣传使用WormGPT等工具来自动编写令人信服的网络钓鱼电子邮件，这些电子邮件针对潜在目标，甚至会创建新的恶意软件。 早在 2024 年 10 月，OpenAI就披露它阻止了 20 多项试图使用其平台进行侦察、漏洞研究、脚本支持和调试的操作和欺骗网络。 Unit 42 表示，它利用 LLM 的强大功能迭代重写现有的恶意软件样本，目的是绕过“无罪推定”（IUPG）或PhishingJS等机器学习（ML）模型的检测，从而有效地为创建 10,000 种新型 JavaScript 变体铺平了道路，同时又不改变其功能。 对抗性机器学习技术旨在每次将恶意软件作为输入输入系统时，使用各种方法对其进行转换——即变量重命名、字符串拆分、垃圾代码插入、删除不必要的空格以及完全重新实现代码。 该公司表示：“最终的输出是恶意 JavaScript 的新变种，它保持了与原始脚本相同的行为，但恶意分数几乎总是低得多。”并补充说，算法在 88% 的时间内将其恶意软件分类器模型的判定从恶意转变为良性。 更糟糕的是，这些重写的 JavaScript 工件在上传到 VirusTotal 平台时也会逃避其他恶意软件分析器的检测。 基于 LLM 的混淆提供的另一个关键优势是，它的大量重写看起来比 obfuscator.io 等库实现的重写自然得多，后者由于它们对源代码引入更改的方式，更容易可靠地检测和指纹识别。 Unit 42 表示：“在生成式人工智能的帮助下，新的恶意代码变种的规模可能会增加。不过，我们可以使用相同的策略来重写恶意代码，以帮助生成可以提高机器学习模型稳健性的训练数据。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/iSCmefHzaCwcHO0tuNkk2w 封面来源于网络，如有侵权请联系删除

Wiz Threat Research 揭示了一个由讲罗马尼亚语的威胁组织 Diicot（又称 Mexals）策划的新恶意软件活动。该活动以 Linux 环境为目标，采用了先进的恶意软件技术，标志着其能力显著升级。该组织一直利用 Linux 系统进行加密劫持，使用 XMRig 等工具和复杂的自传播机制。 据 Wiz Research 称，与早期迭代版本相比，更新后的恶意软件显示出惊人的复杂程度，凸显了攻击者适应和完善其战术的能力。报告指出：“我们分析的恶意软件包括一些显著的改进，反映了更高的复杂程度。”主要的进步包括引入了新的指挥控制（C2）基础设施，从基于 Discord 的 C2 过渡到 HTTP，以及采用 Zephyr 协议和 Monero 挖矿。 Diicot 图表 | 来源：Wiz Research Wiz Research 该恶意软件还改进了混淆技术。例如，修改后的 UPX 标头现在包括损坏的校验和，使标准解包工具失效。这些变化表明，该恶意软件正在努力绕过现代安全措施，阻挠自动检测。 该活动的一个突出特点是它能够根据环境调整自己的行为。在云环境中，恶意软件会优先向其他主机传播，而在传统环境中，它会部署加密有效载荷。报告解释说，“云检测逻辑”“基于远程机器的 Linux 发行版和版本”，显示了该组织对目标的细致关注。 调查中发现的有效载荷包括： Brute-Spreader： 在网络中传播并保持持久性的主要有效载荷。 反向外壳 (client.go)： 允许攻击者完全远程控制被入侵的机器。 SSH 标记扫描器： 识别弱 SSH 凭据以获得初始访问权限。 该活动对运行 OpenSSH 的 Linux 系统构成重大风险。薄弱的凭证和错误配置的安全设置很容易成为这种高级恶意软件的入口点。Wiz 研究人员强调：“如果你的系统依赖 SSH 且没有适当的安全保护，它们很容易成为攻击目标。” 加密劫持仍然是 Diicot 行动的核心动机。攻击者从 Monero 挖矿中赚取了超过 16,000 美元，还从 Zephyr 协议中赚取了更多难以追踪的收入。除了经济损失，企业还面临数据外渗、系统受损和潜在运营中断的风险。 随着 Diicot 集团的不断发展，防御策略也必须与时俱进。Wiz Research 建议加强 SSH 配置，强制执行强密码，并部署能够识别混淆有效载荷的高级检测机制。   转自安全客，原文链接：https://www.anquanke.com/post/id/302932 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Forescout的分析发现，针对工业控制系统（ICS）的新型恶意软件攻击能够导致工程流程崩溃。 研究人员识别出从2024年8月至11月，攻击三菱和西门子工程工作站的两种恶意软件攻击，并在VirusTotal数据库中列出。 这些恶意软件分别是针对三菱工作站的Ramnit蠕虫和针对西门子工作站的新型实验性恶意软件Chaya_003。 Chaya_003展现出了终止工程流程的能力。 研究人员发现，攻击者使用了合法服务作为指挥与控制（C2）手段，使得威胁检测变得更加困难。 工程工作站是运行传统操作系统（如Windows）并同时运行由设备制造商提供的专用工程软件的标准计算机。这些软件对于在操作技术（OT）和ICS环境中对现场设备（如可编程逻辑控制器PLC）进行调试和编程至关重要。 Forescout引用了SANS研究所的最新研究，发现工程工作站的被攻击事件占OT/ICS系统事件的20%以上，促使他们进行了这项新分析。 研究人员将他们的调查重点放在了VirusTotal上传的两类数据上：标记为恶意的软件工程可执行文件和可能与工程软件互动的恶意文件。 Forescout发现了两个Ramnit集群攻击三菱工作站的情况。 Ramnit最早出现在2010年，作为一种银行木马，旨在窃取凭证，后来发展为一个模块化平台，能够从C2服务器下载插件。 该恶意软件可以通过受感染的物理设备（如USB驱动器）或通过被攻破的IT系统网络传播。 研究人员未能确认这两个Ramnit集群是如何感染三菱工程工作站的，但他们认为恶意软件可能将恶意代码添加到合法的Windows可执行文件中，这与自2021年以来在OT软件中观察到的其他Ramnit感染相符。 调查揭示了三个二进制文件，代表了一个名为Chaya_003的恶意软件集群的三个迭代版本。 其中两个二进制文件名为“Isass.exe”和“elsass.exe”，这表明它们故意伪装成合法的系统进程，可能是为了欺骗用户或绕过杀毒软件。 Chaya_003的C2基础设施利用Discord webhooks，并具有系统侦察和进程干扰功能。 所有样本都实现了列举系统进程的功能，检索每个进程的信息并将可执行文件名与预定义列表进行比较。如果进程与列表中的条目匹配，则会被终止。 研究人员观察到“明确的进化模式”，这表明该恶意软件正在不断改进并为更广泛的部署做好准备。 Forescout呼吁工业组织采取措施，提升防御针对工程工作站的攻击。这些措施包括： 识别连接到OT网络的所有工作站，并评估其软件版本、开放端口、凭证和端点保护软件。 确保所有软件更新到最新版本，并确保端点保护解决方案已启用且保持最新。 避免直接将工程工作站暴露于互联网。 适当分隔网络，将IT、物联网（IoT）和OT设备隔离开来。 限制网络连接，只允许授权的管理和工程工作站连接。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据乌克兰计算机应急响应小组（CERT-UA）披露，名为 UAC-0125 的威胁行为者正在利用 Cloudflare Workers 服务，诱使该国军事人员下载伪装成 Army+ 的恶意软件。Army+ 是由乌克兰国防部于 2024 年 8 月推出的一款移动应用，旨在帮助武装部队实现无纸化操作。 访问伪造的 Cloudflare Workers 网站的用户会被提示下载一个名为 Army+ 的 Windows 可执行文件，该文件是使用 Nullsoft Scriptable Install System（NSIS）创建的，NSIS 是一款开源工具，用于为操作系统创建安装程序。 打开该二进制文件后，会显示一个伪装的文件并启动，同时执行一个 PowerShell 脚本，该脚本旨在安装 OpenSSH，生成一对 RSA 密钥对，将公钥添加到“authorized_keys”文件中，并通过 TOR 匿名网络将私钥传输到攻击者控制的服务器上。 该攻击的最终目标是让攻击者能够远程访问受害者的计算机，CERT-UA 表示，目前尚不清楚这些链接是如何传播的。 该机构进一步指出，UAC-0125 与另一个名为 UAC-0002 的威胁群体相关，后者更广为人知的名称包括 APT44、FROZENBARENTS、Sandworm、Seashell Blizzard 和 Voodoo Bear，这是一个与俄罗斯联邦总参谋部第 74455 单位（GRU）有关的高级持续性威胁（APT）组织。 本月早些时候，Fortra 披露其观察到“合法服务滥用”的上升趋势，恶意行为者利用 Cloudflare Workers 和 Pages 托管虚假的 Microsoft 365 登录和人类验证页面，以窃取用户凭证。 该公司表示，Cloudflare Pages 上的钓鱼攻击已增长 198%，从 2023 年的 460 起事件增至 2024 年 10 月中旬的 1,370 起。同样，利用 Cloudflare Workers 的钓鱼攻击也增加了 104%，从 2023 年的 2,447 起事件增至目前的 4,999 起。 该事件发生时，欧洲理事会对 16 名个人和 3 个实体实施制裁，指责其“俄罗斯在国外的破坏性行动”。这些对象包括涉及在欧洲的外部刺杀、爆炸和网络攻击的 GRU 29155 单位，以及参与中非共和国和布基纳法索的亲俄秘密影响操作的“非洲贸易与投资集团”和“非洲倡议”新闻机构，这些机构传播俄罗斯宣传和虚假信息。   消息来源：The Hacker News, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文