HackerNews 编译，转载请注明出处： Zscaler 旗下 ThreatLabs 团队在调查一波针对安卓设备的 Anatsa（Teabot）银行木马新感染浪潮时，发现 77 款恶意安卓应用在 Google Play 上被安装了超过 1900 万次，这些应用向用户传播多种恶意软件家族。 虽然大部分恶意应用（超过 66%）包含广告软件组件，但最常见的安卓恶意软件是 Joker，研究人员在近 25% 的分析应用中发现了它。安装到设备后，Joker 可以读取和发送短信、截屏、拨打电话、窃取通讯录、访问设备信息，并为用户订阅高级服务。 较小比例的应用程序包含伪装软件（maskware），该术语用于定义那些伪装成不会引起任何怀疑的合法应用的恶意软件。此类恶意软件可能表现为功能正常的合法应用，但会在后台执行恶意活动，例如窃取凭证、银行信息或其他敏感数据（位置、短信）。网络犯罪分子也可能利用伪装软件传播其他恶意软件。 Zscaler 研究人员还发现了一种名为 Harly 的 Joker 变种，它以一个表面合法的应用程序形式出现，但将恶意负载隐藏在代码深处，以在审核过程中规避检测。在 3 月的一份报告中，Human Security 研究人员称 Harly 可以隐藏在流行应用中，例如游戏、壁纸、手电筒和照片编辑器。 Anatsa 木马持续进化 据 Zscaler 称，最新版本的 Anatsa 银行木马进一步扩大了其目标范围，试图窃取数据的银行和加密货币应用数量从此前的 650 个增加到了 831 个。该恶意软件运营商使用一款名为“Document Reader – File Manager”（文档阅读器 – 文件管理器）的应用作为诱饵，该应用仅在安装后才下载恶意的 Anatsa 负载，以此规避谷歌的代码审查。 最新活动已从过去使用的远程 DEX 动态代码加载方式，转变为直接安装负载，从 JSON 文件中解包，然后将其删除。在规避检测方面，它使用畸形的 APK 文件来破坏静态分析，运行时基于 DES 的字符串解密，以及模拟环境检测。包名和哈希值也会定期更改。 在功能方面，Anatsa 滥用安卓系统的无障碍权限，自动授予自身广泛权限。它从服务器获取针对 831 多个应用的钓鱼页面，现已覆盖德国和韩国，同时还添加了键盘记录模块用于窃取通用数据。 在 ThreatFabric 于 7 月发现的另一波攻击之后，最新的 Anatsa 活动接踵而至。当时该木马伪装成 PDF 阅读器潜入 Google Play，下载量超过 5 万次。更早的 Anatsa 活动包括：2024 年 5 月的一次 PDF 和 QR 码阅读器攻击，感染 7 万台设备；2024 年 2 月的一次手机清理器和 PDF 攻击，获得 15 万次下载；以及 2023 年 3 月的一次 PDF 阅读器攻击，安装量达到 3 万次。 Google Play 上的恶意应用浪潮 除了此次发现的恶意 Anatsa 应用外，Zscaler 发现的大多数是广告软件家族，其次是“Joker”、“Harly”和各种伪装软件。 “ThreatLabz 发现 Google Play 商店上的广告软件应用数量急剧上升，同时还有诸如 Joker、Harly 以及 Anatsa 等银行木马类恶意软件，”Zscaler 研究员 Himanshu Sharma 解释道，“相比之下，像 Facestealer 和 Coper 这样的恶意软件家族数量则出现了明显下降。” 工具和个性化应用占用于传播这些恶意软件的诱饵的一半以上，因此这两类应用，连同娱乐、摄影和设计类应用，应被视为高风险类别。包括含有 Anatsa 木马的应用在内，这 77 款恶意应用在 Google Play 上的总下载量达到 1900 万次。 Zscaler 报告称，在其报告后，谷歌已从 Play 商店中移除了他们此次发现的所有恶意应用。安卓用户必须确保其设备上的 Play Protect 服务处于激活状态，以便标记恶意应用进行移除。若感染了 Anatsa 木马，则需采取额外步骤联系银行，以保护可能已被泄露的电子银行账户或凭证安全。 为尽量减少来自 Google Play 上恶意软件加载器的风险，请仅信任信誉良好的发布者，至少阅读几条用户评论，并且仅授予与应用核心功能直接相关的权限。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名高级持续性威胁（APT）组织“透明部落”（Transparent Tribe）近期被发现使用恶意桌面快捷方式文件，针对印度政府实体的Windows和BOSS Linux系统发动攻击。 网络安全公司CYFIRMA表示：“初始入侵通过钓鱼邮件实现。攻击者利用武器化的.desktop快捷方式文件针对BOSS Linux环境，一旦用户打开这些文件，便会下载并执行恶意载荷。” 透明部落（又称APT36）被评估为源自巴基斯坦。该组织及其分支SideCopy长期以多种远程控制木马（RAT）入侵印度政府机构。此次跨平台攻击展示了该组织的持续技术演进，使其能扩大目标范围并确保在受害系统中的持久访问权限。 攻击链分析 攻击始于伪装成会议通知的钓鱼邮件，实际附件为恶意Linux桌面快捷方式文件（如“Meeting_Ltr_ID1543ops.pdf.desktop”）。这些文件假冒PDF文档诱骗用户点击，触发执行隐藏的Shell脚本。该脚本作为下载器，从攻击者控制的服务器（”securestore[.]cv”）获取十六进制编码文件，保存为ELF二进制程序；同时启动Firefox浏览器打开Google Drive上的伪装PDF文件以降低怀疑。基于Go语言的二进制程序会连接硬编码的命令与控制（C2）服务器（modgovindia[.]space:4000），接收指令、获取后续载荷并窃取数据。恶意软件还通过cron计划任务实现持久化，确保系统重启或进程终止后自动执行主载荷。 技术对抗手段 安全公司CloudSEK独立证实此活动，指出恶意软件具备系统侦察功能，并通过虚拟反调试和反沙盒检测混淆分析工具。Hunt.io进一步分析发现，攻击最终部署了透明部落已知后门Poseidon，支持数据收集、长期访问、凭证窃取及潜在横向移动能力。CYFIRMA强调：“APT36能根据目标操作系统环境定制投递机制，显著提升攻击成功率，使其得以长期潜伏于关键政府基础设施并规避传统安全防护。” 历史攻击模式关联 此次披露前数周，透明部落还被发现通过仿冒域名针对印度国防机构及关联政府实体，旨在窃取凭证和双因素认证（2FA）验证码。用户通过钓鱼邮件被诱导至恶意链接。CYFIRMA描述其流程：“受害者在仿冒登录页输入有效邮箱并点击‘下一步’后，将被重定向至第二页面，诱骗其输入邮箱密码及Kavach验证码。”需注意的是，针对印度政府机构使用的双因素认证系统Kavach的攻击，是透明部落及SideCopy自2022年初反复使用的成熟手段。CYFIRMA补充：“此类抢注域名与巴基斯坦服务器托管基础设施的组合，完全符合该组织一贯的战术、技术和程序（TTPs）。” 南亚地区威胁扩展 同期，另一南亚APT组织SideWinder也被曝光通过钓鱼邮件攻击孟加拉国、尼泊尔、巴基斯坦、斯里兰卡和土耳其。Hunt.io指出：“攻击者仿冒官方通信，诱骗受害者在托管于Netlify和Pages.dev的伪造登录页提交凭证。其伪造的Zimbra邮箱和安全门户页面模仿政府邮件、文件共享服务界面，引导用户通过虚假登录面板提交凭证。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯移动安全公司Dr. Web最新报告披露，新型安卓间谍软件“Android.Backdoor.916.origin”伪装成俄罗斯联邦安全局（FSB）开发的杀毒工具，针对本国企业高管发起定向攻击。该恶意软件具备窃听对话、调用摄像头实时监控、记录键盘输入及窃取通讯应用数据等多项监控功能。 自2025年1月首次发现以来，该恶意软件已迭代多个版本，表明其处于持续开发中。研究人员根据分发诱饵、感染方式及仅提供俄语界面的特性，判定其专为针对俄罗斯企业设计。 攻击者采用两种主要伪装策略：一款名为“GuardCB”的应用冒充俄罗斯中央银行，另两款变体“SECURITY_FSB”和“ФСБ”（FSB）则仿冒俄罗斯情报机构的官方软件。Dr. Web强调：“其界面仅支持俄语，表明该程序完全针对俄罗斯用户。文件名中出现的‘SECURITY_FSB’等标识进一步证实，网络犯罪分子试图将其伪装成与俄执法机构相关的安全程序”。 尽管该程序缺乏实际安全功能，但通过模拟杀毒软件界面阻止用户卸载。用户点击“扫描”后，界面会以30%的概率随机生成1至3个虚假威胁报告以博取信任。 安装后，恶意软件会索要多项高危权限： 地理位置访问 短信及媒体文件读取 摄像头与录音调用 无障碍服务控制 后台持续运行权限 随后启动多项服务连接命令控制（C2）服务器，接收包括以下指令： 窃取短信、联系人、通话记录、地理位置及存储图像 激活麦克风窃听、摄像头监控及屏幕流捕捉 捕获通讯应用与浏览器内容（Telegram、WhatsApp、Gmail、Chrome及Yandex应用） 执行远程命令、维持持久化访问并启用自我保护机制 Dr. Web发现该恶意软件可切换多达15个托管服务提供商，虽当前未激活此功能，但表明其具备高弹性设计。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露新型恶意软件加载器QuirkyLoader的运作细节。该工具自2024年11月起被用于垃圾邮件攻击，通过邮件分发从信息窃取程序到远程访问木马等多种恶意载荷。 恶意载荷分发与攻击手法 传播渠道：攻击者混合使用合法邮件服务商及自建邮件服务器发送垃圾邮件。 载荷类型：通过QuirkyLoader分发的恶意软件包括Agent Tesla、AsyncRAT、Formbook、Masslogger、Remcos RAT、Rhadamanthys窃取程序及Snake键盘记录器。 技术核心：邮件附带恶意压缩包，内含三个文件——合法可执行程序、恶意DLL文件及加密载荷。攻击采用DLL侧加载技术：运行合法程序时同步加载恶意DLL，该DLL随后解密载荷并通过进程镂空技术将其注入以下任一进程： AddInProcess32.exe、InstallUtil.exe或aspnet_wp.exe。 针对性攻击活动 IBM X-Force观察到近期两起攻击活动： 1、中国台湾定向攻击（2025年7月） 针对网络安全公司Nusoft Taiwan（新北市）员工，旨在部署Snake键盘记录器窃取浏览器敏感数据、键盘输入及剪贴板内容。   2、墨西哥无差别攻击（2025年7月） 随机分发载荷，主要投放Remcos RAT与AsyncRAT远程控制木马。 技术特征与规避手段 开发语言：攻击者持续使用.NET语言编写DLL加载模块。 编译技术：采用预编译(AOT)技术将代码转为原生机器码，使二进制文件呈现类似C/C++程序的静态特征，增加分析难度。 攻击规模：过去数月活动有限，但近期攻击频率显著上升。 关联威胁趋势 1、二维码钓鱼(Quishing)演进 攻击者采用新型规避技术：将恶意二维码分裂为两部分，或将其嵌入合法二维码中。此类攻击通过钓鱼工具包（如Gabagool和Tycoon）传播，可绕过传统安全检测。 2、PoisonSeed钓鱼工具包 攻击者利用该工具包窃取凭证及双因素认证(2FA)代码，通过劫持账户发起加密货币诈骗。其钓鱼域名仿冒Google、SendGrid、Mailchimp等知名服务，并采用精准验证钓鱼技术：后台实时验证邮箱有效性，同时向用户展示伪造的Cloudflare验证页面，通过验证后呈现仿冒登录表单窃取凭证。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，黑客正日益滥用AI驱动的建站托管平台Lovable批量生成钓鱼页面、恶意软件分发门户及各类欺诈网站。这些通过该平台创建的恶意网站通过仿冒知名品牌，并设置验证码（CAPTCHA）等流量过滤系统阻挡机器人检测。 尽管Lovable已采取措施防范平台滥用，但随着AI建站工具激增，网络犯罪的技术门槛持续降低。 Lovable平台攻击活动分析 网络安全公司Proofpoint表示，自2025年2月以来“已观测到数万个Lovable生成的恶意链接”通过电子邮件传播。研究人员在最新报告中披露了四类滥用该平台的攻击活动： 1、Tycoon钓鱼即服务攻击 攻击邮件包含托管于Lovable的链接，用户通过验证码后会被重定向至伪造的Microsoft登录页面（仿冒Azure AD或Okta界面）。这些网站通过中间人攻击技术窃取用户凭证、多因素认证令牌及会话Cookie。攻击者曾向5,000家机构发送数十万封钓鱼邮件。   2、支付与数据窃取欺诈 冒充UPS物流的钓鱼邮件发送近3,500封，内嵌链接将受害者导向Lovable构建的钓鱼网站。这些页面要求输入个人信息、信用卡号及短信验证码，数据通过Telegram渠道外泄至攻击者。   3、加密货币窃取活动 近万名用户收到仿冒DeFi平台Aave的钓鱼邮件（经SendGrid发送）。受害者被诱导至Lovable生成的跳转链接和钓鱼页面，在连接加密钱包后遭遇资产窃取。   4、恶意软件分发行动 攻击邮件内含链接，将用户导向伪装成发票门户的Lovable应用页面。该页面分发托管于Dropbox的RAR压缩包，内含合法签名程序与恶意DLL文件，最终通过DLL侧加载技术释放远程访问木马zgRAT。 平台响应措施 Lovable于2025年7月推出新防护机制：实时检测系统可在用户输入指令时阻止恶意网站创建，同时每日自动扫描已发布项目并删除欺诈内容。该公司声明将在秋季推出账户级滥用检测功能，主动封禁违规账户。 第三方测试显示，目前仍可利用Lovable生成仿冒大型零售商的欺诈网站且未被拦截。针对现有反滥用措施有效性的质询，Lovable暂未回应。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Noodlophile恶意软件背后的威胁行为者正在利用鱼叉式钓鱼邮件和更新的传播机制，针对位于美国、欧洲、波罗的海国家和亚太（APAC）地区的企业部署信息窃取程序。 Morphisec研究员Shmuel Uzan在分享给The Hacker News的报告中表示：“Noodlophile攻击活动已持续一年以上，目前采用伪装成版权侵权通知的高级鱼叉式钓鱼邮件，这些邮件通过侦察获取的细节（如特定Facebook页面ID和公司所有权信息）进行定制化伪装。” 网络安全供应商曾在2025年5月详细披露过Noodlophore恶意软件，揭露攻击者使用虚假人工智能（AI）工具作为诱饵传播该恶意软件。这些伪造程序被发现在Facebook等社交媒体平台上投放广告。 需要说明的是，采用版权侵权诱饵并非新手段。早在2024年11月，Check Point就曾发现一场大规模钓鱼行动，该行动以虚假的版权侵权违规为由针对个人和组织投放Rhadamanthys窃取程序。 但最新迭代的Noodlophile攻击展现出显著差异，尤其是在合法软件漏洞利用、通过Telegram进行混淆分阶段部署以及动态载荷执行方面。 整个过程始于钓鱼邮件——通过声称特定Facebook页面存在版权侵权行为来制造虚假紧迫感，诱骗员工下载并运行恶意载荷。这些邮件源自Gmail账户以规避怀疑。 邮件内含有的Dropbox链接会释放ZIP或MSI安装程序。该安装程序随后利用与海海软件（Haihaisoft）PDF阅读器相关的合法二进制文件侧载恶意DLL，最终启动混淆的Noodlophile窃取程序。在此之前，攻击者会通过运行批处理脚本利用Windows注册表建立持久化机制。 攻击链的显著特点是利用Telegram群组描述作为“死投解析器”（dead drop resolver）来获取托管窃取程序载荷的实际服务器（“paste[.]rs”），此举增加了检测和清除难度。 Uzan指出：“该方法延续了先前攻击活动的技术（例如Base64编码压缩包、滥用certutil.exe等LOLBin工具），但新增了基于Telegram的命令控制层和内存执行层，以规避基于磁盘的检测。” 身份安全风险评估 Noodlophore是一款功能完善的窃取程序，能够捕获网络浏览器数据并收集系统信息。对该窃取程序源代码的分析表明，其开发工作持续进行以扩展功能，包括实现屏幕截图捕获、键盘记录、文件窃取、进程监控、网络信息收集、文件加密和浏览器历史记录提取。 Morphisec强调：“对浏览器数据的广泛窃取表明该活动针对具有重要社交媒体足迹（尤其是Facebook等平台）的企业。这些尚未实现的功能表明窃取程序开发者正积极扩展其能力，可能将其转变为更通用且危险的威胁。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Trellix研究人员报告，一场由国家支持的间谍活动正在针对驻韩国外交使馆展开。该行动通过恶意GitHub仓库分发XenoRAT恶意软件，自2025年3月持续至今，已发起至少19次针对高价值目标的鱼叉式钓鱼攻击。 基础设施和攻击手法与朝鲜黑客组织Kimsuky（APT43）的战术高度吻合。 多阶段攻击行动 攻击分为三个阶段，3月初至7月间使用不同主题的钓鱼邮件： 初始探测阶段（3月）：最早发现的邮件针对某中欧国家使馆。 外交主题阶段（5月）：攻击者转向复杂外交诱饵。例如5月13日冒充欧盟高级官员向某西欧使馆发送标题为“5月14日欧盟代表团政治咨询会议”的虚假会议邀请。 美韩军事联盟主题阶段（6-7月）：诱饵内容涉及美韩军事合作议题。 目标主要为驻首尔的欧洲使馆，钓鱼邮件伪装成会议邀请、官方信函及活动通知，常冒用外交官名义发送。这些诱饵具有高度场景化、多语种（含韩语、英语、波斯语、阿拉伯语、法语和俄语）的特点，且多数邮件时间点与真实事件吻合以增强可信度。 统一投放手法 所有阶段均采用相同投递方式：通过Dropbox、Google Drive或Daum云存储发送受密码保护的ZIP压缩文件（降低邮件防护系统警报概率）。压缩包内含伪装成PDF的LNK文件，触发后会执行经过混淆的PowerShell代码，从GitHub或Dropbox获取XenoRAT有效载荷，并通过计划任务实现持久化驻留。 XenoRAT作为功能强大的木马，可执行键盘记录、屏幕截图、摄像头与麦克风窃取、文件传输及远程Shell操作。该恶意软件通过反射机制直接加载至内存，并采用Confuser Core 1.6.0进行混淆，实现在受感染系统中的隐蔽运行。 Trellix强调此次攻击符合APT43特征并采用典型朝鲜黑客技术，支持依据包括： 使用韩国本土邮件服务 滥用GitHub作命令控制服务器 采用与Kimsuky恶意软件家族一致的独特GUID和互斥量 关联IP及域名历史记录与Kimsuky活动重叠       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去年因供应链攻击被植入Linux发行版的XZ Utils高危后门，至今仍在DockerHub上潜伏。数十个公开镜像携带此漏洞，并污染了基于它们构建的容器。 Binarly研究团队的安全研究人员警告称，他们在DockerHub上发现超过35个仍公开的基础镜像携带臭名昭著的XZ Utils后门——该漏洞被评为最高危险等级（CVSS 10.0）。攻击者可利用此漏洞获取远程管理员权限，完全控制系统。 许多Linux网络项目可通过单条Docker命令部署，仅需单个YAML配置文件。这些在GitHub共享的模板若指定了含漏洞的操作系统版本，将导致整个项目被攻陷。研究人员强调：“任何基于受感染发行版构建的Docker镜像均会被污染。” 报告指出：“我们发现部分受感染镜像仍在Docker Hub公开。更令人担忧的是，其他镜像基于这些被感染的基础镜像构建，形成传递性感染。”已识别的12个基础镜像包含2024年3月发布的各类Debian版本（含实验版、不稳定版及未标记版本）。研究人员尚未检测基于这些漏洞系统的二级DockerHub镜像。 报告称：“目前尚不清楚Fedora、OpenSUSE等受XZ Utils后门影响的发行版所构建的Docker镜像情况。”许多二级、三级镜像可能被用于个人应用乃至企业环境，这些场景通常优先稳定性而非最新系统版本。 尽管漏洞已公开披露，含XZ Utils后门的Docker镜像仍将存留于DockerHub。维护者在GitHub解释：“类似20240311的旧版镜像不再支持。它们永远不会更新，仅作为历史存档存在。用户应选用更新的镜像。” XZ Utils后门于去年曝光，引发网络安全界震动。该后门由开发者Jia Tan植入，其通过两年持续贡献在项目中建立信誉。多个主流Linux发行版分发了恶意软件包，使其成为史上最大软件供应链攻击之一。事件促使网络安全机构发布公告，Linux供应商迅速将受影响软件包回退至旧版。然而，此时损害已然造成。 Binarly研究报告总结：“我们的发现印证了即使短暂存在的后门构建版本，也可能在容器注册表中长期未被察觉并持续存在。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2023年3月以来，60个包含凭证窃取代码的恶意Ruby软件包（gems）累计下载量已超27.5万次。这些恶意包由安全公司Socket发现，主要针对使用Instagram、TikTok、Twitter/X、Telegram、Naver、WordPress和Kakao自动化工具的韩国用户。 RubyGems作为Ruby编程语言的官方包管理器，负责Ruby库（即gems）的分发、安装和管理，其功能类似于JavaScript的npm或Python的PyPI。 攻击者使用zon、nowon、kwonsoonje和soonje等多个别名账户，将恶意包发布至RubyGems.org平台，通过分散操作增加追踪和拦截难度。以下是部分具有欺骗性命名或仿冒特征的典型包示例： WordPress自动化工具：wp_posting_duo, wp_posting_zon Telegram机器人工具：tg_send_duo, tg_send_zon SEO/反向链接工具：backlink_zon, back_duo 博客平台仿冒工具：nblog_duo, nblog_zon, tblog_duopack, tblog_zon Naver Café交互工具：cafe_basics[_duo], cafe_buy[_duo], cafe_bey, *_blog_comment, *_cafe_comment 这60个恶意包均具备看似合法的图形界面（GUI）并宣称提供相应功能。但实际上，它们会作为钓鱼工具，将用户在登录表单输入的凭证发送至攻击者硬编码的命令控制（C2）服务器地址（programzon[.]com、appspace[.]kr、marketingduo[.]co[.]kr）。窃取的数据包含： 明文用户名和密码 用于设备指纹识别的MAC地址 用于追踪攻击效果的软件包名称 部分工具会返回虚假的成功或失败消息，但并未向实际服务发起真正的登录或API调用。Socket研究人员在俄语暗网市场发现的凭证日志与此次攻击活动相关，这些日志的交互记录指向攻击者控制的营销工具站点marketingduo[.]co[.]kr。 尽管Socket已向RubyGems团队报告全部恶意包，但其中至少16个目前仍可获取。RubyGems供应链攻击并非首次出现，此类威胁已持续数年。例如今年6月，Socket曾报告另一起仿冒移动开发自动化工具Fastlane的恶意Ruby包事件，专门针对Telegram机器人开发者。 开发者应严格审查从开源仓库获取的库文件，警惕混淆代码等可疑特征，同时评估发布者信誉与更新历史，并将依赖库锁定在“已知安全”的版本。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，间谍软件制造商Candiru据信利用新基础设施，通过Windows恶意软件攻击计算机。 Recorded Future公司Insikt研究小组周一发布的研究报告揭示了与该间谍软件（“DevilsTongue”）相关的八个不同的操作集群。报告称，其中五个集群高度活跃，包括与匈牙利和沙特阿拉伯相关的集群。 报告指出，“此基础设施既包括可能用于部署和控制Candiru‘DevilsTongue’间谍软件的面向受害者组件，也包括间谍软件操作者使用的高层基础设施。”研究人员表示，“虽然有些集群直接管理其面向受害者的基础设施，但其他集群通过中间基础设施层或Tor网络（允许使用暗网）进行管理。” 除与匈牙利和沙特阿拉伯相关的活跃集群外，研究人员还发现另一个与印度尼西亚相关的集群，其活跃状态似乎持续至2024年11月。报告称，研究人员无法确定与阿塞拜疆相关的另外两个集群是否仍处于活跃状态。 “DevilsTongue”是微软为该Windows间谍软件命名的。研究报告作者、Recorded Future高级威胁研究员朱利安-费迪南德·沃格勒（Julian-Ferdinand Vögele）表示，关于其全部部署方法的公开报道有限。不过，沃格勒称，泄露的材料显示它“理论上”可以通过恶意链接、武器化文件、中间人攻击以及对Windows设备的物理访问进行传播。 沃格勒表示，“DevilsTongue”既通过攻击者控制的URL（例如在鱼叉式网络钓鱼邮件中发现的链接）部署，也通过名为“水坑攻击”的战略性网站入侵（通常利用网络浏览器中的漏洞）进行部署。 Insikt研究小组还在Candiru的公司网络内发现了一个新实体，该实体似乎是在Candiru资产被美国投资公司“诚信伙伴基金”（Integrity Partners）收购时成立的。报告将该新实体确定为“一家名为Integrity Labs Ltd的以色列私营公司”。研究人员认为，时间点表明这家独立公司可能参与了收购过程。 科技新闻媒体CTech于今年4月报道称，诚信伙伴基金以3000万美元收购了Candiru的资产。CTech报道称，诚信伙伴基金随后将Candiru的资产和员工转移至一个新实体，从而规避了美国政府的制裁。 诚信伙伴基金在其网站上未列出媒体联系人信息或任何电子邮件地址。该公司的一位合伙人未立即回复通过LinkedIn发送的消息。 美国商务部于2021年将Candiru列入其实体清单。被列入该清单意味着该公司被认为构成国家安全风险，并对其出口和其他交易施加重大限制。 根据公民实验室（Citizen Lab）2022年的一份报告揭示西班牙政府实施的大规模监控行动，西班牙加泰罗尼亚独立运动成员曾成为Candiru间谍软件的目标。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文