HackerNews 编译，转载请注明出处： 据媒体报道，本月早些时候一名俄罗斯黑客嫌犯在泰国被捕，据悉此人与一个新兴的、与克里姆林宫立场一致的黑客组织存在关联。该组织曾针对欧洲和北美多国的政府及关键基础设施网络发起攻击。 泰国警方上周证实，已拘留一名遭美国通缉的 “世界知名黑客”，此人涉嫌对美国政府机构发动网络攻击。随后，俄罗斯国家媒体今日俄罗斯电视台确认该嫌犯为 35 岁的丹尼斯・奥布列佐科，他是斯塔夫罗波尔人，此前曾任职于俄罗斯多家大型信息技术企业，负责 “为国内产业研发高科技系统”。 当地媒体援引执法部门消息称，此次逮捕行动由美国联邦调查局与泰国警方联合开展，奥布列佐科于 11 月 6 日落网。他入境泰国仅一周，警方便突袭了其位于普吉岛度假胜地的酒店房间，并查扣了笔记本电脑、手机及数字钱包等物品。 上周有报道显示，该嫌犯被捕后被关押在曼谷，等待引渡至美国。今日俄罗斯电视台称，嫌犯家属已确认其被捕一事，并表示正聘请律师，试图阻止将其移交美国当局。俄罗斯驻曼谷大使馆也已提出领事探视要求。 泰国官方尚未公开披露该嫌犯的身份信息，但当地警方知情人士向美国有线电视新闻网透露，奥布列佐科据称是 “Void Blizzard” 组织（又名 “洗衣熊”）的成员。这个与俄罗斯有关联的黑客组织，最早由微软公司在今年发布的报告中详细曝光。 新兴的 “暴雪” 势力 微软在 5 月发布的一份报告中指出，“Void Blizzard” 是一个新兴的间谍性质高级持续性威胁组织，其行动始终服务于俄罗斯政府的相关利益（微软公司会用 “暴雪” 为所有与俄罗斯有关联的黑客组织命名）。该黑客组织的攻击目标涵盖政府、国防、交通、媒体、非政府组织及医疗等多个领域的机构，攻击重点集中在欧洲和北美地区。 微软方面称，“Void Blizzard” 通常借助购买或窃取的账户凭证侵入目标网络，进而窃取大量电子邮件与内部文件。 2024 年 9 月，荷兰情报部门透露，该组织曾入侵包含荷兰国家警察部门在内的多家荷兰机构，并窃取了大量 “工作相关联络信息”。 微软表示：“该黑客组织频繁针对关键领域网络发动攻击，这不仅给北约成员国，也给乌克兰的一众盟友带来了日益严峻的安全风险。” 消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球最大电池制造商之一 LG 能源解决方案（LG Energy Solution）证实，其遭遇勒索软件攻击 —— 此前，一个上周被美国联邦调查局（FBI）重点通报的网络犯罪团伙已宣称对此负责。 这家总部位于韩国的公司发言人表示，企业近期发现了该起攻击事件，目前正实施安全措施以应对相关情况。 “攻击目标为某一特定海外工厂，经确认，总部及其他设施未受影响，” 发言人指出。LG 能源解决方案在全球多大洲设有生产基地，仅北美地区就有 8 家工厂。 “受影响工厂已通过恢复措施恢复正常运营，作为预防措施，我们正在开展安全运维及调查工作。” 该发言人未回应关于事件性质的进一步询问。 LG 能源解决方案是韩国跨国企业 LG 集团的子公司，2024 年通过为汽车制造商供应电池实现营收 175 亿美元。 本周一（注：结合上下文推测为 2025 年 11 月相关日期），“明”（Akira）勒索软件团伙将该公司列入其数据泄露网站，声称窃取了 1.7 太字节（TB）的数据，包括企业文件、员工信息数据库等内容。 11 月 13 日，FBI 发布了关于该勒索软件团伙的更新通报，警告称该黑客组织通过勒索软件攻击已非法获利超过 2.44 亿美元。 “‘明’勒索软件不仅窃取资金，还会破坏为医院、学校和企业提供支撑的关键系统，”FBI 网络部门助理局长布雷特・莱瑟曼（Brett Leatherman）表示。 通报同时警告，该团伙正重点针对制造业及其他多个行业发动攻击。 随着电池制造商在全球产业链中的地位日益凸显，这类企业已成为勒索软件团伙的重点攻击目标。德国电池制造商瓦尔塔集团（Varta AG）去年曾因网络攻击导致系统瘫痪数周；2024 年，某电池关键材料主要供应商遭黑客窃取 6000 万美元。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露了一场针对酒店业的大规模钓鱼攻击活动。攻击者通过仿冒Booking.com的钓鱼邮件，诱骗酒店经理点击伪造的验证页面，进而部署名为PureRAT的远程访问木马。 据法国安全公司Sekoia分析，该活动至少自2025年4月持续至10月初。攻击者首先入侵合法邮箱账户，向多家酒店发送精心伪造的邮件，将受害者引导至伪装成reCAPTCHA验证的ClickFix社交工程页面。该页面通过复杂重定向机制，最终诱使用户执行恶意PowerShell命令。 攻击链最终下载的ZIP压缩包内含通过DLL旁加载技术激活的PureRAT恶意软件。这款模块化木马具备键盘记录、远程控制、摄像头捕获、文件窃取等全方位监控功能，并通过.NET Reactor进行混淆保护，还通过注册表实现持久化驻留。 更严重的是，攻击得手后，犯罪分子会利用窃取的酒店预订平台账户，通过WhatsApp或邮件联系真实客户，以”确认预订信息”为名诱导其进入仿冒的Booking.com或Expedia页面，进而窃取银行卡信息。 调查发现，犯罪团伙从LolzTeam等黑客论坛购买Booking.com管理员账户信息，甚至按利润分成招募分销专家。Sekoia观察到专门用于交易预订平台日志的Telegram机器人，以及提供人工验号服务的黑产供应商。 值得注意的是，ClickFix攻击页面近期持续升级，新增嵌入式视频、倒计时器和”近期验证用户”计数器等元素，还能根据受害者操作系统自动显示对应指令，并采用剪贴板劫持技术自动复制恶意代码。 Push安全公司警告称：”ClickFix页面正变得日益精密，有效提升了社交工程攻击的成功率。其攻击载荷不仅更加多样，还不断演化出规避安全检测的新手法。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 基于Mirai的新型物联网僵尸网络”Aisuru”近日发起多次超20Tb/秒和/或4gpps的高强度DDoS攻击。网络安全公司Netscout报告显示，2025年10月，该僵尸网络主要针对在线游戏领域发动了超过20Tb/秒的大规模攻击。 该僵尸网络利用住宅代理反射HTTPS DDoS攻击，其节点主要为消费级路由器、监控摄像设备/录像机及其他存在漏洞的客户终端设备。攻击者持续寻找新的漏洞利用以扩张僵尸网络规模。 作为DDoS租赁服务，Aisuru虽避开政府和军事目标，但宽带运营商仍因感染设备发起的超1.5Tb/秒攻击而遭受严重干扰。Netscout报告指出：”Aisuru及相关TurboMirai级物联网僵尸网络发起的DDoS攻击主要与在线游戏活动相关，峰值超过20Tb/秒和4gpps。术语’TurboMirai’特指此类能够发起数Tb/秒和数gpps直连式DDoS攻击的Mirai变种僵尸网络。” 与其他TurboMirai僵尸网络类似，Aisuru具备额外的专用DDoS攻击能力及多功能特性，支持攻击者实施撞库攻击、AI驱动的网络爬取、垃圾邮件和网络钓鱼等非法活动。 攻击采用中型数据包和随机端口/标志的UDP、TCP及GRE洪泛攻击。超过1Tb/秒的受感染终端设备流量会干扰宽带服务，而4gpps以上的洪泛攻击已导致路由器线路板卡故障。 报告补充说明：”监测到既有高带宽（大数据包、高bps）也有高吞吐量（小数据包、高pps）的DDoS攻击。UDP和TCP直连洪泛攻击默认使用540-750字节的中型数据包以平衡bps和pps。4gpps及以上强度的小数据包/高pps攻击已导致机架式路由器和三层交换机的线路板卡过载，造成设备脱离机箱背板连接并中断无关流量。部分案例中，用于保护网络基础设施的最佳现行实践方案可能未得到完整实施。出向和横向DDoS攻击的破坏性常与入向攻击相当。” Netscout强调，Aisuru及TurboMirai级物联网僵尸网络主要发起单向量直连DDoS攻击，偶尔与其他DDoS租赁服务联合发起多向量攻击。攻击形式包括中大型或小型数据包的UDP洪泛、大小数据包的TCP洪泛以及多达119种TCP标志组合。部分流量模拟合法HTTP数据包，而HTTPS攻击则利用内置住宅代理。研究人员指出，由于多数网络缺乏特权访问和源地址验证，该僵尸网络流量未经过伪装。 报告进一步说明：”这些僵尸网络无法生成伪装的DDoS攻击流量，使得可通过回溯追踪与用户信息关联，从而识别、隔离和修复受感染设备。” 网络运营商应监控所有边缘网络、用户网络、对等网络及大型终端网络的出入向DDoS流量。检测、分类和回溯系统应保持活跃并集成至防御测试体系。识别受感染设备后需及时修复，但C2中断可能导致重复感染。缓解措施需采用智能系统进行定向压制，并结合Flowspec或S/RTBH等基础设施级方法，同时注意避免过度阻断关键流量。 Netscout总结道：”全面防御需要在所有网络边缘部署与入向缓解同等优先级的出向/横向压制系统。智能DDoS缓解系统、基础设施访问控制列表等网络基础设施最佳现行实践，以及可滥用客户终端设备的主动修复都至关重要。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款与俄罗斯相关黑客组织 COLDRIVER 有关联的新型恶意软件，自 2025 年 5 月以来已历经多次开发迭代。这一现象表明，该威胁行为者的 “行动节奏” 正在加快。 该发现来自谷歌威胁情报团队（GTIG）。该团队表示，这个由国家支持的黑客组织，在同期披露其 LOSTKEYS 恶意软件后仅五天，就迅速改进并重组了其恶意软件库。 目前尚不清楚这些新型恶意软件家族的开发时长，但这家科技巨头的威胁情报团队称，自 LOSTKEYS 被披露后，尚未观察到该恶意软件的任何活动痕迹。 GTIG 研究员韦斯利・希尔兹在周一发布的分析报告中指出，这三款新型恶意软件代号分别为 NOROBOT、YESROBOT 和 MAYBEROBOT，它们 “是一组通过交付链相互关联的恶意软件家族”。 最新的攻击浪潮与 COLDRIVER 以往的惯用手法有所不同。该组织过去常以非政府组织（NGO）的知名人士、政策顾问和持不同政见者为目标，窃取其凭证信息。而此次新活动则采用 “ClickFix 式诱饵”，诱骗用户通过 Windows “运行” 对话框执行恶意 PowerShell 命令，整个过程伪装成虚假的验证码验证提示。 2025 年 1 月、3 月和 4 月发现的攻击活动，最终会部署一款名为 LOSTKEYS 的信息窃取类恶意软件；而后续的入侵活动则为 “ROBOT” 系列恶意软件的传播铺路。值得注意的是，恶意软件家族 NOROBOT 和 MAYBEROBOT 在 Zscaler ThreatLabz 的追踪系统中，分别使用代号 BAITSWITCH 和 SIMPLEFIX。 新的感染链始于一个名为 COLDCOPY 的 HTML 格式 ClickFix 诱饵，其设计用途是释放一个名为 NOROBOT 的 DLL 文件。该 DLL 文件随后通过 rundll32.exe 程序执行，以释放下一阶段的恶意软件。据悉，该攻击的早期版本会传播一个名为 YESROBOT 的 Python 后门，之后威胁行为者转而使用名为 MAYBEROBOT 的 PowerShell 植入程序。 YESROBOT 通过 HTTPS 协议从硬编码的命令与控制（C2）服务器获取指令。作为一款精简型后门，它具备下载并执行文件、获取目标文档的功能。截至目前，仅观察到两起 YESROBOT 部署案例，均发生在 2025 年 5 月末的两周内，而这一时间点恰好在 LOSTKEYS 的细节被公开之后。 与之相比，MAYBEROBOT 被评估为更具灵活性和可扩展性。它具备多项功能，包括从指定 URL 下载并运行有效载荷、通过 cmd.exe 执行命令，以及运行 PowerShell 代码。 研究人员认为，COLDRIVER 组织很可能是为应对 LOSTKEYS 的公开披露，仓促部署 YESROBOT 作为 “临时机制”，随后便弃用该软件转而采用 MAYBEROBOT。原因在于，NOROBOT 的早期版本中还包含一个步骤 —— 在受攻陷主机上完整安装 Python 3.8 环境。这种操作会留下 “明显痕迹”，极易引发怀疑。 谷歌还指出，NOROBOT 和 MAYBEROBOT 的使用对象可能仅限于重要目标。这些目标可能已通过钓鱼攻击被攻陷，而使用这两款恶意软件的最终目的，是从其设备中收集更多情报。 希尔兹表示：“NOROBOT 及其前身感染链一直在不断演变 —— 最初为提高部署成功率而简化设计，之后又通过拆分加密密钥重新增加复杂度。这种持续的开发行为表明，该组织正努力规避检测系统，保护其交付机制，以便继续针对高价值目标开展情报收集活动。” 与此同时，荷兰检察署（Openbaar Ministerie，简称 OM）宣布，三名 17 岁男性涉嫌为某外国政府提供服务。其中一人据称与一个隶属于俄罗斯政府的黑客组织存在联系。 荷兰检察署称：“该嫌疑人还指示另外两人，在海牙市的多个日期对 Wi-Fi 网络进行测绘。前者将收集到的信息有偿分享给客户，而这些信息可被用于数字间谍活动和网络攻击。” 2025 年 9 月 22 日，两名嫌疑人已被逮捕。第三名嫌疑人虽已接受当局讯问，但因在案件中 “角色有限”，目前被处以软禁。 荷兰检察署补充道：“目前尚无迹象表明，与俄罗斯政府下属黑客组织有联系的那名嫌疑人受到了胁迫。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经观察，代号为 UNC5142、以经济利益为动机的威胁行为体，正滥用区块链智能合约分发信息窃取器，涉及 Atomic（AMOS）、Lumma、Rhadamanthys（又称 RADTHIEF）及 Vidar 等类型，攻击目标涵盖 Windows 和苹果 macOS 系统。 谷歌威胁情报小组（GTIG）在提交给《黑客新闻》（The Hacker News）的报告中表示：“UNC5142 的显著特征是，利用受入侵的 WordPress 网站和‘EtherHiding’技术 —— 这种技术通过将恶意代码或数据存储在公共区块链（如币安智能链 BSC）上实现隐藏。” 谷歌指出，截至 2025 年 6 月，已标记约 1.4 万个包含注入式 JavaScript 的网页，这些脚本表现出与 UNC5142 相关的行为，表明该团伙在无差别攻击存在漏洞的 WordPress 网站。但这家科技巨头同时提到，自 2025 年 7 月 23 日起，未再发现任何 UNC5142 的活动痕迹，这一现象可能意味着其行动暂停，也可能是运营方向发生转变。 EtherHiding 技术最早由 Guardio Labs 于 2023 年 10 月记录在案。当时该实验室详细披露了一系列攻击事件：受感染网站会弹出虚假浏览器更新提示，攻击者通过这些网站利用币安智能链（BSC）合约分发恶意代码。 支撑整个攻击链的关键组件，是一款名为 CLEARSHORT 的多阶段 JavaScript 下载器，它能通过被入侵网站分发恶意软件。攻击流程分为两个主要阶段：第一阶段是将 JavaScript 恶意代码注入目标网站，该代码会与存储在币安智能链（BSC）上的恶意智能合约交互，获取第二阶段内容；第一阶段恶意代码通常被添加到网站的插件相关文件、主题文件中，部分情况下甚至直接注入 WordPress 数据库。 而智能合约的作用是，从外部服务器获取 CLEARSHORT 的钓鱼落地页。该落地页会采用 “ClickFix” 社会工程策略，诱骗受害者在 Windows 的 “运行” 对话框（或 macOS 的 “终端” 应用）中执行恶意命令，最终使系统感染窃取器恶意软件。自 2024 年 12 月起，这些落地页（通常托管在 Cloudflare 的.dev 域名下）开始以加密格式传输。 CLEARSHORT 感染链 在 Windows 系统中，恶意命令会触发执行一个从 MediaFire 链接下载的 HTML 应用程序（HTA 文件）。该文件随后释放 PowerShell 脚本以绕过防御机制，从 GitHub、MediaFire 或攻击者自身基础设施（部分情况下）获取加密的最终载荷，并直接在内存中运行窃取器，不在磁盘上留下文件痕迹。 在 2025 年 2 月至 4 月针对 macOS 系统的攻击中，攻击者利用 ClickFix 诱饵，诱导用户在终端中运行一条 bash 命令，该命令会获取一个 shell 脚本。脚本随后通过 curl 命令，从远程服务器下载 Atomic 窃取器载荷。 UNC5142 最终载荷的时间分布 经分析，CLEARSHORT 被认定为 ClearFake 的变体。2025 年 3 月，法国网络安全公司 Sekoia 曾对 ClearFake 进行深入分析。ClearFake 是一套部署在受入侵网站上的恶意 JavaScript 框架，通过 “无交互下载” 技术分发恶意软件，自 2023 年 7 月起开始活跃，2024 年 5 月前后其攻击活动中开始采用 ClickFix 策略。 滥用区块链技术为 UNC5142 带来多重便利：这种巧妙的技术不仅能混入正常的 Web3 活动，还能提升 UNC5142 运营的韧性，使其更难被检测和溯源打击。 谷歌表示，过去一年间，该威胁行为体的攻击活动不断演进：2024 年 11 月起，从 “单一合约系统” 升级为更复杂的 “三智能合约系统”，以提升运营灵活性；2025 年 1 月初，这套系统又经历了进一步优化。 谷歌解释道：“新架构借鉴了合法软件设计中的‘代理模式’—— 开发者通常用这种模式实现合约的可升级性。” “该架构本质上是一套高效的‘路由 – 逻辑 – 存储’体系，每个合约承担特定功能。这种设计能让攻击者快速更新攻击中的关键部分（如落地页 URL 或解密密钥），且无需修改受入侵网站上的 JavaScript 代码。最终使攻击活动更灵活，且更难被溯源打击。” UNC5142 实现这一点的关键，在于利用智能合约数据的可修改性（需注意，程序代码一旦部署便不可更改）来修改载荷 URL。执行这类更新所需的网络费用，通常在 0.25 美元至 1.50 美元之间。 进一步分析发现，该威胁行为体使用两套独立的智能合约基础设施，借助 CLEARSHORT 下载器分发窃取器恶意软件。其中，“主基础设施”（Main）创建于 2024 年 11 月 24 日；“次要基础设施”（Secondary）则是并行架构，于 2025 年 2 月 18 日完成资金注入。 GTIG 表示：“主基础设施是核心攻击基础设施，特点是创建时间早、更新频率稳定。次要基础设施则是并行的战术性部署，推测用途包括支持特定时期的攻击激增需求、测试新型诱饵，或单纯增强运营韧性。” “过去一年半里，该团伙的感染链频繁更新、运营节奏稳定、受入侵网站数量庞大、分发的恶意软件类型多样。种种迹象表明，UNC5142 的攻击活动很可能已取得一定程度的成功。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在一场打破传统供应链攻击模式的新型钓鱼活动中，威胁攻击者正滥用合法的 NPM（Node.js 包管理平台）基础设施。 近年来针对 NPM 生态系统的攻击，多依赖于在包中注入恶意代码，以此感染开发者及其用户，并添加类似蠕虫的传播行为。 而在此次新发现的、被命名为 “Beamglea” 的攻击活动中，恶意包并不执行代码，而是滥用合法的 CDN（内容分发网络）服务 unpkg [.] com，向毫无防备的用户推送钓鱼页面。 9 月末，Safety 公司安全研究员保罗・麦卡蒂（Paul McCarty）首次发现了 120 个用于该攻击的恶意包。如今，网络安全公司 Socket 表示，这类恶意包的数量已突破 175 个。 这些恶意包的攻击目标覆盖能源、工业设备及科技领域的 135 余家企业，累计下载量超 2.6 万次 —— 不过其中多数下载来自安全研究员、自动化扫描工具及分析软件，非真实受害者操作。 Socket 解释称，恶意包的命名均包含随机 6 位字符串，且遵循 “redirect-[a-z0-9]{6}” 的格式（例如 “redirect-3f7a9d”）。这些包一旦发布至 NPM 平台，unpkg [.] com 便会通过 HTTPS 协议的 CDN 链接将其开放访问。 Socket 指出：“攻击者可能会向目标受害者分发伪装成‘采购订单’和‘项目文档’的 HTML 文件。尽管具体传播方式尚不明确，但从‘商务文档主题’及‘针对受害者的定制化内容’可推测，传播途径应为‘电子邮件附件’或‘钓鱼链接’。” 当受害者打开该 HTML 文件时，文件中关联的恶意 JavaScript 代码会从 unpkg [.] com 的 CDN 加载到浏览器中，随后将受害者重定向至钓鱼页面，诱导其输入账号密码等凭据。 Socket 还发现，攻击者使用 Python 工具实现了攻击活动的自动化：该工具流程可完成以下操作 —— 检查受害者是否已登录、诱导其输入凭据、将受害者邮箱及钓鱼链接注入 JavaScript 模板文件（beamglea_template.js）、生成 package.json 配置文件、将恶意包发布为 NPM 公共包，最后生成包含 “指向该恶意包的unpkg.com CDN 链接” 的 HTML 文件。 Socket 表示：“借助这种自动化手段，攻击者无需为每个受害者手动操作，即可创建 175 个针对不同企业的独特恶意包。” 攻击者已生成超 630 个指向这些恶意包的 HTML 文件，所有文件的元标签中均包含攻击活动标识 “nb830r6x”。这些文件分别伪装成 “采购订单”“技术规格文档” 和 “项目文件”，极具迷惑性。 Socket 进一步说明：“当受害者在浏览器中打开这些 HTML 文件时，JavaScript 代码会立即将其重定向至钓鱼域名，同时通过 URL 片段（URL fragment）传递受害者的邮箱地址。随后，钓鱼页面会自动预填充邮箱字段，营造出‘这是已识别用户身份的合法登录门户’的假象，极具欺骗性。” 此次攻击的目标企业包括：阿尔戈杜埃（Algodue，意大利工业设备商）、安赛乐米塔尔（ArcelorMittal，跨国钢铁集团）、德玛格起重机（Demag Cranes，德国起重设备商）、友讯科技（D-Link，网络设备商）、H2 系统公司（H2 Systems，能源设备商）、摩莎科技（Moxa，工业物联网解决方案商）、皮乌西（Piusi，流体传输设备商）、雷尼绍（Renishaw，英国工程技术公司）、萨索尔（Sasol，南非能源化工企业）、斯特塔西（Stratasys，3D 打印技术公司）及蒂森克虏伯努克萨（ThyssenKrupp Nucera，氢能设备商）等。攻击主要集中在西欧国家，同时在北欧及亚太地区也发现了部分目标企业。 网络安全公司 Snyk 指出，另有一批采用 “mad-*” 命名格式（例如 “mad-utils”）的 NPM 包也表现出类似恶意行为，尽管目前尚未证实其与 Beamglea 攻击活动相关。 Snyk 表示：“这类包包含一个伪装的‘Cloudflare 安全检查’页面，会秘密将用户重定向至‘从远程 GitHub 托管文件中获取的攻击者控制域名’。包中还包含常见的反分析逻辑：一方面阻止调试快捷键（如 F12）的使用，另一方面会在用户点击‘虚假验证勾选框’后，强制跳转顶层窗口（即‘框架破坏’技术，frame-busting），防止钓鱼页面被嵌入合法网站框架中暴露。” 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正针对美国高校及其他机构发起攻击活动，将员工的薪资款项转移至由攻击者控制的账户中。 微软表示，这些被称为 “工资单海盗” 的黑客通过钓鱼邮件获取 Workday等第三方平台的访问权限。微软称：“自 2025 年 3 月以来，我们发现 3 所高校中有 11 个账户被成功入侵，这些账户被用于向 25 所高校的近 6000 个邮箱账户发送钓鱼邮件。” 该公司研究人员在 2025 年上半年全程追踪到了这一攻击活动，并指出，尽管威胁行为体的目标是 Workday 账户，但其他多个存储员工人力资源或支付信息的系统也可能面临风险。 微软透露，黑客通过包含恶意链接的钓鱼邮件窃取多因素认证（MFA）验证码。获取验证码后，攻击者便能劫持受害者的 Workday 账户资料。侵入员工账户后，黑客会创建一条收件箱规则，自动删除所有来自 Workday 的预警邮件，从而在修改银行账户信息时不被发现。微软将这些威胁 actors 命名为 “Storm-2657”，并表示已联系部分受影响客户，为其提供应对该攻击活动的建议。 Workday 的一位发言人表示：“我们鼓励客户启用防钓鱼的多因素认证方式，并在薪资发放等敏感操作环节增加额外验证步骤，以防范此类威胁。” “报告疑似新冠病例”—— 钓鱼邮件的伪装形式 这些钓鱼邮件形式多样，针对多所高校发送。其中多封邮件包含谷歌文档（Google Docs）链接，主题通常围绕新冠疫情或课堂不当行为指控展开。 部分邮件的主题栏内容包括 “报告疑似新冠病例 —— 请确认您的接触状态” 或 “教职员工合规通知 —— 课堂不当行为报告”。曾出现过这样一起案例：某机构向 500 人发送了一封关于 “疾病接触状态” 的钓鱼邮件，仅有 10% 的收件人将其举报为钓鱼邮件。 微软解释道：“最新发现的攻击手法中，钓鱼邮件会伪装成来自正规高校或高校关联机构的信息。为了让邮件看起来更可信，Storm-2657 会根据收件人所在的机构定制邮件内容。”有些邮件被伪装成校长办公室的官方通知，或人力资源部门发送的薪酬调整相关邮件。除了删除受害者收件箱中所有来自 Workday 的邮件外，攻击者还会将自己的设备注册到受害者的多因素认证系统中，以便长期维持账户访问权限。 与 “商业邮件妥协” 攻击的关联 此类攻击是 “商业邮件妥协”（BEC）攻击的一种变体。在这类攻击中，黑客会接管邮件对话或账户，并将合法账户替换为自己控制的账户。 “商业邮件妥协” 仍是最棘手且造成损失最严重的网络犯罪类型之一。美国联邦调查局（FBI）报告显示，2024 年此类攻击造成的损失超过 20 亿美元。 大多数此类攻击的目标是涉及电汇或自动清算所（ACH）支付业务的企业，最终目的是诱骗受害者将资金误转入黑客控制的账户。 去年，某领先碳产品供应商的一名员工被诱骗向网络犯罪分子进行了多次电汇，导致约 6000 万美元被盗。美国田纳西州的一个学区也遭遇类似骗局，被骗走数百万美元。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，朝鲜黑客利用OpenAI的ChatGPT生成伪造的军事证件，作为针对韩国国防相关机构的网络钓鱼活动的一部分。 2024年7月的攻击被归因于Kimsuky组织，也被称为APT43。该组织因通过情报收集行动支持平壤的外交政策和规避制裁的努力，已被华盛顿及其盟友制裁。 据韩国网络安全公司Genians称，黑客利用ChatGPT创建韩国政府和军事人员证件的样本图像。这些图像被嵌入到网络钓鱼邮件中，这些邮件被设计得看起来像是来自韩国国防部处理军事官员证件服务的合法机构。 这些邮件附带了一张伪造的身份证和恶意软件，使攻击者能够窃取数据并远程访问受害者的系统。 研究人员表示，通过对图像的元数据分析确认这些图像是使用ChatGPT生成的。尽管ChatGPT通常会拒绝复制官方证件的请求，但报告称，攻击者可能通过将请求表述为模拟或样本设计，从而操纵提示词来生成图像。 “这是一个真实案例，展示了Kimsuky组织应用深度伪造技术的情况。”Genians警告说，生成式人工智能可能会被滥用，以很少的技术技能就能创造出逼真的伪造品。 Kimsuky自2012年以来一直活跃，目标是韩国、日本、美国、欧洲和俄罗斯的政府、学者、智库、记者和活动家。其主要关注对象是从事与朝鲜相关问题的个人，包括人权和制裁问题。 Genians和其他研究人员还记录了朝鲜IT工作者利用人工智能生成虚假简历和在线身份以获得海外工作，以及在受雇后协助技术面试和任务的情况。 韩国外交部警告说，平壤的工作人员“使用各种技术伪装成非朝鲜IT工作者，使用虚假身份和地点，包括利用人工智能工具以及与外国协助者合作。”       消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为TA558的威胁行为者被归因于一系列新的攻击，这些攻击通过各种远程访问木马（RAT）如Venom RAT入侵巴西和西班牙语市场的酒店。 俄罗斯网络安全供应商卡巴斯基正在追踪这一活动，该活动发生在2025年夏季，被其追踪为RevengeHotels。 “威胁行为者继续使用带有发票主题的网络钓鱼邮件，通过JavaScript加载器和PowerShell下载器传递Venom RAT植入物，”该公司表示，“在这次活动中，初始感染器和下载器代码的很大一部分似乎是由大型语言模型（LLM）代理生成的。” 这些发现表明，网络犯罪团伙利用人工智能（AI）来增强其技术手段，这是一种新的趋势。 自2015年以来一直活跃的RevengeHotels，一直针对拉丁美洲的酒店、酒店和旅游组织，目的是在受损系统上安装恶意软件。 该威胁行为者活动的早期版本被发现分发带有精心制作的Word、Excel或PDF文档的电子邮件附件，其中一些利用了微软Office中的已知远程代码执行漏洞（CVE-2017-0199），以触发Revenge RAT、NjRAT、NanoCoreRAT和888 RAT的部署，以及一种名为ProCC的自定义恶意软件。 Proofpoint和Positive Technologies记录的后续活动表明，该威胁行为者有能力完善其攻击链，以传递各种RAT，如Agent Tesla、AsyncRAT、FormBook、GuLoader、Loda RAT、LokiBot、Remcos RAT、Snake Keylogger和Vjw0rm。 这些攻击的主要目标是从酒店系统中捕获客人和旅行者的信用卡数据，以及从Booking.com等流行的在线旅行社（OTAs）收到的信用卡数据。 据卡巴斯基称，最新的活动涉及发送用葡萄牙语和西班牙语撰写的网络钓鱼邮件，这些邮件带有酒店预订和工作申请的诱饵，以诱使收件人点击欺诈链接，从而下载WScript JavaScript有效载荷。 “该脚本似乎是通过大型语言模型（LLM）生成的，其大量注释的代码和类似这种技术产生的格式就是证据，”该公司表示，“该脚本的主要功能是加载后续脚本，以促进感染。” 这包括一个PowerShell脚本，该脚本从外部服务器检索名为“cargajecerrr.txt”的下载器，并通过PowerShell运行它。顾名思义，下载器会获取两个额外的有效载荷：一个负责启动Venom RAT恶意软件的加载器。 基于开源的Quasar RAT，Venom RAT是一种商业工具，终身许可证售价650美元。将恶意软件与HVNC和Stealer组件捆绑的一个月订阅费用为350美元。 该恶意软件配备了窃取数据、充当反向代理的功能，并具有反杀保护机制，以确保其不间断运行。为此，它修改了与运行进程相关的自由裁量访问控制列表（DACL），删除任何可能干扰其运行的权限，并终止任何与硬编码进程匹配的运行进程。 “这种反杀措施的第二个组成部分涉及一个运行持续循环的线程，每50毫秒检查一次运行进程列表，”卡巴斯基表示。 “该循环专门针对那些通常由安全分析师和系统管理员用于监控主机活动或分析.NET二进制文件等任务的进程。如果RAT检测到这些进程中的任何一个，它将不提示用户而终止它们。” 反杀功能还配备了使用Windows注册表修改在主机上设置持久性的能力，并在相关进程未在运行进程列表中找到时重新运行恶意软件。 如果恶意软件以提升的权限执行，它将继续设置SeDebugPrivilege令牌，并将自身标记为关键系统进程，从而即使在尝试终止进程时也能保持持久性。它还会强制计算机显示器保持开启状态，并防止其进入睡眠模式。 最后，Venom RAT工件具备通过可移动USB驱动器传播和终止与Microsoft Defender Antivirus相关进程的能力，以及篡改任务计划程序和注册表以禁用安全程序。 “RevengeHotels显著增强了其能力，开发了新的战术来针对酒店和旅游部门，”卡巴斯基表示，“在LLM代理的帮助下，该组织能够生成和修改其网络钓鱼诱饵，将其攻击扩展到新的地区。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文