HackerNews 编译，转载请注明出处： 恶意攻击者利用AI技术伪造美国高级官员身份，通过短信和语音钓鱼（分别称为smishing和vishing）实施诈骗。根据美国联邦调查局（FBI）5月15日发布的警报，自2025年4月以来，这些深度伪造骗局持续针对美国现任或前任联邦/州政府高级官员及其联系人。 攻击者通过发送文本短信和AI生成的语音信息，诱使受害者点击恶意链接（通常伪装成要求切换至其他通讯平台），试图非法访问官员的个人或工作账户。成功入侵后，攻击者会利用获取的可信联系人信息，继续针对其他政府官员及其关联人士实施攻击，同时可能冒充可信联系人套取敏感信息或财务资源。 FBI防范AI钓鱼攻击指南 为帮助公众应对AI驱动的社交工程攻击，FBI建议采取以下防护措施： 通过反向查询号码并通过独立渠道验证身份，确认联系人的真实性 仔细检查通信中使用的邮箱地址、电话号码、URL链接和拼写细节（注意细微差异） 警惕图像/视频中的瑕疵，识别AI生成内容特征 切勿向网络或电话结识者透露敏感信息或联系方式 避免向未经验证身份者转账或转移资产 在确认发送者身份前，不要点击邮件/短信中的链接 谨慎下载附件或应用程序 启用双因素认证（2FA），绝不向他人分享验证码 与家人约定暗语或密语用于身份验证 FBI特别指出，攻击者通过精准模仿官员常用通讯方式（如Signal、Telegram等加密平台），利用“紧急事务”、“政策调整”等话术提升欺骗性。近期案例显示，部分钓鱼链接会诱导受害者输入双因素验证码，直接绕过账户保护机制。安全专家建议政府工作人员定期更新隐私设置，限制社交媒体公开信息，并启用高级账号监控服务。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联合国警告称，网络诈骗活动正以工业化规模在东南亚及更广区域扩张。 联合国毒品和犯罪问题办公室（UNODC）新报告《拐点：东南亚诈骗中心、地下银行与非法在线市场的全球影响》披露了相关发现。 报告指出，诈骗中心由“复杂的跨国集团与洗钱者、人口贩子、数据中介及日益增多的专业服务提供商组成的犯罪集团驱动”。 这些组织倾向聚集在缅甸与柬埔寨等“脆弱”边境地区，大型整合集团正取代分散诈骗团伙，建设“工业科技园区、赌场及酒店”。 UNODC表示，此类集团利用腐败官员“进一步渗透东南亚许多偏远、脆弱及防护薄弱的地区，并日益向其他区域扩张”，年获利达数百亿美元。 报告警告称：“当前越来越明显的是，东南亚已发生可能无法逆转的溢出效应，犯罪集团可自由选择司法管辖区、转移业务与资产，导致局势迅速超出政府管控能力。” 据称，数十万被贩运受害者与“谋划者”共同推动产业扩张，通过犯罪市场、赌博平台、无证支付处理商、加密通信平台、稳定币及区块链网络等在线服务牟利。UNODC指出，生成式人工智能（GenAI）被滥用于诈骗的案例正日益增多。 联合国补充声明，2023年这些亚洲犯罪集团在本土通过网络诈骗获利约370亿美元，同时将业务扩展至非洲、南美、南亚及太平洋岛屿等遥远地区。报告呼吁采取多管齐下应对措施，包括提高政治意识、强化监管框架、加强跨机构与区域合作、提升执法部门技术能力。 UNODC东南亚及太平洋地区代理代表Benedikt Hofmann认为，犯罪集团扩张旨在对冲未来风险与干扰。“它像癌症般扩散，”Hofmann强调，“当局在某区域打击，但其根源永不消失；它们只是转移。这导致该区域实质上成为由复杂集团自由利用漏洞的相关联组织，从而危及国家主权，扭曲政策制定流程及其他政府体系。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙警方逮捕了六名利用人工智能工具进行大规模加密货币投资诈骗的个人，该诈骗利用深度伪造广告展示知名公众人物，以吸引人们参与。 该诈骗非常成功，从全球 208 名受害者那里骗取了 1900 万欧元（约合 2090 万美元）。 代号为“COINBLACK – WENDMINE”的警方行动始于两年前，当时一名受害者提交了投诉。行动导致在格拉纳达和阿利坎特地区逮捕了六名年龄在 34 至 57 岁之间的个人。 此外，在警方突袭中还查获了 10 万欧元、手机、电脑、硬盘、枪支和文件。 警方的公告强调了行动的复杂性，解释说犯罪分子创建了多个空壳公司来洗钱。同时，该团伙的头目使用了超过 50 个不同的化名。 该诈骗有多个阶段，从典型的“浪漫诱饵诈骗”或威胁行为者冒充“财务顾问”开始，最后以假的资金回收索赔告终。 受害者是通过算法选择的，这些算法挑选出符合网络犯罪分子目标要求的个人，然后通过人工智能生成的深度伪造广告进行针对性攻击。 “在人工智能的帮助下，诈骗者创建了假广告，展示知名国家人物似乎在推荐投资这些产品，”西班牙国家警察的公告解释道。 “这显著增加了受害者对投资安全性和盈利性的信任。” 受害者最初在本质上是假平台的大型投资回报上看到了虚假数字。 在某个时候，冒充财务顾问甚至模拟与受害者建立浪漫关系的诈骗者告知他们，他们的投资已被冻结，只有在他们支付一大笔款项后才能取回资金。 在最后阶段，受害者再次被诈骗者联系，这些诈骗者现在冒充欧洲刑警组织的特工或英国律师，声称他们的资金已被追回，只需支付当地税费即可取回资金。 警方提醒公众警惕保证回报的承诺，并在存入任何资金之前始终验证投资平台的合法性和可信度。 其他警示信号包括投资压力、无法提款、意外的余额“冻结”以及关于额外“费用/税费”的说法，这些费用/税费据称是取款所需的。 如今，创建逼真的 AI 生成深度伪造视频变得轻而易举，因此用户不应受据称推广投资平台的名人影响。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，以经济利益为动机的网络犯罪团伙FIN7正在利用一种名为Anubis的基于Python的后门程序，劫持被入侵的Windows系统。 瑞士网络安全公司PRODAFT在一份技术报告中指出，这种恶意软件允许攻击者执行远程Shell命令和其他系统操作，从而完全控制被感染的机器。 FIN7也被称为Carbon Spider、ELBRUS、Gold Niagara、Sangria Tempest和Savage Ladybug，是一个以俄罗斯为背景的网络犯罪团伙。该团伙以不断演变和扩展的恶意软件家族而闻名，这些恶意软件家族用于获取初始访问权限和数据窃取。近年来，该团伙被认为已转变为勒索软件的附属组织。 2024年7月，该团伙被发现使用多个在线别名宣传一种名为AuKill（又称AvNeutralizer）的工具，该工具能够终止安全工具，可能是为了多元化其盈利策略。 Anubis后门被认为通过恶意垃圾邮件活动传播，通常诱使受害者执行托管在被入侵的SharePoint网站上的恶意负载。该恶意软件以ZIP存档的形式交付，感染的入口点是一个Python脚本，该脚本设计用于直接在内存中解密并执行主要混淆的有效负载。一旦启动，该后门会通过TCP套接字以Base64编码格式与远程服务器建立通信。 服务器的响应同样以Base64编码，允许该后门收集主机的IP地址、上传/下载文件、更改当前工作目录、获取环境变量、修改Windows注册表、使用PythonMemoryModule将DLL文件加载到内存中，并终止自身。 德国安全公司GDATA在对Anubis进行独立分析时发现，该后门还支持将操作员提供的响应作为受害者系统上的Shell命令运行。PRODAFT表示：“这使得攻击者能够在不直接在受感染系统上存储这些功能的情况下，执行诸如键盘记录、截屏或窃取密码等操作。通过尽可能保持后门的轻量化，攻击者降低了被检测的风险，同时保持了执行进一步恶意活动的灵活性。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年11月至2025年2月期间，国际刑警组织在贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚等七个非洲国家开展了一项代号为“红牌行动”的国际行动，共逮捕了306名嫌疑人，并查获了1842台设备。 国际刑警组织表示，此次协调一致的行动“旨在打击和瓦解对个人和企业造成重大危害的跨境犯罪网络”，并指出其重点针对移动银行、投资和消息传递应用的诈骗。 这些网络诈骗涉及5000多名受害者。参与行动的国家包括贝宁、科特迪瓦、尼日利亚、卢旺达、南非、多哥和赞比亚。 “红牌行动”的成功表明，在打击没有国界且可能对个人和社区造成毁灭性影响的网络犯罪方面，国际合作的力量，”国际刑警组织网络犯罪局局长尼尔·杰顿表示。“重要资产和设备的追回以及关键嫌疑人的逮捕，向网络犯罪分子发出了强烈信息，即他们的行为不会不受惩罚。” 在打击行动中，尼日利亚警方逮捕了130人，其中包括113名外国人，他们涉嫌参与在线赌场和投资诈骗。一些在诈骗中心工作的人据说是人口贩卖的受害者，并被迫实施非法计划。 另一个值得注意的行动是，南非当局逮捕了40人，并查获了1000多张用于大规模短信钓鱼攻击的SIM卡。 在其他地方，赞比亚官员逮捕了14名涉嫌犯罪团伙成员，他们通过短信钓鱼链接安装恶意软件，入侵受害者的手机并获得其银行应用的未经授权访问权限。Group-IB表示，该恶意软件还使犯罪分子能够控制消息传递应用，从而将欺诈链接传播给其他人。 俄罗斯网络安全厂商卡巴斯基指出，已与国际刑警组织分享了其对一款针对非洲国家用户的恶意Android应用的分析以及相关基础设施的信息。 此外，卢旺达当局逮捕了45名犯罪网络成员，他们因参与社会工程诈骗而被指控，在2024年骗取受害者超过30.5万美元。在被盗资金中，已追回103,043美元，并查获292台设备。 国际刑警组织表示：“他们的手段包括冒充电信员工并声称虚假的‘中奖’来获取敏感信息并访问受害者的移动银行账户。”“另一种方法是冒充受伤的家庭成员，向亲属请求资金以支付医院账单。” 逮捕消息传出之际，正值国际刑警组织几周前宣布与非洲开发银行集团建立合作伙伴关系，以更好地打击该地区的腐败、金融犯罪、网络诈骗和洗钱行为。 本月早些时候，泰国皇家警察和新加坡警察逮捕了一名在全球范围内造成90多起数据泄露事件的个人，其中包括65起在亚太地区。该威胁行为者于2020年12月4日首次公开出现，使用别名ALTDOS、mystic251、DESORDEN、GHOSTR和0mid16B进行活动。 这些攻击涉及使用SQL注入工具（如SQLmap）获取敏感数据，随后部署Cobalt Strike Beacons以持续控制被攻破的主机。 Group-IB在一份详细说明该威胁行为者作案手法的报告中表示：“他针对面向互联网的Windows服务器，专门搜索包含个人信息的数据库。”“在攻破这些服务器后，他窃取了受害者的数据，在某些情况下，还在被攻破的服务器上对其进行了加密。” 这些攻击的最终目标是获取经济利益，迫使受害者要么支付赎金，要么冒着其机密数据被公开的风险。来自孟加拉国、加拿大、印度、印度尼西亚、马来西亚、巴基斯坦、新加坡、泰国和美国的多个实体的数据在CryptBB、RaidForums和BreachForums等暗网论坛上被泄露。 Group-IB研究人员指出：“在他所有四个别名中一个持续的细节是其发布被盗数据截图的方法。”“无论他如何重新品牌化，他始终直接从同一台设备上传图像，揭示了一个关键的操作指纹。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据思科 Talos 最新发现，网络犯罪分子正在利用用于网页设计和布局的层叠样式表（CSS），以规避垃圾邮件过滤器并追踪用户行为。这一行为可能会危及受害者的安全和隐私。 “尽管在电子邮件客户端中，与动态内容（例如 JavaScript）相关的许多功能受到限制，但 CSS 提供的功能仍可让攻击者和垃圾邮件发送者追踪用户的操作和偏好，”Talos 研究员 Omid Mirzaei 在上周发布的一份报告中表示。 这一发现是对该公司之前研究的补充，之前的研究显示，2024 年下半年，利用隐藏文本盐值规避电子邮件垃圾邮件过滤器和安全网关的电子邮件威胁激增。 这种技术特别涉及利用超文本标记语言（HTML）和 CSS 的合法功能，包含在电子邮件客户端中渲染时不可见的注释和无关内容，但这些内容可能会使解析器和检测引擎出错。 Talos 的最新分析发现，威胁行为者正在使用诸如 text_indent 和 opacity 等 CSS 属性，将无关内容从电子邮件正文中隐藏起来。在某些情况下，这些活动的最终目标是将电子邮件接收者重定向到钓鱼页面。 此外，CSS 还为威胁行为者提供了通过垃圾邮件追踪用户行为的机会，方法是嵌入诸如@media CSS 规则这样的 CSS 属性，从而为潜在的指纹攻击打开大门。 “这种滥用行为的范围可以从识别收件人的字体和颜色方案偏好、客户端语言，甚至追踪他们的操作（例如查看或打印电子邮件），”Mirzaei 解释说。 “CSS 提供了广泛的规则和属性，可以帮助垃圾邮件发送者和威胁行为者对用户、他们的网络邮件或电子邮件客户端以及系统进行指纹识别。例如，媒体规则可以检测用户环境的某些属性，包括屏幕大小、分辨率和颜色深度。” 为了降低此类威胁带来的风险，建议实施高级筛选机制，以检测隐藏文本盐值和内容隐藏，并使用电子邮件隐私代理。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司 Bitdefender 的研究人员日前发现，网络犯罪分子正在针对《反恐精英 2》（CS2）社区实施“直播劫持”诈骗。据 Bitdefender 实验室研究员 Ionuț Băltăriu 介绍，这些攻击利用被劫持和伪造的电竞主播账号作为信任载体，导致大量玩家的 Steam 账号被盗、加密货币失窃以及珍贵游戏道具损失。 这种通过直播劫持诈骗加密货币的行为听起来颇具未来感，但其背后的诈骗手法却相当古老 —— 通过伪装成可信主体，诱使受害者交出自己的财物。Bitdefender 详细拆解了这一诈骗过程： 首先，诈骗者会寻找拥有现成订阅用户的正规 YouTube 账号，并设法将其劫持并接管。在控制账号后，他们会重新包装频道，伪装成知名电竞主播，如“Oleksandr’s1mple’ Kostyljev”、“Nikola ‘NiKo’ Kovač”或“donk”等。伪装手段包括上传大量旧的、循环播放的直播内容。 随后，诈骗者开始进行恶意直播，循环播放被冒充主播的旧游戏画面。在此过程中，他们会邀请观众参与直播活动，声称免费赠送 CS2 皮肤和加密货币。此时，诈骗者会分享特制的二维码或欺诈性链接。 最后，当受害者被诱导登录 Steam 账号以获取所谓的“免费奖励”，或被要求发送加密货币以实现“翻倍”时，诈骗行为便完成了。一旦受害者上钩，他们的 Steam 账号将被洗劫一空，珍贵的游戏皮肤和道具不翼而飞，而他们的加密货币也将一去不返。 Bitdefender 指出，CS2 社区是这些诈骗者的主要目标。作为一款拥有 2600 万注册玩家（截至 2025 年 1 月）的热门竞技游戏，CS2 的高人气使其成为诈骗者的理想目标。此外，近期备受瞩目的电子竞技赛事，如 2025 年 IEM 卡托维兹和 PGL 克卢日-纳波卡，也成为了诈骗者利用的对象。他们通过制作与赛事主题相关或时间同步的虚假直播，并配合虚假社区帖子和受控评论，进一步诱导玩家上当。 IT之家注意到，为了帮助玩家防范此类诈骗，Bitdefender 在其博客中分享了一些实用建议。玩家应保持高度警惕，对“好得令人难以置信”的福利、可疑的链接和二维码，以及不熟悉的直播频道保持怀疑。此外，Bitdefender 还建议玩家启用 Steam Guard 和多因素认证（MFA）。 转自IT之家，原文链接：https://www.ithome.com/0/833/073.htm 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 去中心化货币借贷平台 zkLend 遭受了一次安全漏洞攻击，攻击者利用智能合约漏洞窃取了 3600 枚以太坊，当时价值 950 万美元。 zkLend 是建立在 Starknet 上的去中心化货币市场协议，而 Starknet 是以太坊的第二层扩展解决方案。该平台允许用户存入、借入和借出各种资产。 此次攻击发生在昨天下午，zkLend 在 X 平台上警告称其遭受了一起网络安全事件。 据 EthSecurity Telegram 频道消息，攻击者利用了 zkLend 智能合约中的取整错误漏洞。 该频道的一篇帖子写道：“攻击者将‘lending_accumulator’操纵为一个非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的取整错误，反复存入 4.069297906051644021 wstETH，获得 2 wei，随后提取 4.069297906051644020*1.5 – 1 = 6.103946859077466029 wstETH，仅消耗 1 wei。” Starkware 是 Starknet 网络的开发者，其确认该漏洞并非 Starknet 技术的一部分，而是特定于应用程序的漏洞。 据 Cyvers 称，攻击者试图通过 RailGun 隐私协议洗钱，但由于协议政策被阻止。 zkLend 现已向黑客发出消息，表示如果对方归还 90% 的被盗以太坊（即 3300 枚 ETH），他们可以保留剩余的 10%，并且不会因此次攻击承担任何责任。 zkLend 在链上向黑客发送的消息中写道：“我们知道你对今天 zkLend 的攻击负责。你可以保留 10% 的资金作为白帽赏金，并将剩余的 90%，即 3300 枚 ETH，归还到这个以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C。” “在收到转账后，我们同意放弃与此次攻击相关的所有责任。” “我们目前正在与安全公司和执法部门合作。如果我们没有在 2025 年 2 月 14 日世界协调时 00:00 之前收到你的回复，我们将采取下一步行动来追踪和起诉你。” 加密货币窃贼需在 2 月 13 日下午 7:00（美国东部标准时间）之前归还 90% 的被盗资金，之后 zkLend 将采取法律行动。 目前尚未收到黑客的任何回复，这在类似情况下通常是如此。尚未有威胁行为者被认定为此次攻击的幕后黑手。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦通信委员会（FCC）提议对网络电话服务提供商Telnyx处以449.25万美元的罚款，原因是该公司被指控未能遵守“了解你的客户”（KYC）规则，从而允许客户通过其平台发起伪装成虚构的FCC“欺诈预防团队”的机器人电话。然而，Telnyx对此表示否认，并称FCC的指控存在错误。 这些电话的发起者使用“Christian Mitchell”和“Henry Walker”的名字注册了Telnyx账户，注册地址为加拿大多伦多的同一地址，但使用的IP地址却来自苏格兰和英格兰。由于这两个账户都使用了mariocop123.com域名的电子邮件地址，因此被称为“MarioCop”账户。 在2024年2月6日至2月7日期间，他们发起了1797次冒充电话，直到Telnyx终止了他们的账户。具有讽刺意味的是，这些电话还拨打到了FCC工作人员及其家人的个人和工作电话上。 根据FCC的说法，这些电话使用了预先录制的语音信息，内容为：“你好，[收件人的名字]，你接到了来自联邦通信委员会的自动语音电话，通知你欺诈预防团队希望与你通话。” 但FCC并没有所谓的“欺诈预防团队”，该机构的执法局认为，这些电话的目的是“威胁、恐吓和欺诈”，因为至少有一名接到这些冒充电话的收件人被连接到了一个要求其“支付1000美元谷歌礼品卡以避免因对国家犯罪而入狱”的人。 FCC还补充说，该机构不会“发布或以其他方式分享工作人员的个人电话号码”，并表示“不清楚这些人是如何被锁定为目标的”。 FCC：Telnyx未能遵守KYC规则 根据FCC的说法，Telnyx未能采取必要措施，防止恶意行为者利用其VoIP网络进行非法语音通信，违反了“了解你的客户”（KYC）规则。 这些措施包括要求提供政府签发的身份证明、公司成立记录以及客户实际地址的第三方记录，以验证请求使用可进行大量通话的服务的客户身份。 然而，FCC声称，在开设MarioCop账户之前，Telnyx仅收集了每个申请人的姓名、非免费电子邮件地址、实际地址和IP地址，并且“没有进一步要求提供佐证或独立验证”。 “打击非法机器人电话将是FCC的首要任务。这就是为什么我对委员会首次采取行动并以两党投票的方式支持这一近450万美元的拟议罚款感到高兴。这一罚款源于一个明显的非法机器人电话诈骗活动，并延续了FCC长期以来阻止不良行为者的工作，”FCC主席布伦丹·卡尔（Brendan Carr）在周二表示。 “提供商有责任了解他们的客户并确保其网络的安全，以防止欺诈和恶意电话，”执法局代理局长帕特里克·韦布雷（Patrick Webre）补充道。 Telnyx否认FCC的指控 Telnyx是一个基于云的平台，通过互联网提供运营商级别的语音服务。该公司在全球30多个国家拥有运营商地位，提供全球通话服务、80多个国家的本地通话服务，以及45个以上市场的公共交换电话网（PSTN）替代服务。 该公司还允许客户利用专有数据在几分钟内构建“独特、具有情境感知的AI语音机器人”，并为客户提供一个语音API，帮助他们“在全球范围内通过可编程语音功能进行、接收和控制通话”。 在周三发布的一份新闻稿中，Telnyx否认了所有指控，称“FCC的拟议责任通知在事实上存在错误”，并表示对“FCC的错误决定感到惊讶”。 “Telnyx已经做了FCC要求的‘了解你的客户’（KYC）和客户尽职调查程序的一切，甚至更多，”该公司表示。 “更重要的是，FCC对适用于该行业的KYC和尽职调查标准存在误解。FCC自己的法规长期以来就明确表示，不要求在打击非法通信方面做到完美。[…] 值得注意的是，没有关于后续重复活动的指控。”   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年1月21日，Ravie Lakshmanan报道了一起针对乌克兰的网络诈骗活动。未知的威胁行为者通过发送AnyDesk连接请求，伪装成网络安全机构，试图进行诈骗。 乌克兰计算机应急响应小组（CERT-UA）警告称，这些AnyDesk连接请求声称是为了进行“安全水平”评估的审计。CERT-UA提醒各组织警惕此类社会工程学攻击，这些攻击试图利用用户的信任。 CERT-UA指出：“在某些情况下，我们可能会使用AnyDesk等远程访问软件。”然而，此类行动仅在与网络安全防御对象的所有者通过官方批准的通信渠道事先达成一致后才会进行。 要使这种攻击成功，目标计算机上必须安装并运行AnyDesk远程访问软件，同时攻击者需要获取目标的AnyDesk标识符。这表明攻击者可能需要通过其他方式首先获取该标识符。为了降低这些攻击带来的风险，远程访问程序应仅在使用期间启用，并通过官方通信渠道进行协调。 与此同时，乌克兰国家特种通信和信息保护局（SSSCIP）透露，其网络安全事件响应中心在2024年共检测到1,042起事件，其中恶意代码和入侵尝试占所有事件的75%以上。 SSSCIP表示：“2024年，最活跃的网络威胁团伙是UAC-0010、UAC-0050和UAC-0006，它们分别擅长网络间谍活动、金融盗窃和信息心理战。”其中，UAC-0010（也被称为Aqua Blizzard和Gamaredon）被认为与277起事件有关；UAC-0050和UAC-0006分别与99起和174起事件有关。 此外，研究人员还发现了24个此前未被报告的“.shop”顶级域名，这些域名可能与亲俄黑客组织GhostWriter（也称为TA445、UAC-0057和UNC1151）有关。这些域名通过连接针对乌克兰的不同活动被发现。安全研究人员Will Thomas（@BushidoToken）的分析显示，这些活动中使用的域名均采用了相同的通用顶级域名（gTLD）、PublicDomainsRegistry注册商和Cloudflare域名服务器。所有被识别的服务器还配置了robots.txt目录。 随着俄乌战争即将进入第三年，针对俄罗斯的网络攻击也在增加，其目的是窃取敏感数据，并通过部署勒索软件来扰乱商业运营。 上周，网络安全公司F.A.C.C.T.将Sticky Werewolf组织与针对俄罗斯科研和生产企业的鱼叉式网络钓鱼活动联系起来。该活动旨在传播一种名为Ozone的远程访问木马，该木马能够为攻击者提供对受感染Windows系统的远程访问权限。F.A.C.C.T.还将Sticky Werewolf描述为一个亲乌克兰的网络间谍组织，主要针对俄罗斯的国家机构、科研院所和工业企业。然而，以色列网络安全公司Morphisec此前的分析指出，这种联系“仍不确定”。 目前尚不清楚这些攻击的成功率如何。在最近几个月中，其他被观察到针对俄罗斯实体的威胁活动团伙还包括Core Werewolf、Venture Wolf和Paper Werewolf（也称为GOFFEE）。其中，Paper Werewolf利用了一个名为Owowa的恶意IIS模块，以协助窃取凭据。 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文