HackerNews 编译，转载请注明出处： 周一，美国财政部对与缅甸和柬埔寨网络诈骗团伙有关的多人和企业实施了制裁。 据美国财政部高级官员约翰·赫尔利（John Hurley）称，这些制裁针对的是缅甸、柬埔寨和中国籍人士，他们运营并支持导致美国人损失超过100亿美元的诈骗中心。 国务卿马可·鲁比奥（Marco Rubio）表示，美国官员制裁了9名与缅甸诈骗中心枢纽Shwe Kokko有关的个人和公司，以及4名个人和6个实体，因为他们参与了在柬埔寨运营强迫劳动营。 “这些制裁通过破坏犯罪网络进行大规模欺诈、强迫劳动、身体和性虐待以及盗窃美国人辛苦赚来的积蓄的能力，保护美国人免受网络诈骗的普遍威胁，”鲁比奥在一份声明中说。 在大多数情况下，诈骗者利用恋爱关系或友谊的潜力，说服不知情的美国人投资欺诈性企业或加密货币计划。当诈骗者告诉受害者他们必须投入更多资金才能拿回初始投资时，问题就更加严重了。 缅甸的情况 在缅甸，美国官员将制裁目标对准了与缅甸军队合作控制该国东南部克伦邦的克伦国民军（KNA）。 民兵组织的领导人现在从位于泰国边境的臭名昭著的Shwe Kokko镇的网络诈骗中心获利，自该国内战爆发以来，该镇已成为诈骗中心的枢纽。 克伦国民军的领导人通过将人员贩卖到该地区并向诈骗中心运营商出售公用事业来从网络诈骗中心获利。与东南亚许多诈骗团伙一样，数千人被虚假工作机会欺骗，被诱骗到诈骗中心，在那里他们被关押并被迫对美国、欧洲和中国的人进行诈骗。 周一，美国制裁了Saw Chit Thu、Tin Win、Saw Min Min Oo及其公司Chit Linn Myaing Company、Chit Linn Myaing Toyota Company、Chit Linn Myaing Mining & Industry Company、Shwe Myint Thaung Yinn Industry & Manufacturing Company。 财政部还制裁了She Zhijiang、Yatai International Holdings Group以及与他有关联的另一家空壳公司。 据TK称，She Zhijiang和Saw Chit Thu在Shwe Kokko创建了最大的诈骗团伙之一，并通过诈骗、赌博、卖淫等手段赚取了数百万美元。 Saw Chit Thu被认为是克伦国民军的领导人，并将诈骗中心的运营委托给他的副手Tin Win和Saw Min Min Oo——他们控制着容纳诈骗中心的房产，为那些协助非法资金流动的人提供安全，并亲自运营控制和支持克伦邦诈骗团伙的实体，据美国调查人员称。 由于Saw Chit Thu在克伦邦与泰国接壤的妙瓦底地区长期担任权力掮客，他已多次被美国、英国和欧盟制裁。财政部的外国资产控制办公室还在5月制裁了他的两个儿子Htoo Eh Moo和Saw Chit Chit。 Tin Win经营一家名为Shwe Myint Thaung Yinn Industry & Manufacturing Company的公司，为Shwe Kokko的诈骗团伙提供能源。泰国曾多次切断进入诈骗中心的电力，但这些努力未能阻止这些设施的运营。 柬埔寨的赌场诈骗团伙 周一的制裁还包括几家在柬埔寨运营诈骗中心的公司——其中许多作为中国犯罪团伙经营的赌场合法运营。这些赌场已成为从美国和中国国民那里窃取数十亿美元的加密货币诈骗的中心。 财政部制裁了Dong Lecheng、Xu Aimin、Chen Al Len、Su Liangsheng及其公司T C Capital、HH Bank、K B X Investment、K B Hotel、Heng He Bavet和M D S Heng He。 许多活动发生在柬埔寨南部的海滨城市西哈努克市。T C Capital是拥有西哈努克市多栋建筑的几家公司之一，包括Golden Sun Sky Casino and Hotel——这是一个人口贩卖受害者实施加密货币诈骗的中心。 赌场是网络诈骗的理想工具，因为它们允许领导者快速洗劫盗窃所得，并在隐蔽地点运营。 制裁目标是Chen Al Len——他在柬埔寨Bavet拥有Heng He赌场及其相关建筑群。该公司从西哈努克市的诈骗团伙中获取工人，并自行运营许多虚拟货币诈骗。 通过多家房地产公司和银行，Chen Al Len与苏良生等其他中国帮派头目以及Try Pheap有关联——他是柬埔寨少数几位与人口贩卖、非法伐木和腐败有长期历史的亿万富翁之一。 Pheap是柬埔寨长期领导人洪森及其儿子洪马奈的亲密顾问——后者目前担任该国总理。Pheap此前曾因多种人权侵犯行为被美国制裁。 2025年，美国多次制裁东南亚诈骗中心背后的官员和公司——针对几个帮助运营诈骗网站的平台。5月，美国官员制裁了Huione Group——这是一个被诈骗中心和其他网络犯罪分子用来洗钱的知名平台。 “东南亚的网络诈骗行业不仅威胁到美国人的福祉和经济安全，还使数千人受到现代奴隶制的束缚，”财政部的赫尔利周一说。       消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 创意与娱乐联盟（ACE）与埃及当局已联手关闭了全球最大的非法体育直播网络Streameast，并逮捕了两名涉嫌与该运营相关的人员。 Streameast自2018年开始运营，是一个依靠广告支持的免费流媒体服务，提供来自授权广播公司的高清流媒体内容。 据报道，Streameast运营着80个域名，这些域名每月共获得1.36亿次访问。在过去一年中，该平台记录了16亿次访问，主要用户来自美国、加拿大、英国、菲律宾和德国。 该体育盗版平台未经授权转播了包括英格兰英超联赛、西班牙西甲联赛、意大利甲级联赛、德国足球甲级联赛、法国足球甲级联赛、葡萄牙超级联赛和美国职业足球大联盟（MLS）在内的足球联赛。 它还覆盖了国际足联世界杯、 UEFA欧洲杯、UEFA国家联赛等国家队比赛，以及美洲杯、欧冠联赛和欧罗巴联赛等国际俱乐部赛事。 Streameast还转播了美国主要体育赛事的流媒体，包括NFL（橄榄球）、NBA（篮球）、NHL（冰球）、MLB（棒球），以及按次付费的拳击比赛、综合格斗（MMA）和来自世界各地的各种摩托车赛事，例如一级方程式赛车（Formula One）和世界摩托车锦标赛（MotoGP）。 六天前，该非法流媒体服务首次出现运营中断的迹象，当时用户在Reddit上报告称他们无法访问该网站，或者流媒体和聊天功能无法加载。 今日，ACE确认在埃及当局的帮助下，该流媒体平台已被捣毁。 DAZN集团首席运营官埃德·麦卡锡表示：“铲除Streameast对于所有投资并依赖于体育直播生态系统的各方而言都是一次重大胜利。该犯罪活动一直在窃取各级体育赛事的价值，并使全球各地的粉丝面临风险。” 据《纽约时报》报道，埃及吉萨省El-Sheikh Zaid地区有两人被捕，警方没收了笔记本电脑、智能手机、现金和多张信用卡。 调查人员据称已将此次流媒体运营活动与一家阿联酋空壳公司联系起来，该公司自2010年以来 allegedly 被用于清洗620万美元的广告收入，以及额外的20万美元加密货币。 此前属于Streameast的80个域名现已重定向至ACE的“合法观看”网站，该网站包含合法内容托管平台的链接。 然而，BleepingComputer仍然能够找到一些未重定向至ACE页面的域名，因此执法行动很可能并未查封所有相关域名，或者有新的域名在短时间内被注册。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰和美国当局宣布，已捣毁一个向全球网络罪犯销售伪造身份证件的非法交易平台VerifTools。 在此次行动中，两个主要市场域名（verif[.]tools 和 veriftools[.]net）以及一个相关博客已被关闭。访问这些站点的用户将被重定向到一个说明页面，页面显示此次行动由美国联邦调查局（FBI）依据美国地方法院签发的授权令执行。服务器在阿姆斯特丹被查没。 然而，平台运营者于2025年8月28日在Telegram上发布消息称，他们已在“veriftools[.]com”域名上重新恢复了服务。根据DomainTools的记录，该域名注册于2018年12月10日。目前该平台管理员的身份仍未知晓。 美国司法部周四表示：“VerifTools的运营者制作并销售伪造的驾驶执照、护照及其他身份证件，这些证件可用于绕过身份验证系统，并未经授权访问在线账户。”美国司法部称，FBI在2022年发现某个利用窃取的身份信息访问加密货币账户的犯罪活动后，开始对此服务展开调查。调查显示，该非法平台被用于生成美国所有50个州以及其他国家的伪造身份证件，价格低至9美元。 FBI称，与VerifTools市场有关的非法收益约达640万美元。在VerifTools网站上，运营者通过声明试图“合理推诿”其责任：“服务的合法使用是您的责任。使用服务时，您必须了解您所在司法管辖区的本地、州和联邦法律，并对您的行为独自承担责任。” 平台关闭后，一位名为Powda_reaper的Reddit用户在该平台的r/blackhat版块上声称，网站所有者给他们发消息说“网站因重大故障目前无法访问”，并承诺在8月29日前让网站重新上线，同时安抚他们“您的资金是安全的”。 美国代理检察官瑞安·埃里森表示：“互联网不是罪犯的避难所。如果你开发或销售能让罪犯冒充受害者的工具，那你就是犯罪的一部分。我们将动用一切合法手段打击你的业务，没收你的利润，并将你绳之以法。没有任何一个犯罪组织能大过我们的联合行动。” 荷兰国家警察在一份联合声明中将VerifTools描述为最大的虚假身份证件提供商之一。除两台物理服务器外，还有超过21台虚拟服务器被没收。官员们还指出，服务器上网站的全部基础设施已被安全扣押并复制，以供后续分析。在荷兰，伪造、使用虚假身份证明以及使用伪造支付工具，最高可判处六年监禁。 荷兰警察机关指出：“许多公司和机构使用所谓的‘了解你的客户’（KYC）验证，这通常只需要一张身份证件图像。通过使用VerifTools，这种KYC控制可能会被绕过。”他们进一步说明：“犯罪分子非常乐于使用VerifTools这类平台，因为他们可以利用制作的文档实施欺诈，例如银行帮助台欺诈和网络钓鱼。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司Anthropic近期阻止了一起网络犯罪活动，该犯罪分子利用Claude Code编写钓鱼邮件、创建恶意代码并绕过安全过滤机制。 Anthropic最新版《威胁情报报告》显示，黑客、网络犯罪分子及其他威胁行为者已调整策略，开始利用AI的最先进能力实施攻击。AI模型正被用于执行复杂的网络攻击，同时该技术显著降低了从事网络犯罪的门槛——即便缺乏技术和编程能力的犯罪分子，如今也能借助AI实施勒索软件攻击或钓鱼骗局。 诈骗者更将AI嵌入其全流程操作：从受害者画像分析、窃取数据解析到伪造身份扩大潜在目标范围。报告中列举了Claude遭滥用的近期案例，包括： 利用Claude Code实施的大规模勒索行动 朝鲜背景的欺诈性就业骗局 仅具备基础编程能力的犯罪分子销售AI生成的勒索软件 首个案例中，威胁行为者使用Claude Code自动化执行侦察任务、窃取受害者凭证并渗透网络。Anthropic指出：“Claude被允许作出战术与战略决策，包括决定窃取哪些数据、如何设计心理定向勒索方案。它分析窃取的财务数据以确定赎金金额，并在受害者机器上生成视觉警示性勒索信。” 研究人员认为，此事标志着AI辅助网络犯罪的升级：“代理型AI工具正为攻击提供技术建议和实战支持，此类攻击原本需团队协作才能完成。由于这些工具能自适应防御措施，防护与执法难度持续增大。” 随着AI辅助工具日益精进和普及，此类复杂攻击将更加频繁。Anthropic表示，最佳解决方案是改进检测与遏制模型滥用的方法，承诺在该领域深化研究。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场旨在传播 Atomic macOS Stealer (AMOS) 变种的高级恶意广告活动已针对数百家组织发起。 在 2025 年 6 月至 8 月期间，该活动将受害者引向欺诈性的 macOS 帮助网站，并诱使他们执行恶意的单行安装命令。 其最终目的是让受害者感染 SHAMOS 变种（AMOS 信息窃取程序），该变种由恶意软件即服务 (MaaS) 团伙 Cookie Spider 开发。 在此期间，CrowdStrike 表示其阻止了该恶意广告活动企图入侵其超过 300 个客户环境的尝试。 “这次活动突显了恶意单行安装命令在网络犯罪（eCrime）行为者中的流行程度。” CrowdStrike 在最近的一篇博客中表示。 该技术使网络犯罪分子能够绕过 Gatekeeper 安全检查，将 Mach-O（一种主要由 macOS 使用的二进制格式）可执行文件直接安装到受害者设备上。 Cuckoo Stealer 和 SHAMOS 的操作者曾在 2024 年 5 月至 2025 年 1 月期间发生的 Homebrew 恶意广告活动中利用过此方法。 CrowdStrike 指出，该恶意广告网站出现在包括英国、美国、日本、中国、哥伦比亚、加拿大、墨西哥、意大利等地的谷歌搜索结果中。 该公司的分析称，没有受害者位于俄罗斯。“这很可能是因为俄罗斯的网络犯罪论坛禁止商品化恶意软件操作者针对位于俄罗斯的用户，”该公司表示。 这些欺诈性的 macOS 帮助网站提供了关于用户如何解决问题的错误指导。然而，页面指示受害者复制、粘贴并执行一个恶意的单行安装命令，该命令会解码 Base64 编码的字符串。 随后，该命令会从 https[:]//icloudservers[.]com/gm/install[.]sh 下载一个文件。该文件是一个 Bash 脚本，会捕获用户密码并从 https[:]//icloudservers[.]com/gm/update 下载 SHAMOS 的 Mach-O 可执行文件。 自 2025 年 6 月首次报告此类活动以来，CrowdStrike Counter Adversary Operations 表示，他们持续观察到机会主义的网络犯罪威胁行为者利用恶意的 GitHub 仓库诱使受害者执行下载 SHAMOS 的命令。 CrowdStrike Counter Adversary Operations 高度确信，网络犯罪行为者很可能会继续利用恶意广告和单行安装命令来分发 macOS 信息窃取程序。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非洲执法部门在国际刑警组织协调的“塞伦盖蒂行动2.0”中逮捕了1,200余名嫌疑人，该行动旨在打击跨境网络犯罪团伙。2025年6月至8月期间，执法人员查获9,740万美元资金，并捣毁11,432个恶意基础设施，这些设施针对全球87,858名受害者发动攻击。 国际刑警组织周五声明：“在这场由国际刑警协调的大规模行动中，非洲各地当局逮捕了1,209名网络罪犯，其犯罪活动涉及近88,000名受害者。”行动期间，赞比亚当局摧毁了一个造成65,000名受害者损失3亿美元的加密投资骗局，安哥拉则关闭了25个非法加密货币挖矿中心，查获价值3,700万美元的设备并逮捕60名犯罪分子。 “塞伦盖蒂行动2.0（2025年6月至8月）汇聚了来自18个非洲国家及英国的调查人员，共同打击高危害性网络犯罪，包括勒索软件、网络诈骗和商务电邮入侵(BEC)。”此次行动隶属“非洲联合反网络犯罪行动”框架，由英国外交联邦与发展事务部资助。 联合行动还利用了私营合作伙伴的数据支持，包括Cybercrime Atlas、Fortinet、Group-IB、卡巴斯基、Shadowserver基金会、Team Cymru、趋势科技、TRM Labs和乌普萨拉安全公司。这是近年来针对非洲网络犯罪集团的最新行动，此前多次联合行动已摧毁涉案金额达数百万美元的犯罪网络。 2024年11月至2025年2月开展的”红牌行动”中，306名涉嫌网络犯罪的嫌疑人被捕，其攻击波及全球5,000余名受害者。更早的2024年9月至10月，国际刑警协调的首次”塞伦盖蒂行动”逮捕了1,006名嫌疑人，该团伙涉及勒索软件、数字勒索、商务电邮入侵及网络诈骗。 国际刑警组织秘书长瓦尔代西·乌尔基扎周五强调：“每次由国际刑警协调的行动都承前启后，不断深化成员国间的合作、加强信息共享并提升调查技能。随着更多贡献和专业知识的共享，行动成果的规模和影响力持续扩大。这个全球网络比以往任何时候都更强大，正在取得实际成果并保护受害者。”       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员提醒，多起攻击行动正在利用已知安全漏洞和暴露的 Redis 服务器从事多种恶意活动，包括将受害设备变为物联网僵尸网络、住宅代理或加密货币挖矿基础设施。 第一类攻击涉及对 CVE-2024-36401（CVSS 评分：9.8）的利用，这是一种影响 OSGeo GeoServer GeoTools 的严重远程代码执行漏洞，自去年底以来已被武器化用于网络攻击。 Palo Alto Networks Unit 42 的研究人员 Zhibin Zhang、Yiheng An、Chao Lei 和 Haozhe Zhang 在技术报告中表示：“犯罪分子利用该漏洞部署合法的软件开发工具包（SDK）或修改过的应用，以通过网络共享或住宅代理获得被动收入。” “这种被动收入的方式尤其隐蔽。它模仿了一些正规应用开发者的变现策略，这些开发者选择 SDK 而不是展示传统广告。这可能是出于善意的选择，旨在保护用户体验并提升应用留存率。” 该网络安全公司表示，攻击者至少自 2025 年 3 月初起就开始探测暴露在互联网上的 GeoServer 实例，借此植入由对手控制的服务器下载的定制可执行文件。与常见的 HTTP 服务器不同，这些载荷通过一个私有文件共享服务 transfer.sh 分发。 此次行动中使用的应用程序尽量保持低调，几乎不消耗资源，同时通过隐秘的方式利用受害者的网络带宽获利，而无需分发定制恶意软件。这些二进制文件由 Dart 编写，旨在与合法的被动收入服务交互，悄悄利用设备资源进行带宽共享等活动。 这种方式对各方来说都是“双赢”：应用开发者通过集成该功能获得报酬，而网络犯罪分子则能借助看似无害的渠道，从闲置带宽中获利。 Unit 42 表示：“一旦运行，可执行文件会在后台秘密工作，监控设备资源，并在可能时非法共享受害者带宽。这为攻击者带来被动收入。” 该公司收集的遥测数据显示，全球共有 99 个国家的 7100 多个 GeoServer 实例暴露在互联网上，其中中国、美国、德国、英国和新加坡位居前五。 Unit 42 指出：“这场持续的行动展示了攻击者在变现受害系统方面的重要演进。攻击者的核心策略强调隐蔽且持久的收益，而不是对资源的激烈利用。这种方式更倾向于长期、低调的收入生成，而非容易被察觉的技术。” 与此同时，Censys 披露了一个大规模物联网僵尸网络 PolarEdge 的基础设施，该网络由企业级防火墙及路由器、网络摄像头和 VoIP 电话等消费类设备组成，通过利用已知安全漏洞形成。目前其确切用途尚不清楚，但很明显它并未被用于无差别的大规模扫描。 攻击者在获得初始访问权限后，会植入一个基于 Mbed TLS 的定制 TLS 后门，该后门可实现加密的指挥与控制、日志清理以及动态基础设施更新。该后门通常被部署在高位的非标准端口上，可能是为了绕过传统的网络扫描与防御监控范围。 PolarEdge 的特征符合“运营中继箱”（ORB）网络。攻击面管理平台指出，该行动可能最早可追溯至 2023 年 6 月，截至本月，活跃设备数量已达约 4 万台，感染设备中超过 70% 分布在韩国、美国、中国香港、瑞典和加拿大。 安全研究员 Himaja Motheram 表示：“ORB 是被攻陷的出口节点，用来转发流量，以便为威胁行为者执行更多的入侵或攻击。ORB 的价值在于，攻击者无需接管设备的核心功能，它们可以在后台安静地中继流量，而设备仍然保持正常运行，从而让设备所有者或运营商难以察觉。” 近几个月来，攻击者还利用 DrayTek、TP-Link、Raisecom 和 Cisco 等厂商产品中的漏洞入侵设备，并部署一个代号为 gayfemboy 的 Mirai 变种，表明攻击范围正在扩大。 Fortinet 表示：“gayfemboy 行动覆盖多个国家，包括巴西、墨西哥、美国、德国、法国、瑞士、以色列和越南。其目标涉及广泛行业，如制造业、科技、建筑业，以及媒体或通信。” gayfemboy 能够针对多种系统架构，包括 ARM、AArch64、MIPS R3000、PowerPC 和 Intel 80386。它具备四个主要功能： Monitor：跟踪线程和进程，并具备持久化和沙箱逃避技术 Watchdog：尝试绑定到 UDP 端口 47272 Attacker：通过 UDP、TCP 和 ICMP 协议发起 DDoS 攻击，并连接远程服务器获取命令以实现后门访问 Killer：在接收到服务器指令或检测到沙箱环境时自我终止 安全研究员 Vincent Li 表示：“虽然 gayfemboy 继承了 Mirai 的结构元素，但它引入了显著的改进，提升了复杂性和规避检测的能力。这一演变反映出现代恶意软件的日益复杂化，也凸显了主动、情报驱动防御策略的必要性。” 与此同时，另一起加密劫持行动也被曝光。威胁行为者 TA-NATALSTATUS 正在针对暴露的 Redis 服务器投放加密货币挖矿程序。 攻击方式包括扫描 6379 端口上的未认证 Redis 服务器，然后执行合法的 CONFIG、SET 和 SAVE 命令，进而创建一个恶意的定时任务，运行脚本以关闭 SELinux、规避防御、阻断 Redis 端口的外部连接（防止其他攻击者入侵），并终止竞争对手的挖矿进程（如 Kinsing）。 攻击者还会部署脚本安装 masscan 或 pnscan 等工具，随后执行类似“masscan –shard”的命令扫描互联网上的易受攻击 Redis 实例。最后一步是通过每小时的定时任务建立持久化，并启动挖矿进程。 网络安全公司 CloudSEK 表示，该活动是 Trend Micro 在 2020 年 4 月披露的一次攻击行动的演化版本，新增了类似 rootkit 的功能，以隐藏恶意进程并修改文件时间戳，从而迷惑取证分析。 研究员 Abhishek Mathew 表示：“通过将系统二进制文件 ps 和 top 重命名为 ps.original，并用恶意包装器替代，它们会在输出中过滤掉自身的恶意进程。管理员在使用标准工具寻找矿工进程时，将无法发现它的存在。他们还将 curl 和 wget 分别重命名为 cd1 和 wd1。这是一种简单但巧妙的方法，可以绕过那些专门监控 curl、wget 下载行为的安全产品。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国知名网络犯罪团伙“散裂蜘蛛”（Scattered Spider）一名20岁成员被判处十年监禁，其涉嫌参与系列重大黑客攻击及加密货币盗窃案。诺亚·迈克尔·厄本（Noah Michael Urban）已于2025年4月对电信欺诈和严重身份盗窃指控认罪。该判决由彭博社及杰克逊维尔当地媒体News4JAX率先报道。 除120个月联邦监禁外，厄本还需接受三年监督释放，并向受害者支付1300万美元赔偿金。厄本向安全记者布莱恩·克雷布斯表示，该判决“不公正”。 厄本曾使用“Sosa”“Elijah”“King Bob”“Gustavo Fring”“Anthony Ramirez”等多个化名，于2024年1月在佛罗里达州被捕。美国司法部指出，其在2022年8月至2023年3月期间实施的电信欺诈和严重身份盗窃，造成至少五名受害者损失超80万美元。 检方称，厄本与同伙通过SIM卡劫持攻击劫持受害者加密货币账户，盗取数字资产。2024年11月，美国司法部对厄本及其他四名散裂蜘蛛成员提起刑事指控，指控其利用社会工程学手段针对美国企业员工，入侵公司网络窃取专有数据并转移数百万美元加密货币。其中同伙泰勒·罗伯特·布坎南（Tyler Robert Buchanan）已于2025年4月从西班牙引渡回美国。 当前，散裂蜘蛛已与ShinyHunters、LAPSUS$等黑客组织组成新联盟。该团伙关联更广泛的英语系网络犯罪团体“The Com”，长期从事社会工程学攻击、凭证窃取、SIM卡劫持、初始访问渗透、勒索软件部署、数据盗窃及敲诈勒索。 零狐（ZeroFox）情报副总裁亚当·达拉表示：“散裂蜘蛛惯用制造紧迫感、吸引媒体关注、威胁曝光等手段迫使受害者快速付款。定时泄露信息、倒计时威胁及嘲讽安全公司均是他们的固定策略。与其他团伙的合作使其获得更多工具、数据和基础设施，威胁性成倍放大。执法打击加剧时，这类组织往往通过合并求生，最终形成更具破坏力的联合体。” 网络安全公司Flashpoint近期分析指出，该以牟利为目的的黑客组织采取“波浪式攻击策略”——短期内集中攻击特定行业多家企业。“散裂蜘蛛的战术证明，通过社会工程学手段（如语音钓鱼、短信钓鱼、MFA疲劳攻击）针对人员而非系统漏洞进行攻击，可轻易绕过最先进的技术防御体系。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部宣布从涉嫌勒索软件运营者Ianis Aleksandrovich Antropenko处查获逾280万美元加密货币。Antropenko在德克萨斯州被起诉，罪名包括计算机欺诈和洗钱，其犯罪活动关联现已停止运营的Zeppelin勒索软件（2019至2022年间活跃）。除数字资产外，当局还扣押7万美元现金及一辆豪华汽车。 “Antropenko使用Zeppelin勒索软件攻击全球范围内的个人、企业及组织（包括美国境内目标）”，司法部声明指出，“具体而言，Antropenko及其同伙会加密并窃取受害者数据，通常以解密数据、避免公开或承诺删除数据为条件勒索赎金”。 收到赎金后，Antropenko试图通过混币服务ChipMixer洗钱（该服务于2023年3月被当局查封）。其他洗钱手段包括加密货币兑现金交易及结构化存款（将大额资金拆分为小额存款以规避银行监管）。 Zeppelin勒索软件于2019年末作为VegaLocker/Buran勒索软件变种出现，通过利用MSP软件漏洞攻击医疗和IT企业。2021年沉寂后重启攻击，但后续攻击的加密方案显示出技术缺陷。至2022年11月该组织基本停止活动——当时曝光的安全研究显示，Unit221b团队自2020年初就掌握免费解密密钥可协助受害者恢复文件。2024年1月有消息称Zeppelin勒索软件源代码在某黑客论坛以500美元价格出售。 针对Antropenko的起诉表明，即使网络犯罪活动已停止多年，证据仍能揭露攻击者身份。此次280万美元赃款扣押行动，延续了美国当局近期打击勒索软件的系列举措（包括从BlackSuit勒索软件查获100万美元加密货币、从Chaos勒索软件查获240万美元比特币）。 在无法实施逮捕的案件中，查没犯罪所得对打击勒索软件至关重要——此举能有效阻止运营者及关联方利用资金重建基础设施或招募新成员。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部宣布对俄罗斯加密货币交易所Garantex的继任平台Grinex实施制裁。此前Garantex因协助勒索软件团伙洗钱已被制裁过。 TRM Labs四月发布的报告显示，Grinex与Garantex既往运营存在紧密关联，但未提供其用于非法交易的证据。2025年3月初美国当局查封Garantex域名后（该平台处理了价值1亿美元的非法交易并为网络犯罪团伙洗钱），与Garantex相关的Telegram频道迅速开始推广Grinex。Garantex管理人员Aleksandr Mira Serda和Aleksej Besciokov随后被起诉，其中Besciokov在印度度假期间被捕。 Garantex早在2022年4月就因关联暗网市场及网络犯罪团伙遭美国财政部海外资产控制办公室（OFAC）制裁，涉及对象包括暗网市场Hydra、臭名昭著的Conti勒索软件即服务（RaaS）组织，以及Black Basta、LockBit、NetWalker、Ryuk和Phoenix Cryptolocker等勒索软件团伙。 “2025年3月6日美国特勤局主导执法行动后，Garantex高管立即搭建新基础设施转移客户资金至Grinex”，OFAC周四声明称，“Grinex宣传材料明确表示，该交易所是为应对Garantex遭制裁和资产冻结而成立，其运营以来已处理数十亿美元加密货币交易”。 昨日，OFAC还重启对Garantex的制裁，并新增制裁其三位联合创始人（Sergey Mendeleev、Aleksandr Mira Serda和Pavel Karavatsky）及六家俄吉两国合作企业（包括InDeFi Bank、Exved、Old Vector、A7、A71和A7 Agent），指控他们与两家受制裁加密交易平台存在关联。 美国国务院周四宣布，对提供线索促成Garantex高管逮捕或定罪者，最高奖励600万美元。财政部反恐和金融情报事务副部长John K. Hurley强调：“利用加密货币交易所洗钱和协助勒索软件攻击不仅威胁国家安全，更损害合法虚拟资产服务提供商的声誉”。 美国国务院数据披露，2019年4月至2025年3月间，Garantex处理的加密货币交易总额超960亿美元。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文