HackerNews 编译，转载请注明出处： 网络安全研究人员发现，近期出现大量冒充微软、DocuSign等知名品牌的钓鱼邮件，其附件PDF中包含恶意二维码或链接，诱导受害者拨打攻击者控制的电话。这种新型攻击手法被称为“电话导向攻击投递”（Telephone-Oriented Attack Delivery，简称TOAD，也称“回拨式钓鱼”）。 思科Talos研究员Omid Mirzaei向The Hacker News透露，2025年5月5日至6月5日期间的分析显示，微软和DocuSign是PDF附件钓鱼邮件中最常被冒充的品牌，而NortonLifeLock、PayPal和Geek Squad也频繁出现在此类攻击中。 这些攻击利用用户对知名品牌的信任，通过PDF附件嵌入看似合法的二维码或链接，将受害者重定向至伪造的微软登录页面或Dropbox等服务的钓鱼网站。部分攻击甚至利用PDF注释功能隐藏恶意URL，伪装成便签、评论或表单字段，同时链接到真实网页以增强可信度。 在TOAD攻击中，受害者会被诱导拨打邮件中的“客服电话”，攻击者则冒充品牌客服代表，诱骗受害者泄露敏感信息或安装恶意软件。攻击者通常通过伪造紧迫感、播放虚假等待音乐、甚至伪造来电显示等手段，增强欺骗效果。 美国联邦调查局（FBI）2025年5月曾警告，一个名为“Luna Moth”的金融犯罪集团利用类似手法，冒充IT部门人员入侵企业网络。Mirzaei指出：“攻击者通过语音通话直接操控受害者情绪，利用人们对电话沟通的天然信任实施社会工程学攻击。” 大多数攻击者使用VoIP号码隐藏身份，部分号码甚至连续使用四天，以便通过同一号码实施多阶段社会工程学攻击。思科Talos强调：“品牌冒充是最常见的社会工程学手段之一，建立品牌冒充检测引擎对防御此类攻击至关重要。” 近期，攻击者还利用微软365（M365）的“Direct Send”功能发送钓鱼邮件。该功能允许攻击者无需入侵账户，即可伪造内部用户身份发送邮件。自2025年5月以来，已有超过70家组织成为此类攻击的目标。 这些伪造邮件不仅看似来自组织内部，还利用智能主机地址的可预测性（如“<tenant_name>.mail.protection.outlook.com”）绕过身份验证。攻击者有时会诱导受害者安装AnyDesk或TeamViewer等远程控制软件，或通过伪造支付页面窃取信用卡信息。 例如，2025年6月17日的一封钓鱼邮件伪装成语音邮件通知，附件PDF中的二维码指向伪造的微软365登录页面。安全研究员Tom Barnea指出：“攻击者利用M365 Direct Send功能发送内部邮件，这类邮件比外部邮件更容易绕过审查，成为低门槛的钓鱼载体。” 与此同时，Netcraft的最新研究发现，当用户向大型语言模型（LLM）询问50个不同品牌的登录网址时，模型有三分之一的时间会返回错误结果：近30%的域名未注册或闲置，5%指向完全无关的网站。这意味着用户可能因AI聊天机器人的错误引导而访问钓鱼网站。 Netcraft还发现，攻击者试图通过GitHub发布包含恶意功能的虚假API来“污染”AI编程助手（如Cursor）。安全研究员Bilaal Rashid表示：“攻击者不仅发布代码，还创建博客教程、论坛问答和数十个GitHub仓库进行推广。他们使用精心设计的虚假账户，伪装成可信开发者，诱导AI训练模型收录恶意代码。” 此外，攻击者还通过名为“Hacklink”的非法市场，向被入侵的政府（.gov）或教育（.edu）网站注入JavaScript或HTML代码，操纵搜索引擎优先展示钓鱼网站。安全研究员Andrew Sebborn解释：“Hacklink允许犯罪分子购买数千个被入侵网站的权限，插入指向钓鱼或非法网站的链接。这些链接与特定关键词关联，当用户搜索相关内容时，被入侵网站会出现在搜索结果中。” 更令人担忧的是，攻击者无需完全控制网站，即可篡改搜索结果中的文本内容，进一步损害品牌信誉和用户信任。     消息来源： thehackernews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部周二宣布制裁俄罗斯企业Aeza集团，指控其为勒索软件团伙和暗网毒品交易提供技术基础设施。 Aeza集团是一家“防弹主机”（Bulletproof Hosting, BPH）服务商，为网络犯罪分子提供IP地址、服务器和域名租赁服务，用于传播恶意软件、运营暗网市场及实施其他欺诈与网络攻击活动。 此次制裁除Aeza集团外，还涉及两家关联公司及四名高管，包括首席执行官阿尔谢尼·亚历山德罗维奇·彭泽夫（Arsenii Aleksandrovich Penzev）。彭泽夫被指控长期经营多家BPH服务商及非法毒品交易平台。今年4月，俄罗斯当局以“组织犯罪集团”和“大规模贩毒”罪名逮捕了Aeza集团多名高管。 美国财政部反恐与金融情报代理副部长布拉德利·史密斯表示： “网络犯罪分子高度依赖Aeza集团等BPH服务商发动破坏性勒索攻击、窃取美国技术并贩卖毒品。此次制裁与英国国家犯罪局等多国联合实施，旨在摧毁支撑犯罪生态的关键节点。” Aeza集团总部位于圣彼得堡，被指控为BianLian勒索软件团伙及RedLine、Lumma、Meduza窃密木马提供托管服务，并协助攻击美国国防与科技企业。此外，其平台还长期支持俄罗斯暗网毒品市场BlackSprut。网络安全研究人员此前将Aeza集团与亲克里姆林宫的虚假信息行动Doppelgänger（自2022年起活跃于欧洲）相关联。 此次被制裁的关联实体包括英国公司Aeza International、Aeza Logistic和Cloud Solutions，以及高管尤里·博佐扬（Yurii Bozoyan）、技术总监弗拉基米尔·加斯特（Vladimir Gast）和部分股东伊戈尔·克尼亚泽夫（Igor Knyazev）。博佐扬与彭泽夫一同被捕，克尼亚泽夫则在两人受审期间继续运营相关网站。 全球打击犯罪基础设施 美国财政部强调，此次行动是执法部门瓦解有组织网络犯罪工具链的组成部分。俄罗斯境内存在多家BPH服务商，其中一家近期被曝针对俄罗斯媒体机构发动攻击。2025年2月，美国曾与澳大利亚、英国联合制裁俄罗斯BPH服务商Zservers及其运营者。 2023年10月，西班牙警方逮捕一名涉嫌运营BPH公司的嫌疑人，作为打击Evil Corp网络犯罪集团及LockBit勒索软件附属团伙行动的一部分。此前，美国司法部曾判处罗马尼亚人米哈伊·帕内斯库（Mihai Paunescu）三年监禁，因其参与运营BPH服务商PowerHost.ro；2021年，俄罗斯人亚历山大·格里希什金（Aleksandr Grichishkin）因运营BPH公司获刑五年；爱沙尼亚人帕维尔·斯塔西（Pavel Stassi）和立陶宛人亚历山大·肖罗杜莫夫（Aleksandr Shorodumov）则因运营针对美国目标的BPH组织（2009-2015年）分别被判两年以上监禁。     消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织周一宣布摧毁一个加密货币投资诈骗团伙，该团伙通过5000余名全球受害者洗钱4.6亿欧元（约合5.4亿美元）。此次行动由西班牙国民警卫队主导，爱沙尼亚、法国和美国执法机构协同参与，调查始于2023年。 2025年6月25日，五名主要嫌疑人在加那利群岛和马德里被捕。该犯罪网络通过在亚洲、非洲招募人员，诱骗求职者进入东南亚“诈骗园区”，以暴力胁迫其实施犯罪。据调查，诈骗集团总部设在香港，利用全球支付通道和多身份账户转移非法资金。 诈骗手法主要采用恋爱诱骗（俗称“杀猪盘”）：犯罪者通过交友软件建立信任，引导受害者使用虚假加密货币平台投资。后台通过伪造交易数据维持骗局，得手后立即启动分层洗钱流程，经多重账户转移资金以逃避追踪。美国司法部近期已针对越南、菲律宾同类骗局发起2.25亿美元加密货币追缴诉讼。 犯罪升级趋势显著： 技术滥用：诈骗集团利用生成式AI提升犯罪效率，合成身份（伪造数据+AI生成信息）租用银行账户洗钱。 全球协作：犯罪网络通过中国即时通讯平台广告租用美国银行账户（涉及美国银行、大通银行等），用于资金转移。 人口贩运：柬埔寨境内53个诈骗园区涉及人口贩卖、强迫劳动，年非法收入达125亿美元（相当于该国GDP的50%）。 执法挑战主要来自： 法律滞后：75%国家现有法律体系难以应对新型网络犯罪。 跨国协作：资金流向涉及香港、越南、菲律宾等地，跨境执法效率受限。 平台监管：Meta公司2024年初以来已清除700万个关联诈骗的Facebook账户。 印度驻柬埔寨使馆已发布警示，提醒公民警惕“高薪工作”骗局。联合国毒品和犯罪问题办公室指出，东南亚正成为全球网络诈骗与洗钱中心，其地下银行系统深度渗透全球金融网络。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 犯罪分子正通过伪造CapCut（剪映）订阅发票窃取Apple ID凭证与信用卡信息。字节跳动旗下短视频编辑平台CapCut当前主导市场，使其成为网络犯罪分子的高价值目标。网络安全公司Cofense近期监测到一场新的钓鱼攻击活动，旨在窃取Apple ID登录信息。 攻击者伪造CapCut官方品牌发票，向用户发送“订阅确认”邮件。当用户发现需支付50美元费用时，会急于点击“取消订阅”按钮——而这正是精心设计的陷阱。点击后用户将被重定向至伪造的Apple ID登录页面，被诱导输入账户凭证。攻击者还会进一步要求受害者填写信用卡信息以“处理退款”。 受害者往往直至操作结束都难以察觉异常，因该骗局通过消除疑虑的设计规避警惕。Cofense分析指出：“此次钓鱼活动揭示了犯罪者如何利用品牌信任感与紧迫心理操控受害者：通过模仿CapCut/苹果标识并制造意外扣款恐慌，引导用户完成无缝衔接的两阶段凭证窃取流程。最终设置的虚假验证步骤更是延缓受害者警觉、延长攻击窗口期的关键策略。” 最佳防御措施是保持怀疑态度： 仔细检查网址：核对链接域名是否与官网完全匹配。 警惕敏感信息请求：对索要账户密码、支付信息等异常要求保持警觉。 举报可疑邮件：及时向平台或安全机构报告钓鱼邮件。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）披露，臭名昭著的网络犯罪组织Scattered Spider已将其攻击范围扩大至航空业。为此，该机构正积极联合航空业及行业合作伙伴共同打击此类活动并协助受害者。 FBI在社交媒体平台X上发布声明称：“该组织依赖社会工程学技术，通常冒充员工或承包商欺骗IT服务台以获取访问权限。这些技术常涉及绕过多因素认证（MFA）的方法，例如诱使服务台人员在受感染账户中添加未经授权的MFA设备。” Scattered Spider的攻击还以第三方IT供应商为目标获取大型机构访问权限，使得可信供应商和承包商面临潜在攻击风险。此类攻击通常为数据窃取、勒索和勒索软件攻击铺平道路。 Palo Alto Networks旗下Unit 42的研究员Sam Rubin在LinkedIn确认该威胁组织针对航空业的攻击，敦促各机构对高级社会工程学尝试和可疑的MFA重置请求保持“高度警惕”。 谷歌旗下Mandiant公司近期曾警告Scattered Spider瞄准美国保险业，此次也呼应了该警报，表示已察觉多起手法与该黑客组织作案模式相似的航空运输业安全事件。Mandiant的Charles Carmakal建议：“行业应立即采取措施，在向员工/承包商账户添加新电话号码（可能被威胁分子用于自助密码重置）、重置密码、向MFA解决方案添加设备或提供员工信息（如员工ID）前，严格加强服务台身份验证流程。” Scattered Spider持续得逞的关键在于其对人类工作流程的深度理解。即使存在MFA等技术防御措施，该组织仍专注于系统背后的人员——他们深知服务台员工也可能被精心编造的故事蒙蔽。这并非暴力破解，而是通过短暂建立信任实施渗透。在时间紧迫或压力较大时，伪造的员工请求极易蒙混过关。因此各机构需超越传统端点安全策略，重新评估实时身份验证机制。 该组织活动与Muddled Libra、Octo Tempest、Oktapus、Scatter Swine、Star Fraud及UNC3944等威胁集群存在重叠。该组织最初以SIM卡交换攻击闻名，其初始入侵手段涵盖社会工程学、服务台钓鱼和内部访问等技术，专门渗透混合环境。安全公司Halcyon指出：“Scattered Spider代表着勒索软件风险的重大演变，融合了深层社会工程学、多层次技术复杂性和快速双重勒索能力。该组织能在数小时内突破防御、建立持久访问、窃取敏感数据、禁用恢复机制，并在本地和云环境中引爆勒索软件。” 真正使其具备高度危险性的是其“耐心策划与突然发难”的组合策略。Scattered Spider不仅依赖窃取凭证，更投入大量时间收集目标情报，常结合社交媒体研究和公开泄露数据实施精准身份冒充。此类混合威胁融合商业邮件入侵（BEC）技术与云基础设施破坏手段，具有极强的隐蔽性。 该组织隶属于名为“The Com”（又名Comm）的无定型集体，其中亦包含LAPSUS$等组织。据评估其至少自2021年便开始活跃。Unit 42分析称：“该组织在Discord和Telegram通信平台中发展壮大，吸纳了不同背景和需求的成员。其松散的流动性结构导致破坏行动存在固有难度。” ReliaQuest上周五发布的报告详细披露了Scattered Spider上月末针对某未具名机构的攻击：通过锁定首席财务官（CFO），冒充其致电IT服务台，诱骗工作人员重置与该账户绑定的MFA设备和凭证。攻击者还利用侦察阶段获取的CFO出生日期和社会安全号码后四位，在公司公共登录门户完成身份验证，最终确认员工ID有效性。报告强调：“Scattered Spider偏爱高管账户的两大主因在于：此类账户通常权限过高，且相关IT服务台请求常被紧急处理——这大幅提高了社会工程的成功率。获取这些账户意味着通向核心系统的捷径，使侦察成为其定制化攻击计划的基石。” 掌握CFO账户权限后，攻击者展示了其快速适应和升级攻击的能力： 执行Entra ID枚举，扫描特权账户、特权组和服务主体以提升权限 搜索SharePoint敏感文件及协作资源，深度解析目标机构工作流程与IT/云架构 利用窃取的CFO凭证渗透Horizon虚拟桌面设施（VDI），通过社会工程学控制两个新增账户 入侵机构VPN基础设施以确保对内部资源的持续访问 重新启用已停用虚拟机（VM）并创建新VM，借此关闭虚拟化生产域控制器，提取NTDS.dit数据库文件 利用提升的权限破解CyberArk密码库，获取超1400项机密信息 通过特权账户推进入侵（包括向受控账户分配管理员角色） 使用ngrok等合法工具在控制虚拟机中建立持久访问 在行踪暴露后启动”焦土策略”：蓄意删除Azure防火墙策略规则集合以破坏正常业务运营 这反映出社会工程学攻击已演变为成熟的“身份威胁战役”——攻击者凭借详尽的战术手册突破层层防御。从SIM卡交换、语音钓鱼到权限提升，Scattered Spider展示了攻击路径畅通时的极速行动力。对多数企业而言，首要措施并非采购新工具，而是收紧内部流程（特别是服务台审批和账户恢复机制）。安全研究员Alexa Feminella与James Xiang指出：“Scattered Spider的初始入侵手段暴露了众多机构的关键弱点：过度依赖以人为中心的身份验证流程。该组织通过武器化信任绕过了强大的技术防御，证明攻击者可轻易操纵既定流程达成目标。这一漏洞凸显企业亟需重新评估并强化身份验证协议，降低人为失误成为攻击入口的风险。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全组织Cybereason披露，Qilin勒索软件团伙近期推出“呼叫律师”功能，为其附属团伙提供法律支持以胁迫受害者支付赎金。这一策略表明该组织正扩大业务范围，试图填补其他网络犯罪集团退出后的市场空白。 Qilin自2022年8月活跃至今，曾因2024年6月攻击英国医疗服务提供商Synnovis引发关注。该团伙采用“双重勒索”模式：先窃取并加密受害者数据，随后以公开数据为要挟索要赎金。其运营模式为勒索软件即服务（RaaS），向附属团伙提供攻击工具和基础设施，并从赎金中抽取15%-20%的分成。与其他勒索组织类似，Qilin明确禁止附属团伙攻击独联体国家系统。 该团伙正从单纯的恶意软件提供商转型为全链条网络犯罪平台，除提供高级攻击工具外，还新增法律咨询、垃圾邮件服务及海量数据存储支持。随着老牌勒索组织衰落，Qilin正主导新一代RaaS运营模式。 据Cybereason报告显示，“呼叫律师”功能可在赎金谈判阶段提供法律咨询，通过三种手段施压受害者： 引入法律风险评估，夸大潜在损失 根据不同司法管辖区对数据泄露行为进行违法等级认定 支持律师与受害企业直接谈判 Qilin在操作面板中宣称：“点击目标界面的‘呼叫律师’按钮，我们的法律团队将私下提供专业支持。律师介入聊天能对公司形成间接压力，提高赎金金额——因为企业通常希望避免法律诉讼。法律部门的合作优势包括：指导如何对拒付赎金的企业制造最大经济损失（及未来规避类似情况）、数据法律价值评估、多法域违法等级认定、潜在损害赔偿法律评估（含诉讼成本/声誉风险）。” 该团伙同步升级技术能力，2025年4月新增网络传播功能及DDoS攻击选项，增强不同攻击场景的适应性。Qualys报告指出：“依托包含法律支持（呼叫律师）的强大运营模式，配合激励政策和技术保障，该组织正实现前所未有的勒索成功率。” 活动热力图显示Qilin正加速扩大攻击范围，形成持续升级的威胁态势。对此Cybereason提出防御建议：“企业需建立主动防御体系应对Qilin等高级威胁，包括加强员工安全意识、验证事件响应机制、硬化技术环境等措施，系统性降低风险暴露面。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文