HackerNews 编译，转载请注明出处： 一个此前未知、名为Punishing Owl的黑客组织近期浮出水面，正对俄罗斯政府安全机构发起技术复杂的网络攻击。 该组织于 2025 年 12 月 12 日首次公开活动，当日宣布已成功入侵俄罗斯某政府安全机构的网络。 攻击者将窃取的内部文件发布至数据泄露平台，并在 Mega.nz 存储仓库中备份相关文件，以此实现网络入侵事件曝光度最大化的目的。 该组织采用多种攻击手段，扩大此次行动的影响力。在取得受害者 DNS 配置的控制权后，Punishing Owl 创建了一个子域名并修改了 DNS 记录，将相关流量劫持至一台位于巴西的服务器。 该服务器不仅托管了窃取的文件，还附带了一份阐述其攻击动机的政治声明。 攻击者特意选择周五晚 6 点 37 分宣布入侵事件，该时间点经精心测算，可拖延受害者响应进度，同时让自身攻击行动获得最大曝光度。 在完成初步入侵后，该组织进一步对受害机构的合作伙伴与承包商发起了商业电子邮件欺诈（BEC）攻击。 据 Habr 分析师调查发现，Punishing Owl 利用位于巴西的服务器，并使用在受害者邮件域名下伪造的发件地址发送了钓鱼邮件。 这些钓鱼邮件谎称是对网络入侵事件的核实通知，并附带紧急要求，催促收件人查看附件文档。 尽管是新近出现的组织，但其攻击基础设施展现出相当的技术水准。Punishing Owl 配置了伪造的 TLS 证书，搭建了用于邮件收发的 IMAP 和 SMTP 服务，并部署了名为 ZipWhisper 的 PowerShell 窃密木马，用以从受感染系统中盗取浏览器凭证。 恶意邮件中包含带密码保护的 ZIP 压缩包，包内藏有伪装的 LNK 快捷方式文件，该文件会执行 PowerShell 命令，从 bloggoversikten [.] com 域名下的命令与控制服务器下载窃取器。 感染机制与凭证窃取过程 ZipWhisper 窃取器通过多阶段感染流程运作，核心目标是从受入侵主机中提取敏感浏览器数据。 当受害者打开伪装的 LNK 文件时，它会静默执行 PowerShell 命令，从攻击者架设的服务器下载窃密木马的有效载荷。 随后该恶意软件会收集存储浏览器凭证、Cookie 及保存密码的相关文件，将其打包为 ZIP 压缩包，压缩包命名遵循特定规则，包含受害者用户名及文件分块编号。 这些压缩包会先临时存储在系统 AppData/Local/Temp 目录下，再通过自定义端点结构上传至命令与控制服务器。 对窃取器代码的分析显示，代码注释表明其部分恶意脚本可能由 AI 工具生成，这意味着该组织或在借助现代开发技术，加速针对俄罗斯关键基础设施目标的攻击行动推进。     消息来源:cybersecuritynews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型恶意攻击活动正对伊朗境内人员传播恶意软件，目标群体疑似包括记录该国近期抗议浪潮中人权侵害事件的非政府组织及相关个人。 该攻击活动由法国网络安全公司 HarfangLab 的威胁研究团队发现，最早监测记录始于 2026 年 1 月初。该团队于1月23日获取恶意样本，并于1月29日发布了详细分析报告。 研究人员将此次活动命名为“RedKitten”。它通过散播伪造的、极具煽动性的“诱饵文件”，目标直指搜寻失踪人员信息或与政治异见相关的组织及个人。一旦用户中计，便会下载一个名为 SloppyMIO 的恶意软件植入体。该程序可实现数据采集与窃取、执行任意命令，还能通过计划任务持久化部署更多恶意软件。 该恶意软件利用GitHub和Google Drive进行配置更新与模块化攻击载荷的获取，并通过Telegram进行命令与控制（C2）通信。 HarfangLab研究人员评估认为，该恶意软件是借助AI工具开发的，代码中存在多处大语言模型（LLM）辅助生成的痕迹。虽然目前无法将其明确归因于某个已知的威胁行为者，但发现攻击中使用的技术手段与伊朗国家背景攻击者已知手法吻合，且存在相关语言特征线索。研究人员明确表示，有充分依据判定该攻击活动源于与伊朗政府安全利益一致的威胁行为者。 伪造法医档案，诱捕异见者与研究者 RedKitten攻击活动以波斯语命名为 “德黑兰法医医疗文件” 的加密 7z 压缩包为起点，包内包含 5 个恶意 Excel 表格。这些文件声称记录了 2025 年 12 月至 2026 年 1 月期间，德黑兰地区 200 名疑似抗议者的死亡名单，该时段正是伊朗境内反政权动荡频发期。 这些Excel文档被精心命名以伪装成官方记录（例如“最终名单_受害者_1404年12月_德黑兰_第一部分.xlsm”），内含 5 个工作表，均为捏造但极具冲击力的虚假数据。其中一个工作表列明遇难者个人信息及涉事安全部队，包括伊朗伊斯兰革命卫队（IRGC）、巴斯基民兵组织、情报部等；另一个工作表包含含毒理学检测结果在内的详细验尸报告；第三个工作表记录遗体移交家属的相关信息，最后一个 “帮助” 工作表诱导用户启用宏，进而触发恶意软件执行。 研究人员指出，这些诱饵旨在利用目标人群的情感创伤，精准打击那些活动家、记者或寻找失踪亲人的家庭。但研究人员指出，文件数据存在大量矛盾之处，例如年龄与出生日期不匹配、涉事医生工作量不符合常理等，足以证明数据系伪造。文件中包含每起死亡事件对应的具体涉事安全机构等细节，其设计目的是引发冲击感与紧迫感，研究人员称该手法与伊朗过往网络攻击操作一致。 SloppyMIO恶意程序：数据窃取与间谍监控能力 当用户打开恶意Excel文件并按照提示“启用内容”后，一个隐藏在文档中的VBA宏便被激活。该宏会暗中释放更具破坏性的载荷 —— 一款由 C# 编写的恶意软件，即 HarfangLab 命名的 SloppyMIO。SloppyMIO 的命名源于其杂乱的设计架构：每次感染都会生成略有差异的代码，大幅提升安全工具的识别与拦截难度。 该恶意软件激活后，会通过多种隐蔽手段规避检测。其会将 AppVStreamingUX.exe 等合法 Windows 程序复制到隐藏文件夹，再强制该程序加载恶意代码，伪装成系统正常组件运行。为实现持久化运行，该恶意软件会创建计划任务，确保电脑每次启动时自动加载自身。代代码中还遗留多处线索，证明其至少部分由 AI 生成，例如命名怪异的变量及类似自动生成的注释内容。 与连接传统可疑C2服务器的恶意软件不同，SloppyMIO使用Telegram接收指令。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。为进一步规避检测，黑客采用隐写术，将恶意软件配置信息隐藏在表情包、图库图片等看似正常的图像中 —— 即把数据藏匿于图片难以察觉的细微信息里。 安装完成后，SloppyMIO 可执行多项间谍与破坏任务，具体包括： 收集并外泄文件。 在受害者计算机上执行任意命令。 下载额外的恶意软件。 安装用于长期控制的后门。 攻击者可通过Telegram远程下令，指挥恶意软件搜索特定文档、运行程序，甚至向其他设备扩散。某部分版本的恶意软件还会通过计划任务实现持久化：即便被清除，也会自动重新安装。 受害者分析与攻击归因 这些恶意样本由HarfangLab位于荷兰的研究人员上传至在线扫描平台。研究人员表示，无法确认样本上传者是攻击目标对象还是相关研究人员。 报告写道：“我们认为，此次活动的目标可能指向那些参与记录近期人权侵犯行为、以及揭露伊朗政权对抗议者施加骇人暴力的非政府组织与个人。” 尽管未做最终归因，但研究人员指出，RedKitten的感染链与伊朗、且与伊斯兰革命卫队（IRGC）相关的威胁组织“Yellow Liderc”（又名Imperial Kitten，编号TA456）的战术、技术和程序存在重叠。“值得注意的是，该组织过去就曾利用恶意Excel文档，通过‘AppDomain管理器注入’技术投递.NET恶意软件，且同样劫持了AppVStreamingUX.exe这一合法Windows程序。” 此外，研究人员还从RedKitten攻击基础设施中发现多项线索，表明威胁行为者与已知伊朗关联威胁组织存在关联，且使用波斯语。例如，自 2022 年起，多个伊朗威胁集群的攻击活动中，就曾出现以 GitHub 作为死信解析器（DDR）、以 Telegram 作为命令与控制（C2）信道的手法。研究人员甚至提及，攻击者在载荷中“戏谑地”使用了小猫图像，这或许是在调侃安全行业常用“Kitten”（小猫）来命名伊朗关联黑客组织的惯例。 研究人员总结道：“由于伊朗关联威胁行为者之间存在大量手法重合，且大语言模型在攻击活动中的应用日益广泛，对其进行精准区分的难度正不断提升。赤砂风暴（Crimson Sandstorm）等组织及伊朗整体高级持续性威胁（APT）生态中，均已出现此类趋势。” 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜威胁行为体Konni近期被发现使用AI工具生成的PowerShell恶意软件，针对区块链领域的开发者和工程团队发起攻击。该钓鱼活动已瞄准日本、澳大利亚和印度用户。 根据Check Point研究团队报告，Konni的恶意活动已超越其常规攻击范围，显示出在亚太地区更广泛的攻击目标。该黑客组织通常攻击韩国、俄罗斯、乌克兰及欧洲的机构。 此次攻击主要针对具备区块链相关资源和基础设施专业知识或访问权限的软件开发人员及工程团队。Konni使用伪装成合法项目文档的诱饵内容，这些内容通常与区块链及加密货币项目相关。 具体而言，攻击活动通过Discord内容分发网络投放模仿项目需求文档的ZIP文件，从而展开多阶段攻击链。诱饵文档包含架构、技术栈、开发时间表等技术细节，部分甚至包含预算和交付里程碑。 研究人员在技术报告中指出：“这种模式表明其意图是渗透开发环境，从而获取包括基础设施、API凭证、钱包访问权限乃至加密货币资产在内的敏感资产。” 为实现攻击目的，攻击者部署了AI生成的PowerShell后门程序。该脚本具有异常精巧的结构，但代码中直接嵌入了注释：”# <– 您的永久项目UUID”。 Check Point解释称：”这种措辞是LLM生成代码的典型特征，模型会明确指示用户如何自定义占位符数值。此类注释常见于AI生成的脚本和教程中。” 研究人员表示，所有这些都凸显了包括朝鲜组织在内的威胁行为体对AI技术的使用日益增多。 Check Point强调：”与针对个人终端用户不同，此次攻击活动的目标似乎是在开发环境中建立据点，通过渗透开发环境可获得跨多个项目和服务的更广泛下游访问权限。AI辅助工具的引入表明攻击者正试图在继续依赖成熟传播手段和社会工程学的同时，加速开发进程并实现代码标准化。” 该组织至少自2014年开始活跃，通常依靠鱼叉式钓鱼攻击传播围绕朝鲜半岛地缘政治议题制作的武器化文档。Konni以针对韩国的机构和个人而闻名，重点关注外交渠道、国际关系、非政府组织、学术界和政府机构，也被追踪为Earth Imp、Opal Sleet、Osmium、TA406和Vedalia。 去年11月，Konni曾被发现通过利用谷歌资产跟踪服务Find Hub攻击Android设备，远程重置受害者设备并清除其个人数据。 消息来源: cybernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： StealC信息窃取恶意软件操作者使用的基于网络的控制面板中存在一个跨站脚本（XSS）漏洞，该漏洞使得研究人员能够观察活跃会话并收集有关攻击者硬件的相关信息。 StealC于2023年初出现，并在暗网网络犯罪渠道上进行了大力推广。由于其规避检测和广泛的数据窃取能力，它逐渐流行起来。 在随后的几年里，StealC的开发者进行了多次功能增强。去年4月发布2.0版本时，恶意软件作者引入了用于实时警报的Telegram机器人支持，以及一个新的生成器，该生成器可以基于模板和自定义的数据窃取规则来生成StealC版本。 在那段时间，该恶意软件管理面板的源代码遭到泄露，给研究人员提供了分析它的机会。 CyberArk的研究人员还发现了一个XSS漏洞，使他们能够收集StealC操作者的浏览器和硬件指纹、观察活跃会话、从面板窃取会话cookie，并远程劫持面板会话。 研究人员表示：”通过利用该漏洞，我们能够识别威胁行为者计算机的特征，包括大致位置指标和计算机硬件详细信息。此外，我们还能够获取活跃的会话cookie，这使我们能够从自己的机器上控制这些会话。” CyberArk没有透露关于该XSS漏洞的具体细节，以防止StealC操作者迅速定位并修复它。 报告重点介绍了一个被称为’YouTubeTA’的StealC客户案例。该攻击者可能使用被盗凭证劫持了旧的、合法的YouTube频道，并植入了感染链接。这名网络犯罪分子在2025年全年运行恶意软件活动，收集了超过5000份受害者日志，窃取了大约39万个密码和3000万个cookie（其中大部分不敏感）。 从威胁行为者面板的截图来看，大多数感染发生在受害者搜索Adobe Photoshop和Adobe After Effects的破解版本时。 通过利用XSS漏洞，研究人员能够确定攻击者使用的是一台基于Apple M3芯片的系统，系统语言设置为英语和俄语，使用东欧时区，并且通过乌克兰访问互联网。当威胁行为者忘记通过VPN连接StealC面板时，他们的位置暴露了。这揭示了他们的真实IP地址，该地址与乌克兰ISP TRK Cable TV有关联。 CyberArk指出，恶意软件即服务平台虽然能实现快速扩张，但也给威胁行为者带来了重大的暴露风险。 BleepingComputer已联系CyberArk，询问他们为何选择现在公开StealC的XSS漏洞。研究员Ari Novick表示，他们希望扰乱该恶意软件的运营，因为”近几个月来StealC操作者的数量激增，可能是对几个月前围绕Lumma恶意软件的风波作出的反应。通过公布XSS漏洞的存在，我们希望在恶意软件操作者重新评估是否使用它时，至少能对StealC恶意软件的使用造成一些干扰。由于现在操作者相对较多，这似乎是一个可能对MaaS市场造成相当大扰动的绝佳机会。” 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   育碧旗下战术射击游戏《彩虹六号：围攻》（R6）发生安全事件：攻击者滥用内部系统，随意封禁/解封玩家、篡改封禁公告，并向全球账号发放巨额游戏货币与全部外观物品。 据玩家截图与社区反馈，黑客至少实现了以下操作： 任意封禁或解封玩家账号 在滚动封禁公告中插入伪造信息 给所有玩家发放约 20 亿点 R6 点券 与声望 解锁全部外观，含仅限开发者的内部皮肤 R6 点券为官方商城出售的付费货币，定价 15,000 点券 ≈ $99.99，因此 20 亿点券价值约 1,333 万美元。 周六上午 9:10，@Rainbow6Game 官方账号发推承认“发现问题，团队正在处理”。 随后育碧主动关闭游戏服务器及内置商城：“为确保修复，Siege 与 Marketplace 已暂时下线。” 最终公告明确三点： 玩家不会因花掉被发放的点券而受到处罚； 所有自 UTC 11:00 起的交易将被回滚； 滚动封禁信息并非官方生成，该功能早已禁用。 目前服务器仍处维护状态，育碧尚未发布正式事故报告，也未回复 BleepingComputer 的置评邮件。 更大规模入侵传闻 VX-Underground 称，有多个互无关联的黑客组织宣称已深入育碧基础设施： 组织 A：仅利用 R6 服务操纵封禁与库存，未触碰用户数据； 组织 B：借助近期公开的 MongoDB 漏洞 CVE-2025-14847（MongoBleed），从暴露实例中提取内存凭据，进而进入育碧内部 Git，声称窃取自 1990 年代至今的全部源代码； 组织 C：同样利用 MongoBleed 拿到用户数据，正向育碧勒索； 组织 D：反驳部分说法，称“组织 B 拿到源码已有一段时间”。 BleepingComputer 尚无法独立验证上述声明，包括 MongoBleed 是否被利用、源码或用户数据是否泄露。 目前可确认的范围仅限于《彩虹六号：围攻》游戏内异常。 若育碧后续披露更多信息，我们将持续更新。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Trust Wallet 官方证实，12 月 24 日发布的 Chrome 扩展程序更新被植入恶意代码，已造成约 700 万美元的加密资产失窃。 币安创始人赵长鹏（CZ）在 X 平台发文称：“截至目前，此次攻击已影响约 700 万美元。Trust Wallet 将全额赔付，用户资金 SAFU。对造成的不便深表歉意。”“团队仍在调查黑客是如何提交了新版本。” 与此同时，BleepingComputer 发现攻击者趁火打劫，注册钓鱼域名，假借“漏洞修复”之名继续洗劫受害用户钱包。 平安夜更新后钱包被掏空 12 月 24 日起，大量用户在社交媒体反映，刚升级 Trust Wallet Chrome 扩展后资产瞬间被转走。现已确认，这起供应链攻击至少造成 700 万美元损失。 Trust Wallet 是一款热门非托管钱包，支持移动端与 Chrome 浏览器扩展，用于管理多链资产并与 dApp 交互。 早先有用户发帖：“越来越多人抱怨，浏览器扩展一授权，钱就消失了……损失已超 200 万美元？” 安全分析师 Akinator 提醒：“在官方结论出炉前，请立即停用 Trust Wallet Chrome 扩展。” BleepingComputer 确认，Trust Wallet 于 12 月 24 日发布了 2.68.0 版本，随后钱包被盗报告激增。舆论发酵后，Trust Wallet 悄然在 Chrome 商店推送 2.69 版。 研究人员很快在 2.68.0 的打包文件 4482.js 中发现可疑代码：“新版偷偷加入了一段‘分析’代码，一旦导入助记词，就把钱包数据外发到 api.metrics-trustwallet[.]com。”该域名系事发前几天刚注册，现已无法访问。 安全研究员 Andrew Mohawk 最初持怀疑态度，最终证实该接口确实用于窃取密钥。 WHOIS 显示，metrics-trustwallet[.]com 与后续出现的钓鱼域名 fix-trustwallet[.]com 注册商相同，极可能由同一团伙操控。 官方确认安全事件 昨晚，Trust Wallet 公告承认 2.68.0 版扩展“遭遇安全事件”，呼吁用户立即升级至 2.69。对于受影响人数及具体损失，官方尚未回应媒体问询。 钓鱼网站趁火打劫 恐慌期间，多个 X 账号诱导用户访问 fix-trustwallet[.]com。该站仿冒官网，声称“修复漏洞”，实则弹窗索要助记词。一旦输入，攻击者可立即转走全部资产。 用户应立即执行以下操作 若未升级，切勿打开桌面端扩展。 在浏览器地址栏输入： chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph 关闭 Trust Wallet 扩展开关。 打开右上角“开发者模式”。 点击左上角“更新”按钮，确保版本号为 2.69。 若怀疑已泄露，立即新建钱包并转移剩余资产，旧助记词永久作废。 Trust Wallet 表示客服已主动联系受损用户，其他问题可提交至： https://twtholders.trustwallet.com   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 又名 Bronze Highland、Daggerfly、StormBamboo 的 Evasive Panda APT 组织自 2022 年 11 月起持续发动定向攻击，通过“中间人（AitM）+ DNS 投毒”组合手法，向土耳其、中国、印度等多国目标植入 MgBot 后门，行动至少延续至 2024 年 11 月。 攻击者将恶意程序伪装成搜狐影音、爱奇艺、IObit Smart Defrag、腾讯 QQ 等主流应用的“升级包”。当用户点击更新时，DNS 响应被篡改，域名解析指向攻击者服务器，例如 p2p.hd.sohu.com[.]cn 被解析为恶意 IP，下载到的 sohuva_update_10.2.29.1-lup-s-tp.exe 实为木马。 Securelist 分析指出，黑客先通过 DNS 投毒劫持合法更新请求，再把加密后的恶意组件存放在自己服务器，并借特定域名解析返回，加大溯源难度。 初始加载器使用单字节 XOR 解密配置，若当前用户为 SYSTEM，则复制自身并追加 ext.exe 后缀。随后解密 9556 字节 shellcode，因 .data 段默认不可执行，调用 VirtualProtect 改权限以隐蔽运行。 多阶段感染与混合加密 1. 第一段 shellcode 在安装目录寻找指定 DAT 文件，存在则调用 CryptUnprotectData 本地解密，用完即删； 2. 若无 DAT，则通过被 DNS 投毒的 dictionary[.]com（按受害者地理位置返回不同恶意 IP）下载加密数据； 3. 第二段载荷伪装成 PNG，采用 DPAPI+RC5 混合加密：RC5 密钥先被 DPAPI 加密并存放于 perf.dat 前 16 字节，剩余部分为 RC5 加密内容； 4. 次级加载器 libpython2.4.dll 借助合法签名程序 evteng.exe 进行 DLL 侧载，进一步隐蔽； 5. 最终解密出的 MgBot 被注入 svchost.exe，实现长期驻留。配置内含战役名、硬编码 C2 地址及加密密钥，部分服务器已活跃多年。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 区块链情报公司 TRM Labs 最新调查显示，2022 年 LastPass 数据泄露事件中被窃的加密备份文件，因部分用户主密码强度不足，至今仍在被黑客离线破解，导致加密货币资产持续失窃，最近一次盗币发生在 2025 年 10 月。 链上证据显示，俄罗斯网络犯罪集团深度参与：相关资金多次与俄罗斯关联基础设施交互，混币前后控制权一致，且持续使用高风险俄系交易所套现。TRM Labs 指出，评估结论“基于完整的链上证据链”。 2022 年，LastPass 遭重大入侵，攻击者获取大量客户加密密码库，内含加密货币私钥、助记词等敏感信息。英国信息专员办公室（ICO）本月早些时候以“未采取足够技术和安全措施”为由，对 LastPass 处以 160 万美元罚款。事发后 LastPass 曾警告，黑客可能用暴力破解手段还原主密码；TRM Labs 证实这一预言已成现实。 “任何主密码薄弱的密码库都可能被离线爆破，2022 年的一次入侵为攻击者打开了持续数年的盗窃窗口。由于用户未更换密码或加固库文件，黑客在数年后仍能破解并转走资产，最晚一批盗币发生在 2025 年底。” 资金流向凸显俄罗斯背景：混币后主要通过 Cryptomixer.io 洗白，再经 Cryptex、Audia6 两家俄系交易所套现。其中 Cryptex 已于 2024 年 9 月被美国财政部制裁，理由是其接收逾 5120 万美元勒索软件赃款。TRM Labs 目前已追踪到 3500 万美元被盗数字资产：2800 万美元在 2024 年末至 2025 年初通过 Wasabi Wallet 混币并换成比特币；另 700 万美元于 2025 年 9 月的新一轮盗币中被发现。 尽管攻击者采用 CoinJoin 混币技术，TRM Labs 仍通过聚类提款与“剥皮链”手法还原资金路径，将混合后的比特币锁定至上述两家交易所。 TRM Labs 全球政策主管 Ari Redbord 表示：“这是单一泄露演变为多年盗窃的典型案例。即便使用混币器，操作习惯、基础设施复用及套现行为仍会暴露幕后黑手。高风险俄系交易所仍是全球网络犯罪的核心出口，此案再次证明‘去混币’与生态级分析对追踪和执法至关重要。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LockBit 5.0 的核心基础设施遭到曝光，泄露的信息包括 IP 地址 205.185.116.233，以及用于托管该勒索软件组织最新泄露站点的域名 karma0.xyz。 安全研究员拉克什・克里希南透露，该服务器隶属于编号为 AS53667 的网络（即由 FranTech Solutions 运营的 PONYNET 网络），这一网络常被非法活动滥用。服务器显示的分布式拒绝服务（DDoS）防护页面带有 “LOCKBITS.5.0” 标识，证实其为该组织的运营资产。 此次运营安全漏洞曝光之际，LockBit 组织正凭借增强的恶意软件攻击能力卷土重来。 克里希南于 2025 年 12 月 5 日通过 X 平台（前身为推特）首次公开相关发现，指出该域名注册时间较新，且与 LockBit 5.0 的活动存在直接关联。 WHOIS 域名注册信息显示，karma0.xyz 注册于 2025 年 4 月 12 日，有效期至 2026 年 4 月，使用 Cloudflare 的域名服务器（iris.ns.cloudflare.com和tom.ns.cloudflare.com），并通过 Namecheap 的隐私保护服务将联系地址标注为冰岛雷克雅未克。 该域名状态显示 “禁止客户转移”，表明该组织在受到审查的情况下，正试图巩固对域名的控制权。 扫描结果显示，IP 地址 205.185.116.233 开放了多个端口，包括存在漏洞的远程访问端口，这使得服务器面临被入侵干扰的潜在风险。 端口号 协议 对应组件 21 TCP FTP 服务器 80 TCP Apache/2.4.58（Win64）OpenSSL/3.1.3 PHP/8.0.30 G7gGBXkXcAAcgxa.jpg 3389 TCP 远程桌面协议（RDP）（设备名：WINDOWS-401V6QI） 5000 TCP HTTP 服务 5985 TCP Windows 远程管理（WinRM） 47001 TCP HTTP 服务 49666 TCP 文件服务器 其中，3389 端口的远程桌面协议（RDP）是高风险攻击入口，可能导致攻击者未经授权访问这台 Windows 主机。 LockBit 5.0 于 2025 年 9 月左右问世，支持 Windows、Linux 和 ESXi 操作系统，具备随机文件扩展名、基于地理位置的规避机制（跳过俄罗斯相关系统）等特性，并通过 XChaCha20 加密算法提升加密速度。 此次基础设施曝光凸显了该组织持续存在的运营安全漏洞。尽管 LockBit 多次遭到打击，但仍顽固活跃。防御方应立即封禁相关 IP 地址和域名，研究人员可对后续潜在泄露信息进行持续监控。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，一个利用合法远程访问软件渗透政府目标的网络攻击活动正不断扩大。 该活动由 Group-IB 公司与 UKUK 机构联合发现，由 Bloody Wolf高级持续性威胁组织实施。与传统恶意软件不同，该组织采用精简的基于 Java 的投放方式，部署 NetSupport 远程管理工具。 两家机构指出，自 2023 年末活跃以来，Bloody Wolf组织持续优化其攻击技术。 攻击范围超出初始目标 本周发布的安全公告显示，血腥狼组织至少自 2025 年 6 月起在吉尔吉斯斯坦开展持续攻击活动，并于 10 月初将攻击范围扩大至乌兹别克斯坦。 分析人员观察到，该组织通过伪造的 PDF 文件、仿冒域名以及诱导受害者安装 Java 以查看所谓 “案件材料” 的指令，持续冒充两国司法部。诱骗信息中嵌入的简短消息进一步增强了伪装的合法性。 研究人员表示，相关发现源自一项结合威胁情报数据与攻击组织基础设施分析的联合调查。 值得注意的是，针对乌兹别克斯坦的攻击基础设施配置了地理围栏机制：境外用户访问时会被重定向至合法政府网站，而境内用户则会被推送恶意 JAR 文件下载链接。 攻击链运作机制 受害者打开下载的 JAR 文件后，加载器会获取额外组件，最终安装 NetSupport RAT 以实现远程控制。这些加载器基于 Java 8 构建，仅包含单个类且未经过混淆处理。尽管体积小巧，但它们可自动完成以下操作： 通过 HTTP 协议获取 NetSupport 二进制文件 通过自动运行项建立持久化 创建计划任务 显示虚假错误消息以分散用户注意力 此外，加载器包含一个设置为 3 次的运行次数限制计数器（存储在用户配置文件目录中），意味着恶意软件运行有限次数后会自动停止，以降低被发现的风险。 分析人员还指出，该组织利用定制化 JAR 生成器批量生产恶意样本，这些样本的下载路径、注册表项和错误消息均有所不同。 该组织此前曾使用 STRRAT 工具，目前则依赖 2013 年旧版本的 NetSupport Manager，相关软件许可证可能来源于公开渠道。 报告结论称，社会工程学与低成本工具的结合，使血腥狼组织能够在中亚地区维持稳定的攻击节奏。 Group-IB 在报告中写道：“这种社会工程学与易获取工具的组合，让血腥狼组织在保持低运营曝光度的同时维持攻击有效性。其从传统恶意软件向合法远程管理软件的转变，表明该组织正持续调整策略，以规避检测并融入正常 IT 活动。” “鉴于该组织的适应性与持久性，中亚地区的组织应保持警惕，防范近期可能持续的鱼叉式钓鱼活动及不断演变的攻击链。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文