HackerNews 编译，转载请注明出处： 周五，美国机器人手术巨头直觉外科（Intuitive）称其遭遇网络攻击，导致数据泄露。直觉外科致力于研发、制造并销售用于微创手术的机器人产品，比如达芬奇手术系统和艾昂（Ion）腔内系统。 据该公司称，此次事件源于一起 “有针对性的网络安全钓鱼事件”，致使某些内部商业应用程序被未经授权访问。公司方面表示：“发现问题后，我们迅速启动了事件响应预案，并对所有受影响的应用程序进行了安全处理。” 攻击者利用被盯上的员工对内部商业管理网络的访问权限，获取了客户业务及联系信息、员工信息和公司数据。 根据直觉外科发布的事件通知，此次攻击并未影响其运营，也未影响其为客户提供支持的能力。 为人工智能代理设置防护措施 该公司还称：“我们的机器人系统拥有独立的安全协议，与内部商业网络分开运行。” 同时指出，攻击者并未进入支持其制造业务以及达芬奇和艾昂平台及数字产品的网络，这些网络与内部信息技术商业应用网络相互独立。 直觉外科表示：“医院客户网络与直觉外科网络相互独立，由客户的信息技术团队进行安全保护和管理，因此也未受影响。” 该公司称，此次事件对其业务或财务状况不应产生重大影响，目前攻击已得到全面控制，且已通知相关的数据隐私监管机构。 不过，直觉外科并未透露攻击的时间线、攻击者是谁，以及可能有多少人受到数据泄露的影响。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，美国能源部负责网络安全的最高官员表示，该部门计划首次发布一项战略计划，阐述其将如何更好地保护国家电网。 网络安全、能源安全与应急响应办公室（CESER）代理主任亚历克斯・菲茨西蒙斯称，该计划旨在补充近期发布的国家网络安全战略，重点聚焦于能源部将如何增强能源行业的 “安全弹性”。 菲茨西蒙斯表示，与私营部门建立伙伴关系的重要性以及强化合作的方式，将是这份战略计划的核心内容。 “私营企业在很大程度上负责保护自身网络，我们必须与之合作，” 菲茨西蒙斯在华盛顿特区举行的麦克拉里网络峰会上说道，“我们必须能够及时向他们提供可行的信息，以便他们保障自己网络的安全。” 菲茨西蒙斯还提到，该计划将着力研究如何通过最佳方式投资人工智能，以抵御对手部署的人工智能驱动的攻击性网络武器。 菲茨西蒙斯称：“我们必须在网络防御方面对人工智能进行投资，相关信息和技术将用于保障并强化关键能源基础设施，尤其是那些可能在未来冲突中涉及的国防关键能源基础设施。” “所有这些强化措施和信息技术，有助于我们应对网络和实体安全事件，并从中吸取经验教训，为能源行业及时提供可行的信息，这就是 CESER 战略计划的核心要点。” 在小组讨论结束后，记者在走廊上询问战略计划何时发布，菲茨西蒙斯只回答了 “很快”。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 甲骨文电子商务套件（Oracle E – Business Suite，简称 EBS）遭黑客攻击事件中，几家被列为受害者的全球巨头，对这一网络安全事件所造成的影响仍未作声。 Cl0p 勒索软件和敲诈团伙宣称对此次针对 EBS 用户的黑客攻击负责。此次攻击利用零日漏洞，获取企业存储在甲骨文企业管理软件中的数据，进而实施敲诈勒索。 尽管 Cl0p 是此次攻击对外公开的勒索品牌，但网络安全界认为，该行动可能是由一群威胁行为者推动的，其中最引人注目的是 FIN11。 黑客在 Cl0p 泄密网站上列出了 100 多家涉嫌在甲骨文 EBS 攻击事件中受害的企业，涉及科技、电信、软件、重工业、制造、工程、零售、消费品、能源、公用事业、媒体、金融和娱乐等多个行业。 对于大多数受害者，网络犯罪分子发布了种子文件，指向据称从其系统中窃取的信息。这表明这些受害者拒绝支付赎金。 此次攻击中的大多数大型企业已发布公开声明，确认发生数据泄露事件。许多企业称事件影响有限，但仍告知受影响人员潜在风险。 然而，仍有少数几家大型公司似乎尚未就此事发布任何公开声明，既未确认也未否认遭受攻击，甚至没有表示正在进行调查。 其中包括半导体和基础设施软件公司博通、工程建筑公司柏克德、化妆品集团雅诗兰黛公司，以及医疗设备和医疗保健解决方案提供商雅培公司。 它们均在 2025 年 11 月 20 日左右被列在 Cl0p 网站上。 企业可能需要数月甚至一年的时间来调查数据泄露事件并确定其全面影响。不过，大型企业通常至少会承认正在进行调查。 博通、柏克德、雅诗兰黛和雅培对多次置评请求均未回应。 黑客泄露的数据 SecurityWeek 并未下载任何泄露的数据，但对据称从 Cl0p 网站上提及的一些大型公司获取的数据进行了简要的元数据和文件树分析，发现这些文件确实源自甲骨文 EBS 环境。 以博通为例，网络犯罪分子公开了超过 2TB 的档案，据称这些档案存储了从该公司窃取的文件。雅诗兰黛的种子文件指向 870GB 的存档文件。 在撰写本文时，指向柏克德和雅培文件的种子文件仍然可用，但无法获取数据进行分析。然而，这并不意味着网络犯罪分子无法再访问这些文件，因为它们也可能在地下论坛私下传播。 一方面，像 Cl0p 这样的网络犯罪组织经常夸大其数据泄露的范围，促使许多公司迅速发布声明，否认或淡化相关指控，以安抚客户和利益相关者，表明任何影响都是有限的。 此外，如果没有受监管的数据（如健康信息、社会安全号码或支付细节）遭到泄露，公司没有法律义务公开披露该事件。如果数据泄露未达到重大程度，根据美国证券交易委员会（SEC）的规定，也无需向投资者报告。 另一方面，一些组织可能出于战略、公关和法律原因故意保持沉默。即使承认正在进行调查，也可能引发诉讼、卖空压力或额外的监管审查。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，一个相对较新的疑似与俄罗斯有关的黑客组织发起了一场网络间谍活动，他们将间谍软件伪装在有关星链卫星互联网终端和一家知名乌克兰慈善机构的文件中，目标直指乌克兰的各类组织。 据网络安全公司 Lab52 的一份报告显示，这场在 2 月被监测到的活动，部署了一款名为 DrillApp 的后门程序。借助该程序，攻击者能够从受感染的计算机上传和下载文件，通过麦克风录制音频，并利用网络摄像头抓拍图像。 研究人员将这场活动归咎于疑似与俄罗斯有关的黑客组织 “洗衣熊”（Laundry Bear），该组织也被追踪代号为 “虚空暴雪”（Void Blizzard）。至少从 2024 年起，该组织就十分活跃，此前曾将北约成员国和乌克兰机构列为攻击目标。 乌克兰计算机应急响应小组 CERT-UA 今年早些时候曾报告过该组织针对乌克兰武装部队的另一项行动。研究人员表示，这些行动都采用了类似的手段，包括以慈善为主题的诱饵，以及在公共文本分享服务平台上托管恶意组件。 在最近的这次行动中，攻击者使用了冒充乌克兰支持武装部队的慈善组织 “重生”（Come Back Alive）的请求文件，以及与星链卫星互联网终端验证相关的图片。2 月初，在乌克兰当局确认俄罗斯军队已开始在攻击无人机上安装星链技术后，乌克兰推出了针对星链终端的验证系统。 一旦恶意文件被打开，它就会通过微软 Edge 浏览器执行，使攻击者能够访问受害者的文件系统，并从麦克风获取音频、从摄像头获取视频以及录制设备屏幕画面。 研究人员称，攻击者可能选择通过网络浏览器来传播恶意软件，因为浏览器通常能够合法访问摄像头、麦克风和屏幕录制等敏感设备功能，这使得恶意活动更难被察觉。而且安全工具也很少将浏览器标记为可疑对象。 Lab52 表示，该间谍软件似乎仍处于早期开发阶段，这表明攻击者可能正在尝试新的方法来规避防御措施。研究人员识别出此次活动中使用的恶意软件有两个版本，主要区别在于诱骗受害者的诱饵不同。 “洗衣熊” 此前被描述为使用 “相对简单但难以察觉的技术”。该组织主要专注于网络间谍活动。微软此前曾报告称，该组织已成功渗透乌克兰多个行业的机构，包括教育、交通和国防领域。 安全研究人员还注意到，“洗衣熊” 的策略与俄罗斯军事情报威胁组织 APT28（也被称为 “奇幻熊”，Fancy Bear）的策略存在重叠之处，不过分析人士通常认为它们是不同的组织。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周三，美国与欧洲的执法机构联合捣毁了一个提供数千台家用路由器访问权限的网络犯罪平台。 SocksEscort 代理网络允许网络犯罪分子购买受恶意软件感染的路由器的访问权限。犯罪分子可通过受感染的路由器转发其网络活动，以此隐藏自身的地理位置与 IP 地址。 美国司法部表示，2020 年至 2026 年间，SocksEscort 提供了覆盖 163 个国家、约 36.9 万个不同 IP 地址的访问权限；截至今年 2 月，该平台仍上架了约 8000 个 IP 地址，其中 2500 个位于美国境内。 七个国家的执法机构共计查封了 34 个域名，关停了 23 台服务器。美国官方还冻结了价值 350 万美元的加密货币。 在针对 SocksEscort 采取行动的同时，美国联邦调查局（FBI）于周四发布了关于名为 AVRecon 的恶意软件的紧急警报，警告公众该恶意软件的攻击目标为路由器与物联网设备。 威胁行为者 “会入侵路由器、安装 AVRecon 恶意软件，随后通过 SocksEscort 住宅代理服务，将受感染设备的访问权限作为住宅代理出售”。 欧洲刑警组织指出，设备感染该恶意软件后，机主完全不会知晓自己的 IP 地址正被滥用。 欧洲刑警组织执行主任凯瑟琳・德・博勒表示，SocksEscort 这类代理服务 “为犯罪分子提供了发起攻击、传播非法内容、规避检测所需的数字掩护”。 德・博勒在声明中称：“通过拆除这一基础设施，执法机构捣毁了一项为全球范围网络犯罪提供支撑的服务。” 美国官方对支撑 SocksEscort 运作的多个美国境内域名执行了查封令。 法庭文件显示，SocksEscort 网站与数十种不同的网络诈骗相关，包括虚假失业保险申领、加密货币盗窃以及美国银行账户劫持。 据称，SocksEscort 的运营者通过该服务非法获利超 570 万美元。 奥地利、法国、荷兰的执法机构关停了 SocksEscort 的服务器，保加利亚、德国、匈牙利、罗马尼亚的官方也参与了这项始于 2025 年 6 月的调查。美国司法部指出，Lumen 旗下的 Black Lotus Labs、Shadowserver 基金会等私营机构也提供了协助。 Black Lotus Labs 发布了关于 AVRecon 与 SocksEscort 的专项公告，称过去几年间，该平台 “每周平均波及约 2 万名独立受害者，相关通信通过平均 15 个命令与控制（C2）节点进行转发”。 该公司曾在 2023 年表示，AVRecon 僵尸网络是其见过的针对家用 / 办公路由器的最大僵尸网络之一。 一名 FBI 官员向科技媒体 The Register 透露，SocksEscort 拥有 12.4 万名用户，官方计划利用查封的服务器追踪其他网络犯罪活动。 近年来，美国与欧洲的执法机构加大了僵尸网络的捣毁力度，以遏制网络犯罪与国家级攻击活动。自 2021 年以来，QakBot、911 S5、IPStorm、KV、DanaBot、Anyproxy、5socks 等多个僵尸网络均已受到执法机构的查处。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）于周一将三个安全漏洞添加至其已知被利用漏洞（KEV）目录，依据是存在被主动利用的证据。 漏洞列表如下： ·     CVE-2021-22054（CVSS 评分：7.5）——Omnissa Workspace One UEM（前身为 VMware Workspace One UEM）中的服务器端请求伪造（SSRF）漏洞，允许拥有 UEM 网络访问权限的恶意行为者在未认证情况下发送请求，并获取敏感信息。 ·     CVE-2025-26399（CVSS 评分：9.8）——SolarWinds Web Help Desk 的 AjaxProxy 组件中存在的不可信数据反序列化漏洞，攻击者可借此在主机上执行命令。 ·     CVE-2026-1603（CVSS 评分：8.6）——Ivanti Endpoint Manager 中存在的使用替代路径或通道的身份认证绕过漏洞，允许远程未认证攻击者泄露特定存储的凭据数据。 CVE-2025-26399 被加入目录之前，微软和 Huntress 曾报告称，威胁行为者正在利用 SolarWinds Web Help Desk 中的安全漏洞获取初始访问权限。该活动据信由 Warlock 勒索软件团伙实施。 另一方面，CVE-2021-22054 于 2025 年 3 月被 GreyNoise 标记为正在与其他产品中的多个 SSRF 漏洞一起被利用，属于一场协同攻击活动的一部分。 目前尚无关于 CVE-2026-1603 在野外如何被武器化的详细信息。截至本文撰写时，Ivanti 的安全公告尚未更新以反映该漏洞已被利用的状态。 为应对活跃威胁带来的风险，美国联邦行政部门（FCEB）机构被下令在 2026 年 3 月 12 日前为 SolarWinds Web Help Desk 应用修复程序，并在 2026 年 3 月 23 日前完成其余两个漏洞的修复。 CISA 表示：“此类漏洞是恶意网络行为者常用的攻击向量，对联邦机构构成重大风险。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗相关联的 APT 组织 MuddyWater 以美国机构为目标，在银行、机场、非营利组织等多个行业部署了新型 Dindoor 后门程序。 博通公司旗下的赛门铁克威胁狩猎团队发现了一场由与伊朗相关的 MuddyWater（又名 SeedWorm、TEMP.Zagros、Mango Sandstorm、TA450、Static Kitten）APT 组织发起的攻击活动，该活动针对多家美国机构。 博通赛门铁克发布的报告称：“在多家美国企业的网络中发现了与伊朗 APT 组织 Seedworm 相关的活动。该活动始于 2026 年 2 月，并在最近几天仍在持续。” 该组织部署了一款名为 Dindoor 的新型后门程序，并渗透进入多个行业的网络，包括银行、机场、非营利组织，以及一家软件公司的以色列分支机构。 首次 MuddyWater 攻击活动于 2017 年末被发现，当时该 APT 组织以中东地区实体为攻击目标。 专家将该活动命名为 “MuddyWater”，原因是难以对 2017 年 2 月至 10 月期间针对沙特阿拉伯、伊拉克、以色列、阿联酋、格鲁吉亚、印度、巴基斯坦、土耳其和美国的一系列攻击进行溯源归因。多年来，该组织不断扩充攻击手段，持续进化，攻击目标也扩展至欧洲和北美国家。 该组织的受害者主要集中在电信、政府（信息技术服务）以及石油行业。 2022 年 1 月，美国网络司令部（USCYBERCOM）正式将 MuddyWater APT 组织与伊朗情报与安全部（MOIS）关联起来。 自 2026 年 2 月初以来，MuddyWater APT 组织已针对美国和加拿大的多家机构发动攻击。受害者包括一家美国银行、一座机场、多家非营利组织，以及一家在以色列开展业务、服务于国防和航空航天领域的软件供应商。这款此前不为人知的 Dindoor 后门依赖 Deno 运行时执行 JavaScript 和 TypeScript 代码，并使用了一张颁发给 “Amy Cherne” 的证书进行签名。 研究人员还观察到，攻击者曾尝试使用 Rclone 工具从一家被攻击的软件公司窃取数据，并传输至 Wasabi Technologies 云存储桶中，目前尚不清楚此次数据传输是否成功。专家还在美国机场和非营利组织的网络中发现了另一个独立的 Python 后门程序，命名为 Fakeset，该程序使用了与 Seedworm 相关联的证书进行签名。该恶意软件托管在 Backblaze 服务器上，并与其他 Seedworm 关联的恶意软件家族共享证书，这表明这些入侵事件背后是该伊朗组织所为。 报告继续指出：“伊朗在网络空间行动的特点之一是，它会定期对其视为敌对国家的机构发起破坏性攻击，目前这类国家显然包括美国和以色列。”“这对这些国家的机构构成了风险，因为此类攻击的目的是传递信号，而非窃取信息，这意味着该国境内任何被盯上的机构都可能成为攻击目标。” 近期与伊朗网络行为体相关的活动显示，其行动混合了间谍活动、破坏行动与影响力行动。支持巴勒斯坦的黑客组织 Handala 通过钓鱼、数据窃取、勒索软件和数据泄露活动攻击以色列官员和能源公司，并宣称攻破了以色列和海湾地区的多家机构。与此同时，伊朗 APT 组织 Seedworm 针对学者、非政府组织和政府机构开展鱼叉式钓鱼攻击以收集情报。另一个组织 Marshtreader 在地区紧张局势期间对以色列境内存在漏洞的摄像头进行扫描，以实施侦察。 黑客组织 DieNet 也宣称对美国关键基础设施发起了 DDoS 攻击。研究人员警告称，与伊朗结盟的行为体可能升级攻击行动，包括 DDoS 攻击、网站篡改、凭证窃取、数据泄露，以及针对关键基础设施、能源、交通、电信、医疗和国防领域的潜在破坏性行动。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员观察到，与伊朗相关的行为体针对以色列及海湾国家的网络摄像头发起攻击，此举很可能用于支持军事情报搜集与战损评估。 根据《Check Point 2026 年网络安全报告》，网络行动正越来越多地被用于支持军事活动与战损评估（BDA）。在以色列与伊朗紧张局势期间，Check Point 软件技术公司的研究人员观察到，针对以色列及海湾国家（包括阿联酋、卡塔尔、巴林、科威特，以及黎巴嫩和塞浦路斯）网络摄像头的攻击数量激增。这些活动被归因于与伊朗相关的行为体，攻击者依托 VPN 和 VPS 基础设施，对设备进行已知漏洞扫描。 “在持续冲突期间，我们发现自 2026 年 2 月 28 日起，针对两家制造商生产的网络摄像头的攻击活动加剧，攻击源头来自我们归因于伊朗威胁行为体的基础设施。 攻击范围覆盖以色列、卡塔尔、巴林、科威特、阿联酋和塞浦路斯 —— 这些国家同样遭遇了大量与伊朗相关的导弹袭击活动。3 月 1 日，我们还观察到针对黎巴嫩特定区域摄像头的攻击活动。”Check Point 软件技术公司表示。 “我们还在更早的 1 月 14 日至 15 日观察到针对以色列和卡塔尔摄像头的更具针对性的活动。这些日期恰逢伊朗临时关闭其领空期间，据报道，当时伊朗预计可能遭遇美国打击。” 研究人员认为，攻击者的目的是侦察与实时监控，以支持情报搜集和潜在军事打击目标锁定。 威胁行为者利用以下漏洞发起攻击： 专家表示，厂商已对上述所有漏洞发布补丁。 研究人员分析了与伊朗相关基础设施发起的、针对 CVE-2021-33044 和 CVE-2017-7921 漏洞的利用尝试。 2021 年 10 月，专家曾发出警告称，身份认证绕过漏洞（编号为 CVE-2021-33044 和 CVE-2021-33045）已出现概念验证（PoC）利用代码。远程攻击者可通过向存在漏洞的摄像头发送特制数据包来利用这两个漏洞。 自 2026 年初以来，以色列及多个中东国家境内针对网络摄像头的扫描活动激增，此类活动往往与地缘政治紧张局势同步发生，例如伊朗国内抗议活动、美国军方访问以色列，以及对可能发生打击行动的担忧。 类似模式也出现在 2025 年 6 月以色列与伊朗冲突期间，当时被攻陷的摄像头很可能被用于侦察与战损评估，其中包括一起在导弹袭击前控制以色列魏茨曼科学研究所附近摄像头的案例。 “其中一起最知名的案例是，伊朗使用弹道导弹袭击了以色列魏茨曼科学研究所，而据报道，袭击方在袭击发生前刚刚控制了正对该建筑的街道摄像头。” 报告总结道。 防御方应通过以下方式降低风险：取消摄像头的公网访问权限，将其部署在 VPN 或零信任网关之后；组织应修改默认密码，强制使用高强度独立凭证，并保持设备固件更新；摄像头应运行在隔离网段，并限制出站流量；安全团队还应监控重复登录失败、可疑远程访问与异常外连行为。 本周，美国网络安全与基础设施安全局（CISA）将海康威视多款产品的不当身份认证漏洞 CVE-2017-7921（CVSS 评分 9.8）加入其已知被利用漏洞目录（KEV）。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Tycoon 2FA 是一款知名的钓鱼即服务（PhaaS）工具集，它允许网络犯罪分子大规模实施中间人（AitM）式凭证窃取攻击。如今，该平台已被多国执法机构与安全公司组成的联合行动小组摧毁。 这款基于订阅模式的钓鱼工具套件最早于 2023 年 8 月出现，欧洲刑警组织将其描述为全球规模最大的钓鱼犯罪活动之一。该工具通过 Telegram 和 Signal 出售，起步价为 10 天使用权 120 美元，或一个月网页版管理面板访问权限 350 美元。据称，Tycoon 2FA 的主要开发者是居住在巴基斯坦的萨阿德・弗里迪（Saad Fridi）。 该管理面板是配置、追踪和优化钓鱼活动的核心中枢。它内置预制模板、常用诱饵格式的附件文件、域名与托管配置、重定向逻辑以及受害者追踪功能。操作者还可以配置恶意内容通过附件进行分发的方式，并监控有效与无效的登录尝试。 窃取到的信息包括账号凭证、多因素认证（MFA）验证码和会话 Cookie 等，这些信息既可以在面板内直接下载，也可以转发到 Telegram 中进行近乎实时的监控。 欧洲刑警组织表示：“该平台使数千名网络犯罪分子能够秘密访问电子邮件和云服务账户。在大规模运作下，该平台每月生成数千万封钓鱼邮件，并协助攻击者未经授权访问全球近 10 万家机构，其中包括学校、医院和公共机构。” 作为此次联合行动的一部分，支撑该犯罪服务的 330 个核心域名（包括钓鱼页面和控制面板）已被关停。 情报机构 Intel 471 将 Tycoon 2FA 定性为 “危险” 平台，并表示该工具套件与超过 64,000 起钓鱼事件及数万个域名相关联，每月产生数千万封钓鱼邮件。微软公司正在以代号 Storm-1747 追踪该服务的运营者，微软称，Tycoon 2FA 成为其在 2025 年观测到的最活跃攻击平台，并促使其在 2025 年 10 月拦截了超过 1300 万封与该恶意软件服务相关的恶意邮件。 截至 2025 年年中，Tycoon 2FA 占到了微软拦截的所有钓鱼攻击尝试的约 62%，其中单月邮件量就超过 3000 万封。这家科技巨头补充称，自 2023 年以来，该服务已在全球造成约 96,000 名 distinct 钓鱼受害者，其中包括超过 55,000 名微软客户。 网络安全公司 SpyCloud 对受害者日志数据的地理分析显示，美国是已确认受害者最集中的地区（179,264 人），其次是英国（16,901 人）、加拿大（15,272 人）、印度（7,832 人）和法国（6,823 人）。 这家网络安全公司表示：“绝大多数被攻击的账户都是企业管理账户，或与付费域名相关联，这进一步证实了一个结论：Tycoon 2FA 主要针对商业环境，而非个人消费者账户。” 网络安全公司 Proofpoint 的数据显示，Tycoon 2FA 是流量规模最大的中间人钓鱼威胁来源。这家电子邮件安全厂商称，仅在 2026 年 2 月，它就监测到超过 300 万条与该钓鱼工具相关的消息。作为此次行动的私营部门合作伙伴之一，趋势科技（Trend Micro）指出，该钓鱼即服务平台拥有约 2000 名使用者。 利用 Tycoon 2FA 发起的钓鱼活动几乎不加区分地针对所有行业，包括教育、医疗、金融、非营利组织和政府部门。通过该工具发送的钓鱼邮件每月覆盖全球超过 50 万家机构。 微软表示：“Tycoon 2FA 平台使威胁行为人能够模仿微软 365、OneDrive、Outlook、SharePoint 和 Gmail 等服务的登录页面，从而冒充可信品牌。” “它还允许使用该服务的威胁行为人实现持久化控制，即使用户重置了密码，也能继续访问敏感信息，除非活跃会话和令牌被显式吊销。这种效果的实现原理是，在身份认证过程中拦截生成的会话 Cookie，同时捕获用户凭证。随后，多因素认证验证码会通过 Tycoon 2FA 的代理服务器中转到目标认证服务。” 该工具套件还采用了多种技术来规避检测，包括按键记录监控、反机器人筛选、浏览器指纹识别、高强度代码混淆、自建验证码、自定义 JavaScript 以及动态诱饵页面等。另一个关键特点是，它大量使用各类顶级域名（TLD）和短期有效完全限定域名（FQDN），并依托 Cloudflare 搭建钓鱼基础设施。 这些完全限定域名通常仅存活 24 到 72 小时，这种快速轮换是故意为之，目的是增加检测难度，并阻止安全机构建立可靠的拦截黑名单。微软还将 Tycoon 2FA 的成功归因于其高度模仿合法认证流程，从而隐秘拦截用户凭证和会话令牌。 更糟糕的是，Tycoon 2FA 的客户还使用一种名为 “账户接管跳跃”（ATO Jumping）的技术，即利用已攻陷的电子邮件账户分发 Tycoon 2FA 钓鱼链接，并尝试发起更多账户接管攻击。Proofpoint 指出：“使用这种技术能让邮件看起来像是真正来自受害者信任的联系人，从而提高攻击成功的可能性。” 像 Tycoon 这样的钓鱼工具套件在设计上具备高度灵活性，既能让技术能力不强的攻击者轻松使用，同时也能为更有经验的操作者提供高级功能。 Proofpoint 高级威胁研究员赛琳娜・拉尔森（Selena Larson）在向《黑客新闻》提供的声明中表示：“2025 年，99% 的机构遭遇了账户接管攻击尝试，67% 的机构发生了成功的账户接管事件。在这些被攻陷的账户中，59% 已经启用了多因素认证。虽然并非所有这些攻击都与 Tycoon 2FA 有关，但这一数据凸显了中间人钓鱼对企业造成的巨大影响。” “这些能够实现完全账户接管的网络攻击可能导致灾难性后果，包括勒索软件感染或敏感数据泄露。随着威胁行为人持续将身份攻击作为重点，获取企业电子邮件账户的访问权限，往往是一条可能带来毁灭性后果的攻击链的第一步。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个疑似与伊朗相关的威胁组织，通过冒充伊拉克外交部，针对伊拉克政府官员发动攻击并投放多款全新恶意软件。 Zscaler ThreatLabz 于 2026 年 1 月监测到该活动，并将其命名为 Dust Specter 进行追踪。攻击通过两条不同的感染链展开，最终投放 SPLITDROP、TWINTASK、TWINTALK 和 GHOSTFORM 恶意软件。 安全研究员 Sudeep Singh 表示：“Dust Specter 使用随机生成的 URI 路径与 C2 服务器通信，并在路径后附加校验值，确保请求来自真实受感染系统。C2 服务器还使用了地理围栏与 User‑Agent 校验。” 此次攻击的一个显著特点是：攻击者攻陷伊拉克政府相关基础设施，用于投放恶意载荷，同时还使用规避技术延迟执行，以躲避检测。 第一条攻击链以加密 RAR 压缩包开始，其中包含名为 SPLITDROP 的 .NET 加载器，它负责加载工作模块 TWINTASK 与 C2 协调模块 TWINTALK。 TWINTASK 是恶意 DLL（libvlc.dll），通过合法 vlc.exe 进行 DLL 侧加载。它每 15 秒轮询 C:\ProgramData\PolGuid\in.txt 获取新指令，并通过 PowerShell 执行，还包含通过修改注册表实现持久化的指令。脚本输出与错误信息记录在 out.txt 中。 TWINTASK 首次运行时会执行压缩包内合法程序 WingetUI.exe，使其侧加载 TWINTALK 的 DLL（hostfxr.dll）。其主要功能是与 C2 通信获取指令、与 TWINTASK 协同，并回传执行结果。支持将 C2 指令写入 in.txt，并支持文件上传与下载。 Singh 表示：“C2 协调模块与工作模块并行运行，通过文件轮询机制执行指令。TWINTALK 运行后进入心跳循环，随机延迟后再轮询 C2 获取指令。” 第二条攻击链是第一条的升级版，将 TWINTASK 与 TWINTALK 全部功能整合为单一程序 GHOSTFORM。它使用内存中直接执行 PowerShell 的方式运行来自 C2 的指令，从而避免在磁盘上留下痕迹。 这并非两条攻击链的唯一区别。部分 GHOSTFORM 样本内置硬编码 Google 表单地址，运行后会自动用默认浏览器打开。表单为阿拉伯语内容，伪装成伊拉克外交部官方调查问卷。 Zscaler 对 TWINTALK 与 GHOSTFORM 源码分析发现，其中存在占位符、表情符号与 Unicode 文本，表明攻击者可能使用生成式 AI辅助开发恶意软件。 此外，与 TWINTALK 关联的 C2 域名 meetingapp[.]site，已被 Dust Specter 在 2025 年 7 月攻击中用于搭建伪造的 Webex 会议邀请页面，诱导用户复制粘贴并运行 PowerShell 脚本 “加入会议”。该手法与 ClickFix 式社会工程攻击高度一致。 该 PowerShell 脚本会创建目录，从同一域名下载载荷并保存为可执行文件，同时创建计划任务每两小时运行该恶意程序。 Dust Specter 与伊朗关联的依据是：伊朗黑客组织长期使用轻量级自定义 .NET 后门。攻陷伊拉克政府基础设施的手法，也与 OilRig（APT34）等伊朗系组织过往攻击一致。 Zscaler 表示：“本次活动中高置信度归属 Dust Specter，通过高度仿真的社会工程诱饵冒充伊拉克外交部攻击政府官员。该活动也反映出主流趋势：ClickFix 式攻击手法与生成式 AI 在恶意软件开发中的广泛使用。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文