HackerNews 编译，转载请注明出处： 朝鲜相关信息技术人员目前正冒用他人真实 LinkedIn 账号申请远程岗位，标志着该欺诈计划出现新一轮升级。 安全联盟（SEAL）在社交平台 X 的多篇帖文中表示：“这些伪造账号通常带有认证工作邮箱与身份徽章，朝鲜特工希望借此让欺诈性求职申请显得真实合规。” 此类 IT 人员攻击是朝鲜长期运作的行动，特工使用被盗或伪造身份伪装成远程工作者，谋求入职西方及其他地区企业。 该威胁同样被广大网络安全社区以 Jasper Sleet、PurpleDelta 和 Wagemole 为代号进行追踪。此类行动的最终目的分为两方面：一是获取稳定收入来源为朝鲜武器计划提供资金，二是通过窃取敏感数据实施间谍活动，部分情况下还会进一步索要赎金以避免信息泄露。 上月，网络安全公司 Silent Push 将朝鲜远程人员计划称为该国政权的 “高流量收入引擎”，威胁行为者借此还能获取敏感代码库的管理员权限，并在企业基础设施中实现无文件持久化驻留。 区块链分析公司 Chainalysis 在 2025 年 10 月发布的报告中指出：“朝鲜 IT 人员在收到薪资后，会通过多种洗钱手法转移加密货币。” “这些 IT 人员及其洗钱同伙切断链上资金来源与去向关联的手段之一，是通过链间跳转和 / 或代币兑换。” 他们利用去中心化交易所、跨链桥协议等智能合约增加资金追踪难度。 为应对该威胁，建议怀疑身份被用于欺诈求职的个人在社交媒体账号发布警示声明，同时列明官方沟通渠道与身份验证方式（如公司邮箱）。 安全联盟表示：“务必验证求职者所列账号由其提供的邮箱实际控制。” “要求对方在 LinkedIn 与你建立联系这类简单核查，即可验证其对账号的所有权与控制权。” 该信息披露之际，挪威警察安全局（PST）发布公告称，过去一年已获悉 “多起” 挪威企业遭朝鲜 IT 人员欺诈计划影响的案件。 挪威警察安全局上周表示：“这些企业受骗雇佣了疑似朝鲜 IT 人员担任居家办公岗位。” “朝鲜相关人员通过此类岗位获得的薪资，大概率被用于资助该国武器及核武器计划。” 与 IT 人员计划同步推进的还有一项名为 “感染性面试” 的社会工程学攻击活动，攻击者在领英以招聘名义接触目标后，通过伪造招聘流程诱骗目标参与面试。 当伪装成招聘人员与招聘经理的攻击者要求目标完成技能评估并最终执行恶意代码时，攻击进入恶意阶段。 在一起模仿数字资产基础设施公司 Fireblocks 招聘流程、针对技术人员的招聘伪装攻击中，威胁行为者要求求职者克隆 GitHub 仓库并执行命令安装 npm 包，从而触发恶意程序运行。 安全研究员 Ori Hershko 表示：“该攻击还使用了 EtherHiding 新型技术，利用区块链智能合约托管与调取命令与控制基础设施，提升恶意载荷的抗查封能力。”“这些操作会触发隐藏在项目中的恶意代码执行。” 执行安装流程会导致恶意程序在受害者系统中下载并运行，为攻击者在目标设备中建立立足点。 据 Abstract Security 与 OpenSourceMalware 报告，近月监测到 “感染性面试” 攻击新变种利用恶意微软 VS Code 任务文件，执行伪装成网页字体的 JavaScript 恶意程序，最终部署 BeaverTail 与 InvisibleFerret 恶意软件，实现持久化访问并窃取加密货币钱包与浏览器凭据。 Panther 安全公司记录的该入侵活动另一变种，疑似通过恶意 npm 包，借助加载器部署名为 Koalemos 的模块化 JavaScript 远程访问木马（RAT）框架。 该远程访问木马会进入信标循环，从外部服务器获取任务并执行，发送加密响应，随机休眠一段时间后重复该流程。 它支持 12 种指令，可执行文件系统操作、文件传输、信息探测指令（如主机信息查询）及任意代码执行。 与该活动相关的部分程序包名称如下： ·     env-workflow-test ·     sra-test-test ·     sra-testing-test ·     vg-medallia-digital ·     vg-ccc-client ·     vg-dev-env 安全研究员 Alessandra Rizzo 表示：“初始加载器会先执行基于 DNS 的执行门控与活动日期验证，再下载并以独立进程启动远程访问木马模块。” Koalemos 会采集系统指纹，建立加密的命令与控制通信，并提供完整远程访问能力。 Labyrinth Chollima 分化为专业化作战单元 此次进展披露之际，CrowdStrike 证实活跃的朝鲜黑客组织 Labyrinth Chollima 已分化为三个目标与作战手法迥异的集群：核心Labyrinth Chollima、Golden Chollima（亦称 AppleJeus、Citrine Sleet、UNC4736）与Pressure Chollima（亦称 Jade Sleet、TraderTraitor、UNC4899）。 据 DTEX 评估，值得注意的是，Labyrinth Chollima 与安Andariel 、BlueNoroff 同属拉撒路集团（亦称 Diamond Sleet、Hidden Cobra）旗下子集群，其中 BlueNoroff 又分化出TraderTraitor 与 CryptoCore（亦称 Sapphire Sleet）。 尽管战术不断演进，这些攻击组织仍持续共享工具与基础设施，表明朝鲜网络作战机构内部存在集中协调与资源调配机制。Golden Chollima专注于在经济发达地区实施持续、小规模的加密货币窃取，Pressure Chollima 则通过高级植入程序针对大型数字资产持有机构实施高价值窃案。而Labyrinth Chollima 的行动以网络间谍活动为目的，借助 FudModule rootkit 等工具实现隐蔽作业。 该组织同样关联 “梦幻求职行动”，这是另一项以招聘为核心的社会工程学攻击，旨在投放恶意程序以搜集情报。 CrowdStrike 表示：“基础设施与工具的共享互通表明这些作战单元保持着紧密协同。” 三个攻击组织均使用高度相似的作战手法，包括供应链攻击、人力资源主题社会工程学、木马化合法软件以及恶意 Node.js 与 Python 程序包。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型恶意攻击活动正对伊朗境内人员传播恶意软件，目标群体疑似包括记录该国近期抗议浪潮中人权侵害事件的非政府组织及相关个人。 该攻击活动由法国网络安全公司 HarfangLab 的威胁研究团队发现，最早监测记录始于 2026 年 1 月初。该团队于1月23日获取恶意样本，并于1月29日发布了详细分析报告。 研究人员将此次活动命名为“RedKitten”。它通过散播伪造的、极具煽动性的“诱饵文件”，目标直指搜寻失踪人员信息或与政治异见相关的组织及个人。一旦用户中计，便会下载一个名为 SloppyMIO 的恶意软件植入体。该程序可实现数据采集与窃取、执行任意命令，还能通过计划任务持久化部署更多恶意软件。 该恶意软件利用GitHub和Google Drive进行配置更新与模块化攻击载荷的获取，并通过Telegram进行命令与控制（C2）通信。 HarfangLab研究人员评估认为，该恶意软件是借助AI工具开发的，代码中存在多处大语言模型（LLM）辅助生成的痕迹。虽然目前无法将其明确归因于某个已知的威胁行为者，但发现攻击中使用的技术手段与伊朗国家背景攻击者已知手法吻合，且存在相关语言特征线索。研究人员明确表示，有充分依据判定该攻击活动源于与伊朗政府安全利益一致的威胁行为者。 伪造法医档案，诱捕异见者与研究者 RedKitten攻击活动以波斯语命名为 “德黑兰法医医疗文件” 的加密 7z 压缩包为起点，包内包含 5 个恶意 Excel 表格。这些文件声称记录了 2025 年 12 月至 2026 年 1 月期间，德黑兰地区 200 名疑似抗议者的死亡名单，该时段正是伊朗境内反政权动荡频发期。 这些Excel文档被精心命名以伪装成官方记录（例如“最终名单_受害者_1404年12月_德黑兰_第一部分.xlsm”），内含 5 个工作表，均为捏造但极具冲击力的虚假数据。其中一个工作表列明遇难者个人信息及涉事安全部队，包括伊朗伊斯兰革命卫队（IRGC）、巴斯基民兵组织、情报部等；另一个工作表包含含毒理学检测结果在内的详细验尸报告；第三个工作表记录遗体移交家属的相关信息，最后一个 “帮助” 工作表诱导用户启用宏，进而触发恶意软件执行。 研究人员指出，这些诱饵旨在利用目标人群的情感创伤，精准打击那些活动家、记者或寻找失踪亲人的家庭。但研究人员指出，文件数据存在大量矛盾之处，例如年龄与出生日期不匹配、涉事医生工作量不符合常理等，足以证明数据系伪造。文件中包含每起死亡事件对应的具体涉事安全机构等细节，其设计目的是引发冲击感与紧迫感，研究人员称该手法与伊朗过往网络攻击操作一致。 SloppyMIO恶意程序：数据窃取与间谍监控能力 当用户打开恶意Excel文件并按照提示“启用内容”后，一个隐藏在文档中的VBA宏便被激活。该宏会暗中释放更具破坏性的载荷 —— 一款由 C# 编写的恶意软件，即 HarfangLab 命名的 SloppyMIO。SloppyMIO 的命名源于其杂乱的设计架构：每次感染都会生成略有差异的代码，大幅提升安全工具的识别与拦截难度。 该恶意软件激活后，会通过多种隐蔽手段规避检测。其会将 AppVStreamingUX.exe 等合法 Windows 程序复制到隐藏文件夹，再强制该程序加载恶意代码，伪装成系统正常组件运行。为实现持久化运行，该恶意软件会创建计划任务，确保电脑每次启动时自动加载自身。代代码中还遗留多处线索，证明其至少部分由 AI 生成，例如命名怪异的变量及类似自动生成的注释内容。 与连接传统可疑C2服务器的恶意软件不同，SloppyMIO使用Telegram接收指令。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。为进一步规避检测，黑客采用隐写术，将恶意软件配置信息隐藏在表情包、图库图片等看似正常的图像中 —— 即把数据藏匿于图片难以察觉的细微信息里。 安装完成后，SloppyMIO 可执行多项间谍与破坏任务，具体包括： 收集并外泄文件。 在受害者计算机上执行任意命令。 下载额外的恶意软件。 安装用于长期控制的后门。 攻击者可通过Telegram远程下令，指挥恶意软件搜索特定文档、运行程序，甚至向其他设备扩散。某部分版本的恶意软件还会通过计划任务实现持久化：即便被清除，也会自动重新安装。 受害者分析与攻击归因 这些恶意样本由HarfangLab位于荷兰的研究人员上传至在线扫描平台。研究人员表示，无法确认样本上传者是攻击目标对象还是相关研究人员。 报告写道：“我们认为，此次活动的目标可能指向那些参与记录近期人权侵犯行为、以及揭露伊朗政权对抗议者施加骇人暴力的非政府组织与个人。” 尽管未做最终归因，但研究人员指出，RedKitten的感染链与伊朗、且与伊斯兰革命卫队（IRGC）相关的威胁组织“Yellow Liderc”（又名Imperial Kitten，编号TA456）的战术、技术和程序存在重叠。“值得注意的是，该组织过去就曾利用恶意Excel文档，通过‘AppDomain管理器注入’技术投递.NET恶意软件，且同样劫持了AppVStreamingUX.exe这一合法Windows程序。” 此外，研究人员还从RedKitten攻击基础设施中发现多项线索，表明威胁行为者与已知伊朗关联威胁组织存在关联，且使用波斯语。例如，自 2022 年起，多个伊朗威胁集群的攻击活动中，就曾出现以 GitHub 作为死信解析器（DDR）、以 Telegram 作为命令与控制（C2）信道的手法。研究人员甚至提及，攻击者在载荷中“戏谑地”使用了小猫图像，这或许是在调侃安全行业常用“Kitten”（小猫）来命名伊朗关联黑客组织的惯例。 研究人员总结道：“由于伊朗关联威胁行为者之间存在大量手法重合，且大语言模型在攻击活动中的应用日益广泛，对其进行精准区分的难度正不断提升。赤砂风暴（Crimson Sandstorm）等组织及伊朗整体高级持续性威胁（APT）生态中，均已出现此类趋势。” 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯移动安全公司Dr. Web最新报告披露，新型安卓间谍软件“Android.Backdoor.916.origin”伪装成俄罗斯联邦安全局（FSB）开发的杀毒工具，针对本国企业高管发起定向攻击。该恶意软件具备窃听对话、调用摄像头实时监控、记录键盘输入及窃取通讯应用数据等多项监控功能。 自2025年1月首次发现以来，该恶意软件已迭代多个版本，表明其处于持续开发中。研究人员根据分发诱饵、感染方式及仅提供俄语界面的特性，判定其专为针对俄罗斯企业设计。 攻击者采用两种主要伪装策略：一款名为“GuardCB”的应用冒充俄罗斯中央银行，另两款变体“SECURITY_FSB”和“ФСБ”（FSB）则仿冒俄罗斯情报机构的官方软件。Dr. Web强调：“其界面仅支持俄语，表明该程序完全针对俄罗斯用户。文件名中出现的‘SECURITY_FSB’等标识进一步证实，网络犯罪分子试图将其伪装成与俄执法机构相关的安全程序”。 尽管该程序缺乏实际安全功能，但通过模拟杀毒软件界面阻止用户卸载。用户点击“扫描”后，界面会以30%的概率随机生成1至3个虚假威胁报告以博取信任。 安装后，恶意软件会索要多项高危权限： 地理位置访问 短信及媒体文件读取 摄像头与录音调用 无障碍服务控制 后台持续运行权限 随后启动多项服务连接命令控制（C2）服务器，接收包括以下指令： 窃取短信、联系人、通话记录、地理位置及存储图像 激活麦克风窃听、摄像头监控及屏幕流捕捉 捕获通讯应用与浏览器内容（Telegram、WhatsApp、Gmail、Chrome及Yandex应用） 执行远程命令、维持持久化访问并启用自我保护机制 Dr. Web发现该恶意软件可切换多达15个托管服务提供商，虽当前未激活此功能，但表明其具备高弹性设计。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，黑客一直在发送伪装成乌克兰法院传票的虚假邮件，以此针对乌克兰政府、军事及国防部门实施新的网络间谍活动。 乌克兰计算机应急响应小组（CERT-UA）追踪到此次攻击活动由黑客组织UAC-0099发起。乌克兰网络安全部门此前表示，该组织至少自2022年起就在该国活跃，并已非法远程入侵数十台本地计算机。 在最新行动中，黑客发送了伪装成法院传票的网络钓鱼邮件。这些邮件包含指向合法文件共享平台的链接，这些平台提供捆绑了恶意软件的压缩文件。 攻击中使用的主要恶意软件Matchboil能收集系统数据并部署其他恶意工具——包括允许远程命令执行的后门程序Matchwok，以及窃取浏览器密码、Cookies和桌面文件等数据的窃取程序Dragstare。 CERT-UA未透露受影响的系统数量及泄露的数据量。虽然该机构尚未将攻击归因于特定国家，但其战术和攻击模式与此前俄罗斯黑客的行动相似。 乌克兰网络安全机构此前曾将UAC-0099与2024年末的一系列攻击相关联，当时该组织针对林业部门、法医机构和工业设施发动攻击。当时该组织使用名为Lonepage的不同恶意软件，而在近期行动中似乎已替换为Matchboil。 “战术、技术和工具的转变表明这一网络威胁具有持续演变的特性。”研究人员指出。 在俄乌冲突背景下，CERT-UA的报告通常仅提供有限技术细节，但为持续的网络行动提供了罕见洞察。该机构早前曾警告，黑客通过冒充乌克兰无人机制造商和国家机构，在军事及政府系统中植入窃取数据的恶意软件。另一起在6月监测到的攻击活动则涉及通过加密通讯应用Signal分发与俄罗斯军事情报机构关联的恶意软件。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，间谍软件制造商Candiru据信利用新基础设施，通过Windows恶意软件攻击计算机。 Recorded Future公司Insikt研究小组周一发布的研究报告揭示了与该间谍软件（“DevilsTongue”）相关的八个不同的操作集群。报告称，其中五个集群高度活跃，包括与匈牙利和沙特阿拉伯相关的集群。 报告指出，“此基础设施既包括可能用于部署和控制Candiru‘DevilsTongue’间谍软件的面向受害者组件，也包括间谍软件操作者使用的高层基础设施。”研究人员表示，“虽然有些集群直接管理其面向受害者的基础设施，但其他集群通过中间基础设施层或Tor网络（允许使用暗网）进行管理。” 除与匈牙利和沙特阿拉伯相关的活跃集群外，研究人员还发现另一个与印度尼西亚相关的集群，其活跃状态似乎持续至2024年11月。报告称，研究人员无法确定与阿塞拜疆相关的另外两个集群是否仍处于活跃状态。 “DevilsTongue”是微软为该Windows间谍软件命名的。研究报告作者、Recorded Future高级威胁研究员朱利安-费迪南德·沃格勒（Julian-Ferdinand Vögele）表示，关于其全部部署方法的公开报道有限。不过，沃格勒称，泄露的材料显示它“理论上”可以通过恶意链接、武器化文件、中间人攻击以及对Windows设备的物理访问进行传播。 沃格勒表示，“DevilsTongue”既通过攻击者控制的URL（例如在鱼叉式网络钓鱼邮件中发现的链接）部署，也通过名为“水坑攻击”的战略性网站入侵（通常利用网络浏览器中的漏洞）进行部署。 Insikt研究小组还在Candiru的公司网络内发现了一个新实体，该实体似乎是在Candiru资产被美国投资公司“诚信伙伴基金”（Integrity Partners）收购时成立的。报告将该新实体确定为“一家名为Integrity Labs Ltd的以色列私营公司”。研究人员认为，时间点表明这家独立公司可能参与了收购过程。 科技新闻媒体CTech于今年4月报道称，诚信伙伴基金以3000万美元收购了Candiru的资产。CTech报道称，诚信伙伴基金随后将Candiru的资产和员工转移至一个新实体，从而规避了美国政府的制裁。 诚信伙伴基金在其网站上未列出媒体联系人信息或任何电子邮件地址。该公司的一位合伙人未立即回复通过LinkedIn发送的消息。 美国商务部于2021年将Candiru列入其实体清单。被列入该清单意味着该公司被认为构成国家安全风险，并对其出口和其他交易施加重大限制。 根据公民实验室（Citizen Lab）2022年的一份报告揭示西班牙政府实施的大规模监控行动，西班牙加泰罗尼亚独立运动成员曾成为Candiru间谍软件的目标。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软研究人员发现与俄罗斯有关联的APT组织Secret Blizzard（又名Turla、Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON）针对驻莫斯科外国大使馆发起网络间谍活动。该组织在互联网服务提供商（ISP）层面使用中间人攻击（AiTM）方法部署名为ApolloShadow的自定义恶意软件。该恶意软件可安装伪造的卡巴斯基反病毒软件受信任根证书，诱骗设备信任恶意网站，从而为网络间谍活动提供长期访问权限。此活动至少自2024年起活跃，对依赖当地互联网服务的外交使团和敏感组织构成严重威胁。 微软报告指出：“这是我们首次证实其具备在ISP层面实施攻击的能力。这意味着在俄罗斯使用本地ISP或电信服务的外交人员极可能成为Secret Blizzard通过此类服务进行中间人攻击的目标。”微软于2025年2月发现该活动，受害者被诱导通过仿冒Windows连接检查的虚假门户网站下载ApolloShadow恶意软件。一旦安装，恶意软件会诱使用户授予提升权限，从而安装根证书、监控流量并窃取凭证。此举使Secret Blizzard得以剥离安全连接并维持长期访问，实现对外交目标的监控。 报告进一步说明：“当系统通过浏览器访问特定地址时，会被重定向至攻击者控制的域名，该域名会显示证书验证错误，提示目标下载并执行ApolloShadow。执行后，恶意软件检测进程令牌权限级别：若设备未启用默认管理设置，则弹出用户账户控制（UAC）窗口，诱使用户以卡巴斯基安装程序伪装的CertificateDB.exe安装证书，使攻击者获得系统提升权限。” 恶意软件行为分析 ApolloShadow根据权限级别调整执行方式： 低权限模式：收集主机IP数据并编码，通过伪造的Digicert域名发送至命令控制服务器，攻击者返回经混淆的VBScript脚本以推送次级有效载荷。 高权限模式：实施系统级更改——将网络设为私有模式以削弱防火墙防护、启用文件共享、安装恶意根证书（伪装为卡巴斯基安装程序）、添加使用硬编码永不过期密码的隐藏管理员账户，从而维持对设备的长期控制。 微软已发布此次攻击活动的入侵指标（IoCs）。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯航空航天及国防工业正成为一场网络间谍活动的目标，该活动通过名为“EAGLET”的后门程序窃取数据。 这项代号为“货物利爪行动”（Operation CargoTalon）的活动被归因于一个追踪编号为UNG0901（Unknown Group 901的缩写）的威胁组织。 Seqrite实验室研究员苏布哈吉特·辛哈在本周发布的分析报告中表示：“该行动旨在针对俄罗斯主要飞机制造实体之一——沃罗涅日飞机制造厂（VASO）的员工，利用对俄罗斯物流运营至关重要的文件——货物运输单（TTN）实施攻击。” 攻击始于携带货运主题诱饵的鱼叉式钓鱼邮件。邮件包含一个ZIP压缩包，其中是一个Windows快捷方式（LNK）文件。该文件利用PowerShell显示一个诱饵性的Microsoft Excel文档，同时在主机上部署EAGLET的DLL植入程序。 诱饵文档引用了奥布转运码头（Obltransterminal），这是一家俄罗斯铁路集装箱码头运营商，已于2024年2月遭到美国财政部海外资产控制办公室（OFAC）的制裁。 EAGLET被设计用于收集系统信息，并连接到硬编码的远程服务器“185.225.17[.]104”，以处理服务器的HTTP响应，提取需在受感染的Windows机器上执行的命令。 该植入程序支持Shell访问以及文件上传/下载功能。不过，由于命令控制（C2）服务器目前处于离线状态，通过此方法传递的下一阶段攻击载荷的确切性质尚不清楚。 Seqrite表示，他们还发现了该组织使用相同后门程序EAGLET针对俄罗斯军事领域的类似活动，其源代码和攻击目标与另一个以俄罗斯实体为目标的威胁组织“头号种马”（Head Mare）存在重叠。 这包括EAGLET与基于Go语言的“幻影之门”（PhantomDL）后门在功能上的相似性（两者均具备Shell和文件下载/上传功能），以及钓鱼邮件附件命名规则的相似性。 与此同时，具有俄罗斯国家背景的黑客组织UAC-0184（又名Hive0156）被指认为本月针对乌克兰受害者发起新一波攻击的源头，攻击中使用了Remcos远程访问木马（RAT）。 虽然该威胁行为者自2024年初以来就有传播Remcos木马的历史，但新近发现的攻击链已经简化：通过武器化的LNK文件或PowerShell脚本加载诱饵文件及Hijack Loader（又名IDAT Loader）载荷，最终释放Remcos木马。 IBM X-Force团队指出：“Hive0156投放武器化的微软LNK和PowerShell文件，可触发Remcos木马的下载执行”，并补充说明“关键诱饵文件主题显示其攻击焦点已从乌克兰军方扩展到更广泛目标。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款新的安卓间谍软件痕迹，该软件很可能与伊朗情报与安全部（MOIS）有关联，并伪装成VPN应用和SpaceX提供的卫星互联网服务Starlink（星链）向目标分发。 移动安全供应商Lookout表示，在上个月以色列-伊朗冲突爆发后一周，他们发现了四个被其追踪为DCHSpy的间谍工具的样本。具体有多少人可能安装了这些应用尚不清楚。 安全研究人员Alemdar Islamoglu和Justin Albrecht表示：“DCHSpy收集WhatsApp数据、账户、联系人、短信、文件、位置和通话记录，并能录音和拍照。” DCHSpy最早于2024年7月被发现，被评估为与MOIS有关的伊朗国家背景黑客组织MuddyWater所为。该黑客团伙还被称为Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（原Mercury）、Seedworm、Static Kitten、TA450和Yellow Nix。 早期的DCHSpy版本已被发现通过Telegram渠道，利用反对伊朗政权主题的内容，针对英语和波斯语用户。鉴于使用VPN作为诱饵来宣传该恶意软件，异议人士、活动人士和记者很可能是该活动的目标。 据推测，新发现的DCHSpy变种正在针对该地区最近冲突中的对手进行部署，手段是将其伪装成看似有用的服务，如Earth VPN（“com.earth.earth_vpn”）、Comodo VPN（“com.comodoapp.comodovpn”）和Hide VPN（“com.hv.hide_vpn”）。 有趣的是，一个Earth VPN应用样本被发现以“starlink_vpn(1.3.0)-3012 (1).apk”名称的APK文件形式分发，这表明该恶意软件很可能利用与星链相关的诱饵传播给目标。 值得注意的是，星链的卫星互联网服务于上月在伊朗政府实施网络封锁期间被激活。但几周后，该国议会投票决定将其未经授权的使用定为非法。 作为一个模块化木马，DCHSpy配备了多种数据收集功能，包括设备登录账户、联系人、短信消息、通话记录、文件、位置、环境录音、照片和WhatsApp信息。 DCHSpy还与其他名为SandStrike的安卓恶意软件共享基础设施。卡巴斯基于2022年11月标记出SandStrike，该恶意软件伪装成看似无害的VPN应用针对波斯语个体。 DCHSpy的发现是安卓间谍软件被用于针对中东地区个人和实体的最新案例。其他有记录的恶意软件家族包括AridSpy、BouldSpy、GuardZoo、RatMilad和SpyNote。 Lookout表示：“DCHSpy使用与SandStrike相似的战术和基础设施。它通过Telegram等即时通讯应用直接共享恶意链接，分发给目标群体和个人。” “这些最新的DCHSpy样本表明，随着中东局势的演变，尤其是伊朗在达成与以色列的停火后加强对本国公民的管控，该间谍工具在持续开发和利用。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”正长期针对伊拉克政府及库尔德地区政府（KRG）实施网络间谍活动。 ESET研究证实，该组织自2017年首次入侵库尔德政府系统以来，持续升级其攻击工具库，展现出显著的技术演进。最新攻击活动中，攻击者部署了专为隐蔽驻留设计的恶意软件套件，其中包含通过受损微软Exchange邮箱账户收发指令的“Whisper”后门——该后门将操作命令隐藏于邮件附件，规避传统安全检测机制。同时发现的恶意IIS模块“PrimeCache”以前所未有的被动潜伏模式运行：监控所有传入HTTP请求，仅在检测到预设Cookie结构时激活攻击功能，其余时间完全隐匿于正常服务器进程。 攻击工具链还包括两款反向隧道工具Laret与Pinar，以及多阶段渗透工具集。 该套件使攻击者具备四项核心能力： ① 长期维持高价值目标系统访问权限 ② 通过加密通信躲避安全监测 ③ 利用合法Webmail账户远程执行指令 ④ 将恶意活动嵌入可信服务器进程实现深度隐匿 技术溯源显示，BladedFeline与伊朗国家级黑客组织OilRig存在强关联性：恶意软件功能设计与OilRig标志性后门RDAT高度相似，攻击基础设施存在重叠，战术目标均聚焦中东地缘政治情报收集。据此评估，BladedFeline极可能为OilRig组织的战术子单元。 该组织活动呈现持续进化态势： ① 时间跨度：最早攻击痕迹可追溯至2017年对库尔德外交系统的渗透 ② 目标扩展：从库尔德政府延伸至伊拉克中央机构及乌兹别克斯坦电信服务商 ③ 技术迭代：从基础后门发展为模块化、高隐蔽性攻击框架 ④ 最新动态：2024年初仍检测到新版恶意工具活跃 ESET警告称：“从简单后门到模块化潜伏工具的技术转型，印证该组织意图长期掌控政治敏感领域访问权限。我们预判BladedFeline将持续开发新型植入程序，以维持并扩大其网络间谍行动范围。”这进一步揭示伊朗背景攻击者正通过技术升级，在区域情报收集中构建更隐蔽的作战能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款伪装成家长监控软件的安卓间谍软件Catwatchful存在漏洞，导致超过6.2万用户账户凭证泄露。安全研究员Eric Daigle透露，这款号称具备”实时监控”功能的应用实际上是一款功能强大的间谍软件（也称跟踪软件），它能在后台持续运行并隐藏自身图标，防止受害者卸载。 开发者虽然在宣传中将其包装为”安卓家长控制应用”，却毫不掩饰其隐蔽特性：”您可以在对方不知情的情况下监控手机——软件在手机上是完全隐形且不可检测的，它会在隐藏和静默模式下运行。”Daigle证实，Catwatchful确实如宣传所言：潜伏在受害者设备中，将数据上传至Firebase数据库，注册用户可通过网页控制面板访问这些内容。 用户注册后会获得一个预配置好凭证的APK文件，需要物理接触目标设备才能完成安装。一旦运行，间谍软件就会启动实时监控功能。在研究其内部机制时，Daigle发现该软件存在SQL注入漏洞，攻击者可通过用户控制面板提取存储个人信息的Firebase数据库。 据Daigle分析，泄露的数据库包含全部62,050个Catwatchful账户的明文登录凭证，以及关联设备信息和管理数据。研究员指出，这些信息足以接管服务中的任何账户。TechCrunch进一步报道称，这次泄露还曝光了乌拉圭开发者Omar Soca Charcov——该间谍软件运营的管理员身份，包括其电话号码、电子邮箱和Firebase数据库地址。 作为应对措施，谷歌已为Play Protect新增防护功能，当检测到设备存在Catwatchful时会向用户发出警报。托管Catwatchful API的网络公司已暂停违规账户，但该API已迁移至其他服务商。Firebase数据库目前尚未被移除，谷歌仍在调查其是否违反相关政策。 虽然Catwatchful号称”不可检测”，但安卓用户可通过拨打”543210″并按下通话键来检查设备是否被安装——这是软件内置的后门功能，会强制间谍软件显示自身图标以便卸载。     消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文