HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）周五表示，与俄罗斯情报机构有关联的威胁行为者正在开展网络钓鱼活动，试图入侵 WhatsApp 和 Signal 等商业消息应用程序（CMA），以控制具有高情报价值人员的账户。 FBI 局长卡什・帕特尔在 X 平台（原推特）上发文称：“此次活动的目标是具有高情报价值的人员，包括现任和前任美国政府官员、军事人员、政治人物和记者。在全球范围内，这一行动已导致数千个个人账户遭到未经授权的访问。攻击者获得访问权限后，能够查看消息和联系人列表，以受害者的身份发送消息，并利用受信任身份开展更多网络钓鱼活动。” CISA 和 FBI 称，这一活动已致使数千个个人 CMA 账户遭到入侵。值得注意的是，这些攻击旨在侵入目标账户，并非利用安全漏洞或弱点来破解平台的加密保护。 虽然这些机构并未将该活动归咎于某个特定的威胁行为者，但微软和谷歌威胁情报小组此前的报告已将此类活动与多个与俄罗斯有关的威胁组织联系起来，这些组织包括 “星暴”（Star Blizzard）、UNC5792（又名 UAC – 0195）以及 UNC4221（又名 UAC – 0185）。 法国国家网络安全局（ANSSI）下属的网络危机协调中心（C4）也曾发布类似警报，警告针对政府官员、记者和企业领导人即时通讯账户的攻击活动激增。 C4 表示：“这些攻击一旦成功，恶意行为者就能访问聊天记录，甚至控制受害者的消息账户，并以受害者的身份发送消息。” 此次活动的最终目的是让威胁行为者未经授权访问受害者账户，从而查看消息和联系人列表，代受害者发送消息，甚至通过滥用信任关系对其他目标进行二次网络钓鱼。 正如德国和荷兰的网络安全机构近期所警告的，此次攻击中，攻击者冒充 “Signal 支持” 人员接近目标，敦促他们点击链接（或扫描二维码），或提供 PIN 码或验证码。无论哪种方式，这种社会工程手段都能让威胁行为者获取受害者的 CMA 账户访问权。 不过，根据受害者所采用的不同方式，此次活动会产生两种不同结果： 如果受害者选择向威胁行为者提供 PIN 码或验证码，他们将失去账户访问权，因为攻击者已用其在自己端恢复账户。虽然威胁行为者无法访问过往消息，但这种方法可用于监控新消息，并冒充受害者向他人发送消息。 如果受害者最终点击链接或扫描二维码，受威胁行为者控制的设备就会与受害者账户关联，使其能够访问所有消息，包括过去发送的消息。在这种情况下，除非受害者在应用设置中被明确移除，否则他们仍可继续访问 CMA 账户。 为更好地防范此类威胁，建议用户切勿与任何人分享短信验证码或验证 PIN 码，收到来自未知联系人的意外消息时要谨慎，点击链接前先检查，定期查看已关联设备，并移除可疑设备。 Signal 本月早些时候在 X 平台上发文称：“这些攻击和所有网络钓鱼一样，依赖社会工程手段。攻击者冒充可信联系人或服务（比如虚构的‘Signal 支持机器人’），诱骗受害者交出登录凭证或其他信息。” “为防止此类情况发生，请记住，只有在首次注册 Signal 应用程序时才需要短信验证码。我们还要强调，Signal 支持人员绝不会通过应用内消息、短信或社交媒体主动联系您，索要验证码或 PIN 码。如果有人索要与 Signal 相关的任何代码，那就是诈骗。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，俄罗斯彼尔姆市的停车支付系统遭网络攻击，导致服务中断，停车免费数天。目前该系统已恢复正常。 周一，该市当局证实停车支付系统现已全面恢复运行，所有支付方式均可正常使用。 据当地官员称，此次系统瘫痪是由大规模分布式拒绝服务（DDoS）攻击造成的，该攻击使该市的自动停车支付基础设施不堪重负。 近年来，这至少是俄罗斯城市停车系统遭遇的第三起此类事件。去年 1 月，克拉斯诺达尔的一家电信运营商遭到 DDoS 攻击，导致相关服务中断，司机无法支付停车费用。 2024 年 10 月，特维尔市的停车支付也因一场针对当地市政府网络的破坏性网络攻击而受到影响。 后来，乌克兰网络联盟（Ukrainian Cyber Alliance）宣称对特维尔市的攻击负责。这是一个亲乌克兰的黑客激进组织，自俄罗斯入侵乌克兰以来，一直对俄罗斯政府和企业系统发动攻击。 上周彼尔姆市的这起事件迫使当局暂停全市停车收费，司机无法通过官方应用程序和网站付费。 官员表示，在 3 月 10 日至 13 日系统瘫痪期间，未支付停车费的司机不会面临处罚。彼尔姆市的付费停车区通常在周末免费。 乌克兰网络联盟在 2024 年对特维尔市的攻击中称，他们已删除了该市行政部门的 “数十台虚拟机、备份存储、网站、电子邮件以及数百台工作站”。 目前尚不清楚彼尔姆市的这起事件是否与之前的攻击有关，也没有黑客组织宣称对此负责。 此次攻击是一系列影响俄罗斯服务的网络事件中的最新一起。今年 1 月初，俄罗斯弗拉基米尔地区一家主要面包生产商遭网络攻击，导致食品配送中断。 同月，一家为家庭、企业和车辆提供报警及安全系统的俄罗斯供应商遭受攻击，引发大范围服务中断，客户投诉不断。另有一起事件还影响了俄罗斯航空公司和机场使用的预订及登机系统。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，一个相对较新的疑似与俄罗斯有关的黑客组织发起了一场网络间谍活动，他们将间谍软件伪装在有关星链卫星互联网终端和一家知名乌克兰慈善机构的文件中，目标直指乌克兰的各类组织。 据网络安全公司 Lab52 的一份报告显示，这场在 2 月被监测到的活动，部署了一款名为 DrillApp 的后门程序。借助该程序，攻击者能够从受感染的计算机上传和下载文件，通过麦克风录制音频，并利用网络摄像头抓拍图像。 研究人员将这场活动归咎于疑似与俄罗斯有关的黑客组织 “洗衣熊”（Laundry Bear），该组织也被追踪代号为 “虚空暴雪”（Void Blizzard）。至少从 2024 年起，该组织就十分活跃，此前曾将北约成员国和乌克兰机构列为攻击目标。 乌克兰计算机应急响应小组 CERT-UA 今年早些时候曾报告过该组织针对乌克兰武装部队的另一项行动。研究人员表示，这些行动都采用了类似的手段，包括以慈善为主题的诱饵，以及在公共文本分享服务平台上托管恶意组件。 在最近的这次行动中，攻击者使用了冒充乌克兰支持武装部队的慈善组织 “重生”（Come Back Alive）的请求文件，以及与星链卫星互联网终端验证相关的图片。2 月初，在乌克兰当局确认俄罗斯军队已开始在攻击无人机上安装星链技术后，乌克兰推出了针对星链终端的验证系统。 一旦恶意文件被打开，它就会通过微软 Edge 浏览器执行，使攻击者能够访问受害者的文件系统，并从麦克风获取音频、从摄像头获取视频以及录制设备屏幕画面。 研究人员称，攻击者可能选择通过网络浏览器来传播恶意软件，因为浏览器通常能够合法访问摄像头、麦克风和屏幕录制等敏感设备功能，这使得恶意活动更难被察觉。而且安全工具也很少将浏览器标记为可疑对象。 Lab52 表示，该间谍软件似乎仍处于早期开发阶段，这表明攻击者可能正在尝试新的方法来规避防御措施。研究人员识别出此次活动中使用的恶意软件有两个版本，主要区别在于诱骗受害者的诱饵不同。 “洗衣熊” 此前被描述为使用 “相对简单但难以察觉的技术”。该组织主要专注于网络间谍活动。微软此前曾报告称，该组织已成功渗透乌克兰多个行业的机构，包括教育、交通和国防领域。 安全研究人员还注意到，“洗衣熊” 的策略与俄罗斯军事情报威胁组织 APT28（也被称为 “奇幻熊”，Fancy Bear）的策略存在重叠之处，不过分析人士通常认为它们是不同的组织。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国联邦情报局（BND）前副局长阿恩特・弗赖塔格・冯・洛林霍芬（Arndt Freytag von Loringhoven）成为 Signal 网络攻击的目标，这是一系列针对德国官员和政客的攻击浪潮的一部分。 一场针对 Signal 和 WhatsApp 用户的网络攻击，波及了德国高级官员，其中包括前 BND 副局长阿恩特・弗赖塔格・冯・洛林霍芬。这位官员报告称，有人冒充 Signal 客服联系他，并索要他的个人识别码（PIN）。这一事件凸显了一场针对安全机构和政治要职敏感人员的广泛网络间谍活动。 《明镜》周刊（SPIEGEL）发布的报道称：“他绝非全球针对 Signal 和 WhatsApp 用户账号攻击浪潮中唯一的知名受害者。据《明镜》周刊了解，德国高级政客已向当局报案称自己是受害者，安全机构的在职官员也遭到了攻击。” 早在 2 月，德国联邦宪法保卫局（BfV）和联邦信息安全办公室（BSI）就将此次攻击归类为 “与安全相关”，并敦促受影响人员站出来。BfV 表示，这一警告得到了 “高度响应”，且他们认为这避免了更严重的损害。 德国当局警告 Signal 用户检查可疑迹象，比如在 “已配对设备” 下列出的未知设备，或者意外收到的重新注册账号提示。 以前 BND 官员阿恩特・弗赖塔格・冯・洛林霍芬的情况为例，攻击者利用他被盗取的账号向其联系人发送恶意链接。他迅速警告联系人不要打开链接，并删除了自己的账号。调查人员认为，这起事件是与俄罗斯有关的持续混合攻击行动的一部分。鉴于洛林霍芬曾研究俄罗斯混合战争，还著有《普京对德国的攻击》一书，他很可能被视为高价值目标。 Signal 方面表示，近期的这些事件是有针对性的网络钓鱼攻击，攻击者借此劫持官员和记者的账号。该公司强调其加密技术和基础设施并未受损，仍然安全。Signal 在 X 平台（原推特）上发文称：“我们知晓近期有关针对性网络钓鱼攻击导致部分 Signal 用户（包括政府官员和记者）账号被劫持的报道。我们对此高度重视。需要明确的是：Signal 的加密技术和基础设施并未受损，依然稳固。” Signal 警告称，此类攻击依赖社会工程学手段，攻击者冒充可信联系人或假冒客服，诱骗用户分享验证码或 PIN 码。该公司强调绝不会通过消息或社交媒体索要这些信息，并敦促用户保持警惕，切勿分享登录验证码。 3 月初，荷兰情报机构（军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD）发出警告，称存在一场由与俄罗斯有关的威胁行为者发起的全球行动，目标是入侵 Signal 和 WhatsApp 账号。此次行动的目标包括政府官员、公务员和军事人员，凸显了国家安全相关人员敏感通信面临的日益增长的网络风险。 荷兰情报机构发布的警报称：“俄罗斯国家黑客正在开展一场大规模全球网络行动，试图获取政要、军事人员和公务员的 Signal 和 WhatsApp 账号。荷兰军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD 可以证实，此次行动的目标和受害者包括荷兰政府雇员。荷兰情报机构还认为，俄罗斯政府感兴趣的其他人员，如记者，也可能成为此次行动的目标。” 俄罗斯网络间谍通过诱骗用户透露验证码，从而劫持 Signal 和 WhatsApp 账号。他们冒充 Signal 客服，或利用 “关联设备” 功能，获取消息和聊天群组的访问权限，这可能导致政府和军事目标的敏感信息泄露。 荷兰情报机构警告称，俄罗斯之所以瞄准 Signal，是因其强大的端到端加密功能，俄罗斯企图借此获取敏感的政府通信内容。官员们强调，Signal 和 WhatsApp 等应用不应被用于传输机密或保密信息。 政府专家指出，攻击者并非利用应用程序漏洞，而是滥用 Signal 和 WhatsApp 的合法功能。官员们表示，只有个别账号成为攻击目标，而非平台本身。 荷兰情报机构建议 Signal 用户仔细监控群组聊天，留意账号被入侵的迹象。如果同一联系人以相同或稍有改动的名字出现两次，这可能表明账号已遭入侵，或者是受害者新创建的账号。用户应向所在组织的信息安全团队报告可疑情况，并通过电子邮件或电话等其他渠道核实账号。群组管理员应移除任何未经授权的账号，之后合法成员可重新加入。受攻击者控制的账号可能会更改显示名称，例如改为 “已删除账号”，或者通过共享群组链接加入，从而触发通知。用户应警惕不熟悉的成员和异常的账号行为。如果怀疑群组管理员账号已遭入侵，建议离开该聊天群组并创建新群组，以确保群组内通信的安全性和完整性。 2025 年 2 月，谷歌威胁情报小组（GTIG）的研究人员发出警告，称多个与俄罗斯有关的威胁行为者正瞄准俄罗斯情报部门感兴趣人员使用的 Signal Messenger 账号。专家推测，针对 Signal 所采用的策略、技术和流程在短期内仍会普遍存在，且可能会在乌克兰以外的地区实施。 俄罗斯黑客利用 Signal 的 “关联设备” 功能，通过特制的二维码将受害者账号关联到攻击者控制的设备上，进而进行监视。 GTIG 发布的报告称：“俄罗斯方面试图入侵 Signal 账号时，最新颖且广泛使用的技术是滥用该应用程序合法的 ‘关联设备’ 功能，该功能允许 Signal 在多个设备上同时使用。由于添加关联设备通常需要扫描二维码，威胁行为者便制作恶意二维码，受害者扫描后，其账号就会与攻击者控制的 Signal 实例关联。如果成功，后续消息将实时同步发送给受害者和威胁行为者，这为攻击者提供了一种持续监听受害者安全对话的方式，而无需完全入侵设备。” 研究人员还报告称，与俄罗斯和白俄罗斯有关的威胁行为者能够使用脚本、恶意软件和命令行工具，从安卓和 Windows 设备上窃取 Signal 数据库文件，以实现数据渗出。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被追踪为 APT28 的俄罗斯国家背景黑客组织被观察到使用两款名为 BEARDSHELL 和 COVENANT 的植入程序，对乌克兰军方人员实施长期监视。 ESET 在一份分享给《黑客新闻》的最新报告中称，这两个恶意软件家族自 2024 年 4 月起投入使用。 APT28 也以 Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard（前身为 Strontium）、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy 和 TA422 等代号被追踪，是隶属于俄罗斯联邦军事情报总局（GRU）第 26165 部队的国家级行为体。 该威胁行为者的恶意软件武器库包含 BEARDSHELL 和 COVENANT 等工具，以及另一款代号为 SLIMAGENT 的程序，该程序能够记录键盘输入、捕获屏幕截图并收集剪贴板数据。SLIMAGENT 最早由乌克兰计算机应急响应小组（CERT-UA）于 2025 年 6 月公开披露。 据这家斯洛伐克网络安全公司称，SLIMAGENT 起源于 XAgent—— 这是 APT28 在 2010 年代使用的另一款用于远程控制和数据窃取的植入程序。这一结论基于 SLIMAGENT 与早在 2018 年就被部署在针对两个欧洲国家政府机构攻击中的此前未知样本之间发现的代码相似性。 评估认为，2018 年的样本与 2024 年的 SLIMAGENT 样本均源自 XAgent，ESET 的分析还发现 SLIMAGENT 与 2014 年底在野外检测到的 XAgent 样本在键盘记录功能上存在重叠。 “SLIMAGENT 以 HTML 格式输出间谍日志，其中应用程序名称、记录的按键和窗口名称分别以蓝色、红色和绿色显示。”ESET 表示，“XAgent 键盘记录器也使用相同的配色方案生成 HTML 日志。” 与 SLIMAGENT 一同部署的还有另一款被称为 BEARDSHELL 的后门程序，它能够在受攻陷主机上执行 PowerShell 命令。该程序使用合法的云存储服务 Icedrive 作为命令与控制（C2）服务器。 图片SLIMAGENT（左）与 XAgent（右）代码对比 该恶意软件的一个值得注意的特点是，它使用一种独特的混淆技术，称为不透明谓词（opaque predicate），这种技术同样出现在 XTunnel（又名 X-Tunnel）中 —— 这是 APT28 在 2016 年美国民主党全国委员会（DNC）黑客攻击中使用的一款网络穿透与横向移动工具。该工具为外部 C2 服务器提供安全隧道。 “这种罕见混淆技术的共用，再加上它与 SLIMAGENT 共同部署，使我们高度确信 BEARDSHELL 属于 Sednit 定制武器库的一部分。”ESET 补充道。 该威胁行为者工具套件中的第三款主要组件是 COVENANT，这是一个开源的 .NET 后渗透利用框架，已被深度修改以支持长期间谍活动，并自 2025 年 7 月起实现一种新的基于云的网络协议，滥用 Filen 云存储服务进行 C2 通信。此前，APT28 的 COVENANT 变体曾使用 pCloud（2023 年）和 Koofr（2024-2025 年）。 “这些调整表明 Sednit 开发者对 Covenant 掌握了深厚的专业知识 —— 这款植入程序的官方开发已于 2021 年 4 月停止，可能被防御方认为已不再使用。”ESET 表示，“这一出人意料的行动选择似乎取得了成效：Sednit 已成功依赖 Covenant 数年之久，尤其是针对乌克兰的特定目标。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰情报机构周一发出警告称，俄罗斯国家背景黑客正在开展全球性攻击活动，试图攻破政府官员与军事人员的 Signal 和 WhatsApp 账号。 在一份公开的网络安全通告中，荷兰军事情报局（MIVD）与国内安全局（AIVD）表示，此次行动针对政要、公职人员及武装部队成员。 两家机构称，荷兰政府雇员的账号已成为被攻破的目标之一。他们警告称，该攻击活动还可能针对记者及其他俄罗斯政府感兴趣的人员。 此次警告发布前，西方情报机构已揭露多起针对北约各国政府、研究人员与国防承包商的俄罗斯间谍活动。 相关机构强调，这些攻击针对的是个人账号，并不意味着即时通讯平台本身遭到入侵。 Signal 与 WhatsApp 均使用 Signal 协议，这是一种端到端加密系统，被广泛认为是目前保护传输中消息内容最强的加密方式。但如果攻击者获取了用户设备或账号的访问权限，消息仍可被读取。 “并非 Signal 或 WhatsApp 整体遭到入侵，”AIVD 局长西蒙妮・斯密特（Simone Smit）在一份声明中表示，“被攻击的是个人用户账号。” 通告并未估计受害者数量，也未将此次活动归因于某个具体的俄罗斯情报机构或已知黑客组织。相关机构表示，此次行动并未利用技术漏洞，而是滥用应用中合法的安全功能，并依赖社会工程学实施攻击。 攻击者通常会伪装成客服账号，诱骗受害者提供登录通讯账号所需的验证码或 PIN 码。 黑客只需在正常注册流程中输入目标手机号，即可触发验证码发送。Signal 与 WhatsApp 会自动向注册时输入的任何号码发送验证码。 随后，攻击者伪装成客服人员，声称受害者必须提供验证码以保护或验证账号。一旦受害者提供验证码，攻击者即可在自己设备上输入并控制账号，从而读取消息、冒充受害者发送信息。 另一种攻击手段是诱骗用户扫描恶意二维码或点击链接，通过应用的 “关联设备” 功能将黑客设备与受害者账号绑定，使攻击者获取聊天记录与消息历史。 此次攻击活动延续了俄罗斯此前针对官员、记者及军事人员所用即时通讯平台的网络行动。 谷歌安全研究人员去年曾警告称，由于乌克兰军人、政客与记者广泛使用 Signal，该平台已成为俄罗斯间谍活动的频繁目标。 在其中一起案例中，俄罗斯军方黑客将从战场缴获设备上获取的 Signal 账号关联到自己系统，以进行进一步利用。 荷兰相关机构警告用户：切勿分享验证码，避免扫描陌生二维码，并无视声称来自 Signal 客服的消息。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员披露一起与俄罗斯关联的钓鱼攻击活动，使用两款全新恶意软件家族 BadPaw 和 MeowMeow 针对乌克兰组织。攻击链以携带 ZIP 压缩包链接的钓鱼邮件开始。打开后，一个 HTA 文件会显示一份乌克兰语的边境过境申请诱饵文档，同时在后台秘密启动感染链。 ClearSky 的报告写道：“攻击链始于一封包含 ZIP 压缩包链接的钓鱼邮件。解压后，初始 HTA 文件会显示一份用乌克兰语撰写的关于边境过境申请的诱饵文档，以欺骗受害者。与此同时，感染程序会下载基于.NET 的加载器 BadPaw。在建立 C2 通信后，该加载器会投放功能复杂的后门 MeowMeow。” 研究人员发现，这两款恶意软件均使用.NET Reactor 加壳工具增加分析与逆向难度，表明攻击者意图规避检测并实现长期驻留。 报告继续写道：“BadPaw 采用的另一层防护是使用.NET Reactor，这是一款用于.NET 程序集的商用保护与混淆工具。该加壳工具对底层代码进行混淆，阻碍静态分析与逆向工程。” 该恶意软件还包含多重防御机制。其组件仅在使用特定参数启动时才会激活，否则显示正常界面并执行无害代码。 MeowMeow 后门增加环境检测，扫描系统是否为虚拟机，以及是否存在 Wireshark、ProcMon、Fiddler 等分析工具。若检测到沙箱或研究环境，会立即停止运行以避免被分析。 ClearSky 研究人员高置信度将此次活动归为与俄罗斯相关的网络间谍组织，较低置信度归为 APT28。评估依据三点：针对乌克兰机构、代码中存在俄语痕迹、战术与俄罗斯过往网络行动一致（包括多阶段感染链、.NET 加载器）。 与此同时，攻击链会投放名为 BadPaw 的.NET 加载器，该加载器与远程服务器建立通信，获取并投放高级后门 MeowMeow。 该活动中置信度归为俄罗斯国家级威胁组织 APT28，依据是目标范围、诱饵的地缘政治属性，以及与俄罗斯过往网络行动的技术重合点。 ClearSky 的研究详细描述了多阶段感染链，该感染链始于通过乌克兰服务商 ukr [.] net 发送的钓鱼邮件，该服务商曾在俄罗斯的攻击活动中被滥用。邮件包含一个链接，首先加载追踪像素，受害者点击时通知攻击者，随后跳转到短链接，下载 ZIP 压缩包。 压缩包内是伪装成 HTML 文档的 HTA 文件。执行时会打开关于乌克兰边境过境申请的诱饵文档，同时静默启动恶意流程。该 HTA 通过检查系统安装日期进行反分析，若为新近安装系统则终止运行，这是常见的沙箱规避手段。 报告继续写道：“释放的诱饵文档属于社会工程手段，显示为乌克兰边境过境政府申请的回执确认。该诱饵用于维持合法外观，而 HTA 文件在后台执行后续阶段。” “为规避检测并识别潜在沙箱环境，HTA 文件通过检查以下注册表项进行环境判断：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate 通过查询该值，恶意软件计算操作系统 “年龄”。若系统安装时间距运行不足 10 天，恶意软件直接退出。这是一种常见反分析技术，用于避免在新建虚拟机或自动化分析沙箱中运行。” 若条件满足，会查找原始压缩包，释放额外组件，并通过计划任务实现持久化。随后 VBS 脚本通过隐写术从图片中提取隐藏的载荷数据，释放出 PE 文件，研究人员确认为 BadPaw 加载器，该加载器最终投放 MeowMeow 后门并建立 C2 通信。 研究人员在恶意软件代码中发现俄语字符串，其中包括表示达到运行状态所需时间的内容。这些痕迹表明来源为俄罗斯，可能是操作安全（OPSEC）失误，或未针对乌克兰目标移除开发残留内容。 报告总结道：“这些俄语字符串的存在表明两种可能：威胁组织犯了操作安全错误，未针对乌克兰目标环境做代码本地化；或是在恶意软件制作阶段无意中留下了俄语开发痕迹。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI上周发布威胁报告称，已封禁一批与亲克里姆林宫媒体Rybar关联的ChatGPT账户。该网络利用人工智能生成社交媒体内容，并起草针对非洲的秘密影响力行动方案。 这一名为”鱼食”的行动批量生成多语言内容，随后在Telegram和X平台发布。OpenAI研究人员表示，至少部分账户可能源自俄罗斯。 研究人员指出：”本质上，这些ChatGPT活动似乎是为这些账户提供内容农场服务”，但无法独立核实AI生成材料最终如何被发布上网。 该行动主要使用俄语提示词，但产出内容涵盖英语、西班牙语等多种语言。部分提示词用于生成批量英文评论，随后由一系列与Rybar（俄语意为”渔民”）无公开关联的Telegram和X账户发布。 除内容生成外，研究人员披露，有用户要求ChatGPT协助为Rybar制定非洲秘密干预活动的商业计划，包括管理X和Telegram账户、创办聚焦非洲的双语调查新闻网站，以及在法语媒体安排付费投放。 另一提示词涉及编辑一份疑似选举干预团队的提案，内容涵盖建立本地网络、组织大规模活动及配合在线影响力行动。提示词还涉及布隆迪和喀麦隆的选举程序信息查询，并讨论马达加斯加的竞选选项，包括煽动抗议的建议。报告称，最宏大的项目预算高达60万美元/年。 研究人员表示：”该行动生成的内容具有典型的俄罗斯秘密影响力行动特征——通常赞扬俄罗斯及其盟友（如白俄罗斯），批评乌克兰，并指责西方国家干涉内政。” Rybar主Telegram频道拥有约140万订阅者。OpenAI指出，尽管受众规模可观，但未观察到该网络内容被主流媒体显著放大，也未发现非洲当地有与之匹配的实际活动证据。 Rybar为亲战军事博客，由前俄罗斯国防部新闻官米哈伊尔·兹温丘克及其同事杰尼斯·休金创立。俄罗斯独立媒体报道称，已故瓦格纳私人军事公司创始人叶夫根尼·普里戈任曾参与资助该项目。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现并摧毁了由俄罗斯网络犯罪分子运营、针对美国和欧洲货运公司的钓鱼攻击基础设施。 在五个月时间里，这个名为 Diesel Vortex 的组织从物流平台账户窃取了超过 1600 套登录凭证，使攻击者能够截停、改道货运货物并实施支票欺诈。 域名保护平台 Have I Been Squatted 的研究人员发现了一个暴露的 .git 目录，揭露了该行动的详细内幕，包括网络犯罪分子之间的通信消息。 泄露的代码库显示，一个钓鱼即服务平台正在开发中，计划以 “MC Profit Always” 为名向客户推广，该名称很可能指代 “机动车承运人”。 Diesel Vortex 网络犯罪分子搭建了钓鱼基础设施，针对支撑货运与物流行业的平台用户，例如货源平台（货主、经纪人和承运人对接的市场）、车队管理门户以及燃油卡系统。他们冒充承运人和经纪人，成功进入货运系统。聊天记录显示他们从事 “双重经纪” 行为：使用窃取的承运人身份预订货源，再将货物转派给其他承运人。 研究人员找到了该组织的架构图，显示这是一个复杂运作的团伙，设有呼叫中心、邮件支持团队，以及负责与司机和其他物流联系人对接的人员。 Have I Been Squatted 研究人员写道：“这份架构图进一步证实了代码所揭示的事实：这并非一次机会主义攻击，而是有预谋、结构化的犯罪企业，拥有明确分工、营收目标和长期发展策略。” 该公司与网络威胁研究机构 Ctrl-Alt-Int3l 合作，后者在钓鱼面板源代码中发现，有一个域名通过俄罗斯服务商注册，并关联到一个俄罗斯注册的邮箱地址。 该邮箱通过企业记录关联到多家从事仓储、运输和批发贸易的俄罗斯公司。Recorded Future News 曾向该邮箱发送置评请求，截至发稿尚未收到回复。 除明确关联俄罗斯外，讲亚美尼亚语的操作人员也参与了该行动，其中一名犯罪分子告知同伙自己位于埃里温。 在一段聊天记录中，该组织一名成员用亚美尼亚语询问是否持有承保 “25 万货物” 的承运人凭证，即可承运高价值货物的保险资质。 据研究人员介绍，Google Threat Intelligence Group、Cloudflare、GitLab、IPInfo 和 Ping Identity 均参与了此次基础设施取缔行动。 近年来，受行业数字化程度不断提高的推动，货物盗窃事件激增，年度损失估计约为 350 亿美元。11 月，Proofpoint 研究人员记录了一起与有组织犯罪相关的黑客行动，使用远程监控工具针对卡车运输和物流公司。 上月，美国众议院司法委员会推进了《2025 年打击有组织零售犯罪法案》，该法案旨在建立联邦级协同机制应对货物盗窃。该法案还将对非法收益洗钱及盗窃货物销售行为增设新的刑事处罚。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，一个与俄罗斯相关联的威胁行为者针对一家欧洲金融机构发起社会工程攻击，目的可能是情报收集或金融盗窃，这表明该威胁行为者可能将攻击范围从乌克兰扩大到支持该国的相关机构。 此次活动针对一家参与地区发展与重建项目的未具名机构，已被归因于编号为 UAC-0050（又称 DaVinci Group）的网络犯罪组织。BlueVoyant 将该威胁集群命名为 Mercenary Akula。该攻击于本月早些时候被发现。 研究人员 Patrick McHale 和 Joshua Green 在提交给 The Hacker News 的报告中表示：“此次攻击伪造了乌克兰司法域名，发送包含远程访问有效载荷链接的邮件。” “攻击目标是一名负责采购事务的高级法律与政策顾问，该职位对机构运营和财务机制拥有高权限了解。” 攻击起点为鱼叉式钓鱼邮件，以法律相关内容为主题，引导收件人下载存储在 PixelDrain 上的压缩文件，该威胁行为者利用此文件共享服务绕过基于信誉的安全管控。 该 ZIP 文件用于启动多层级感染链。ZIP 文件内包含一个 RAR 压缩包，其中有加密的 7-Zip 文件，内含可执行程序，通过被广泛滥用的双后缀技巧（*.pdf.exe）伪装成 PDF 文档。 程序运行后会部署 Remote Manipulator System（RMS）的 MSI 安装包，这是一款俄罗斯远程桌面软件，可实现远程控制、桌面共享和文件传输。 研究人员指出：“使用此类‘ Living‑off‑the‑Land ’工具可为攻击者提供持久、隐蔽的访问权限，同时通常能规避传统杀毒软件检测。” 使用 RMS 符合 UAC-0050 以往的作案手法，该威胁行为者在针对乌克兰的攻击中曾投放 LiteManager 等合法远程访问软件以及 RemcosRAT 等远程访问木马。 乌克兰计算机应急响应小组（CERT-UA）将 UAC-0050 定性为与俄罗斯执法机构相关的雇佣兵组织，该组织以 Fire Cells 为代号开展数据收集、金融盗窃、信息战与心理战行动。 BlueVoyant 表示：“此次攻击体现了 Mercenary Akula 成熟且固定的攻击特征，同时也出现了显著变化。” “首先，他们的攻击目标此前主要集中在乌克兰境内机构，尤其是会计和财务人员。” “但此次事件表明，该组织可能开始试探西欧地区支持乌克兰的机构。” 据 The Record 报道，此次披露发布之际，乌克兰表示俄罗斯针对其能源基础设施的网络攻击正越来越多地聚焦于情报收集，为导弹打击提供指引，而非直接破坏设施运行。 网络安全公司 CrowdStrike 在其年度《全球威胁报告》中表示，预计与俄罗斯相关的对手将继续开展激进行动，目标是从乌克兰目标和北约成员国处收集情报。 这其中包括 APT29（又称 Cozy Bear、Midnight Blizzard）在鱼叉式钓鱼攻击中 “系统性” 利用信任关系、机构信誉与平台合法性，针对美国非政府组织及一家美国法律机构，以非法获取受害者的微软账号权限。 CrowdStrike 表示：“Cozy Bear 成功入侵或冒充与目标用户存在信任职业关系的人员。” “被冒充的人员包括国际非政府组织分支机构及亲乌克兰组织的员工。” “攻击者投入大量资源完善伪装，使用入侵人员的合法邮箱账号及临时通信渠道增强真实性。”       消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文