HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁组织Konni APT被指与针对乌克兰政府机构的钓鱼活动有关，这表明该组织的攻击目标已扩展到俄罗斯以外的地区。企业安全公司Proofpoint表示，此次活动的最终目标是收集有关“俄罗斯入侵轨迹”的情报。 安全研究人员Greg Lesnewich、Saher Naumaan和Mark Kelly在分享给《黑客新闻》的报告中表示：“该组织对乌克兰的关注延续了其历史上针对俄罗斯政府机构进行战略情报收集的模式。” Konni APT（又称Opal Sleet、Osmium、TA406和Vedalia）是一个长期针对韩国、美国和俄罗斯实体的网络间谍组织，其活动至少可追溯至2014年。该组织通常通过钓鱼邮件分发Konni RAT（又名UpDog）恶意软件，并将收件人重定向至凭证窃取页面。Proofpoint在2021年11月发布的分析报告中评估称，TA406是被公开追踪为Kimsuky、Thallium和Konni集团活动的多个关联组织之一。 网络安全公司记录的最新攻击使用伪装成虚构智库“皇家战略研究院”高级研究员的钓鱼邮件，该智库本身也是不存在的机构。邮件包含托管在MEGA云服务的密码保护RAR压缩包链接。使用邮件正文中提供的密码打开压缩包后，会启动旨在对受感染设备进行广泛侦察的感染链。 具体而言，RAR压缩包内的CHM文件会显示与乌克兰前军事领导人瓦列里·扎卢日内相关的诱饵内容。如果受害者点击页面任意位置，嵌入HTML的PowerShell命令就会连接外部服务器下载第二阶段PowerShell载荷。 新启动的PowerShell脚本可执行多种命令收集系统信息，使用Base64编码后发送至同一服务器。研究人员指出：“当目标未点击链接时，攻击者连续多日发送多封钓鱼邮件，询问目标是否收到先前邮件并催促下载文件。” Proofpoint还观察到钓鱼邮件直接附加HTML文件的情况。在此攻击变种中，受害者被诱导点击HTML文件内的链接，下载包含良性PDF和Windows快捷方式（LNK）文件的ZIP压缩包。执行LNK文件时会运行Base64编码的PowerShell，通过Visual Basic脚本投放名为“Themes.jse”的JavaScript编码文件。该恶意软件随后联系攻击者控制的URL，并通过PowerShell执行服务器响应。当前有效载荷的具体性质尚不明确。 此外，TA406被曝通过ProtonMail账户向乌克兰政府机构发送伪造的微软安全警报邮件，警告存在来自美国IP地址的可疑登录活动，诱骗受害者访问链接验证登录信息。虽然凭证窃取页面尚未恢复，但据悉该域名此前曾被用于窃取Naver登录信息。Proofpoint表示：“这些凭证窃取活动发生在恶意软件部署尝试之前，部分目标用户后来也成为HTML投递活动的攻击对象。TA406极可能正在收集情报，帮助朝鲜领导人评估其已在战区部队的当前风险，以及俄罗斯请求更多部队或武器的可能性。” 此次披露正值Konni集团被指参与针对韩国实体的复杂多阶段恶意软件活动，攻击者使用包含LNK文件的ZIP压缩包，通过PowerShell脚本提取CAB压缩包，最终投放能够收集敏感数据并外泄至远程服务器的批处理脚本恶意软件。 这些发现与Kimsuky针对韩国政府机构的鱼叉式钓鱼活动相吻合，该活动通过投放能够建立命令与控制（C2）通信、窃取文件、浏览器数据和加密货币钱包信息的窃取程序实施攻击。 韩国网络安全公司AhnLab表示，Kimsuky还被观察到传播PEBBLEDASH恶意软件，该木马通过鱼叉式钓鱼启动多阶段感染链。美国政府于2020年5月将PEBBLEDASH归因于Lazarus集团。 该公司称：“虽然Kimsuky集团使用多种恶意软件，但在PEBBLEDASH案例中，他们通过初始访问阶段的鱼叉式钓鱼执行基于LNK文件的恶意软件发动攻击，随后利用PowerShell脚本创建任务计划程序实现自动执行，通过与Dropbox和基于TCP套接字的C2服务器通信，安装包括PEBBLEDASH在内的多种恶意软件和工具。” 专注于朝鲜问题的活动人士近期成为APT37（又称ScarCruft）攻击目标。据Genians安全中心（GSC）披露，这项名为“Operation ToyBox Story”的鱼叉式钓鱼攻击首次发现于2025年3月8日。 该韩国公司表示：“邮件中的Dropbox链接指向包含恶意LNK文件的压缩包，提取执行后会激活包含‘toy’关键词的附加恶意软件。”LNK文件被配置为启动诱饵HWP文件并运行PowerShell命令，依次执行toy03.bat、toy02.bat和toy01.bat文件，最终释放与APT37关联的RoKRAT木马。 RoKRAT能够收集系统信息、截取屏幕截图，并利用pCloud、Yandex和Dropbox三种云服务进行C2通信。Genians指出：“威胁分子利用合法云服务作为C2基础设施，持续修改LNK文件，同时专注于无文件攻击技术以规避目标终端杀毒软件的检测。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关的威胁行为者COLDRIVER被发现分发名为LOSTKEYS的新恶意软件，该行动采用类似ClickFix的社会工程诱饵实施网络间谍活动。谷歌威胁情报组（GTIG）表示：“LOSTKEYS能够从硬编码的扩展名和目录列表中窃取文件，并向攻击者发送系统信息和运行进程。” GTIG称，该恶意软件在2025年1月、3月和4月针对西方政府和军队现任及前任顾问、记者、智库、非政府组织以及乌克兰相关人士的攻击中被发现。LOSTKEYS是COLDRIVER继SPICA之后开发的第二个定制恶意软件，标志着该组织持续偏离其知名的凭证钓鱼活动。该黑客组织还被追踪为Callisto、Star Blizzard和UNC4057。 网络安全研究人员Wesley Shields表示：“他们以窃取凭证闻名，在获取目标账户访问权限后会窃取邮件和联系人列表。在特定案例中，COLDRIVER还会向目标设备投放恶意软件，并试图访问系统文件。” 最新攻击始于包含虚假验证码验证提示的诱饵网站，受害者被要求打开Windows运行对话框并粘贴复制的PowerShell命令。这种被广泛称为ClickFix的社会工程技术会下载并执行远程服务器（“165.227.148[.]68”）的第二阶段载荷，该载荷在可能进行虚拟机检测后才会下载第三阶段恶意软件。 经过Base64编码的第三阶段载荷被解码为PowerShell脚本，负责在受感染主机上执行LOSTKEYS，使攻击者能够收集系统信息、运行进程以及硬编码列表中的文件。与SPICA类似，该恶意软件被认为是选择性部署的，表明攻击具有高度针对性。 谷歌还发现了可追溯至2023年12月的LOSTKEYS伪装样本，这些样本假扮成Maltego开源调查平台的二进制文件。目前尚不清楚这些样本是否与COLDRIVER有关，或恶意软件是否从2025年1月开始被攻击者重新利用。 随着ClickFix技术被更多威胁行为者采用，包括传播银行木马Lampion和窃密软件Atomic Stealer，其应用范围持续扩大。根据Palo Alto Networks Unit 42的分析，传播Lampion的攻击使用带有ZIP附件的钓鱼邮件，压缩包内的HTML文件会将受害者重定向至包含ClickFix指令的虚假登录页面。 “Lampion感染链的另一个有趣之处在于其分为多个非连续阶段，作为独立进程执行，”Unit 42指出，“这种分散式执行使检测复杂化，因为攻击流程不会形成易于识别的进程树，而是由看似无害的独立事件组成复杂链条。”该活动主要针对葡萄牙语用户，涉及政府、金融和运输等多个领域。 近期ClickFix策略还与名为EtherHiding的隐匿技术结合使用，通过币安智能链（BSC）合约隐藏载荷，最终传播macOS窃密软件Atomic Stealer。化名Badbyte的研究人员表示：“点击‘我不是机器人’会触发币安智能合约，使用EtherHiding技术向剪贴板传递Base64编码命令，提示用户通过macOS快捷键（⌘ + Space, ⌘ + V）在终端运行。该命令下载的脚本会获取并执行经签名的Mach-O二进制文件，确认为Atomic Stealer。” 进一步调查发现，该活动可能已入侵约2,800个合法网站来提供虚假验证码提示。研究人员将这次大规模水坑攻击代号定为MacReaper。研究人员补充道。“攻击利用混淆JavaScript、三个全屏iframe和基于区块链的命令基础设施来最大化感染范围，”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周三，英国网络安全负责人宣布，该国情报部门看到了“俄罗斯网络攻击与我们安全面临的现实威胁之间存在直接联系”。 英国国家网络安全中心（NCSC）负责人理查德·霍恩在曼彻斯特举行的CYBERUK会议上警告称，莫斯科的恶意行为者“正在实施破坏行为，常常在其阴谋中使用犯罪代理”。 霍恩表示，无论是NCSC还是国内安全机构军情五处（MI5），都看到来自俄罗斯的网络威胁在英国街头显现，针对英国的各行各业和企业，使民众生命、关键服务和国家安全面临风险。 他告诉CYBERUK会议的听众，信息安全界的作用“因此不仅仅是保护系统，更是保护我们的人民、经济和社会免受伤害”。 霍恩说，NCSC无法透露行动细节，但解释说“网络手段”为一系列威胁行为者提供了侦察能力以及“发起现实威胁的能力”。 此次警告是在一系列疑似俄罗斯策划的欧洲破坏事件之后发布的。去年，欧洲各国的安全机构和政府就这些威胁发出了警告，同时北约和欧盟均谴责俄罗斯“日益加剧”的破坏活动和混合行动。 上个月，英国警方宣布逮捕了一名罗马尼亚男子，该男子涉嫌协助俄罗斯军事情报机构实施一项阴谋，其中包括一枚爆炸装置在伯明翰的DHL物流仓库爆炸。 据信，2024年7月德国莱比锡的DHL物流链发生的一起火灾也是俄罗斯所为。德国安全部门表示，如果那枚寄往英国的包裹炸弹在航班上爆炸，可能会引发空难。 第三起事件发生在7月，地点是波兰首都华沙附近。据路透社报道，这些企图被认为是未来阴谋的“预演”，俄罗斯计划在跨大西洋飞往美国和加拿大的货运航班上在空中引爆爆炸装置。 据报道，这些装置被伪装成来自立陶宛的按摩机，内部含有镁基物质，这种物质燃烧时极具破坏性，可能导致飞机坠毁。 11月，立陶宛总统吉塔纳斯·纳乌斯的首席国家安全顾问克斯蒂托尼斯·布德里斯指责俄罗斯军事情报机构格鲁乌（GRU）策划了这些阴谋。其他西方安全官员也认同这一评估，《华尔街日报》对此进行了报道。 这一指控是在波兰国家检察官办公室证实7月逮捕了4名与藏有爆炸物的包裹相关的人员之后提出的，该办公室称这些包裹被认为是对飞往美国和加拿大航班发动攻击前的试运行。另一名涉嫌在立陶宛邮寄这些包裹的男子于9月被捕。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国外交部今日指控与俄罗斯军事情报局（GRU）相关的APT28黑客组织在过去四年内入侵或攻击了十多个法国机构。 周二发布的声明称：“法国以最强烈措辞谴责俄罗斯军事情报局（GRU）使用APT28攻击程序实施多起针对法国利益的网络攻击。这些破坏性活动不可接受，有损联合国安理会常任理事国身份，也违背俄罗斯曾承诺遵守的《联合国网络空间负责任国家行为规范》。” 法国国家信息系统安全局（ANSSI）同日发布的报告显示，遭APT28军方黑客攻击的法国机构包括： 部委级政府机构、地方政府及行政单位 国防工业基础相关组织 航空航天机构 研究机构及智库 经济与金融领域机构 ANSSI特别指出，自2021年以来APT28多次利用Roundcube邮件服务器漏洞实施攻击，并频繁使用免费网络服务发起钓鱼攻击。攻击者还大量采用“低成本现成外包基础设施”——包括免费托管服务、VPN服务、租用服务器及临时邮箱创建服务——以增强隐蔽性。 2024年至今，该组织的攻击重点转向窃取法国、欧洲、乌克兰及北美政府、外交机构、研究组织和智库的“战略情报”。这并非法国首次指控APT28：2023年10月报告显示，该组织自2021年下半年已渗透法国政府、高校、研究所、企业及智库的关键网络。 作为活跃逾20年的俄罗斯国家级黑客组织（亦被追踪为Strontium、Fancy Bear），APT28隶属GRU第26165军事部队，曾参与多起重大网络攻击： 2015年入侵德国联邦议会 2016年美国大选前渗透民主党国会竞选委员会（DCCC）及民主党全国委员会（DNC） 2018年美国起诉多名APT28成员，2020年欧盟因议会黑客事件对其实施制裁 2023年波兰政府机构遭大规模钓鱼攻击 2024年北约与欧盟共同谴责其针对德国、捷克等国的长期间谍活动 北约指出，近期俄罗斯的“混合行动”包括破坏、暴力行为、网络干扰、虚假信息等，已影响捷克、爱沙尼亚、德国、拉脱维亚、立陶宛、波兰及英国。法国外交部强调：“法国将与伙伴国共同运用一切手段，在必要时预见、威慑并应对俄罗斯在网络空间的恶意行为。”         消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月初以来，多个疑似与俄罗斯有关的威胁组织针对与乌克兰及人权事务相关的个人和机构发动攻击，旨在非法入侵Microsoft 365账户。Volexity指出，此类高度定向的攻击已从此前利用设备代码钓鱼技术的攻击方式转向新策略，表明相关威胁组织正在积极改进其攻击手法。 安全研究人员Charlie Gardner、Josh Duke、Matthew Meltzer、Sean Koessel、Steven Adair和Tom Lancaster在详尽分析中表示：“近期观测到的攻击严重依赖与目标的点对点互动，攻击者必须说服目标点击链接并回传微软生成的验证码。”目前至少有两个追踪编号为UTA0352和UTA0355的威胁集群被认定参与攻击，但尚未排除其与APT29、UTA0304和UTA0307存在关联的可能性。 最新攻击的特征在于滥用合法的Microsoft OAuth 2.0身份验证工作流程。攻击者冒充欧洲多国官员，并至少在一次案例中利用被入侵的乌克兰政府账户诱骗受害者提供微软生成的OAuth代码以控制其账户。攻击者通过Signal和WhatsApp等即时通讯软件联系目标，邀请其参加与欧洲政要的视频通话或注册涉及乌克兰事务的私人会议，最终诱导受害者点击托管在Microsoft 365基础设施上的链接。 Volexity表示：“若目标回应信息，对话将迅速推进至实际安排会议时间。当约定时间临近时，伪装成欧洲政要的攻击者会再次联系目标，发送会议加入指引。”这些指引以文档形式呈现，随后攻击者发送会议链接。所有URL均重定向至Microsoft 365官方登录门户。 具体而言，攻击者设计的链接会重定向至微软官方URL并在过程中生成微软授权令牌，该令牌将出现在URI或重定向页面正文中。攻击随后试图诱骗受害者与攻击者共享该代码。这是通过将已认证用户重定向至浏览器版Visual Studio Code（insiders.vscode[.]dev）实现的，令牌将在此界面显示给用户。若受害者分享OAuth代码，UTA0352将生成访问令牌以最终控制受害者M365账户。 Volexity还观测到该活动的早期版本会将用户重定向至“vscode-redirect.azurewebsites[.]net”网站，该网站再次重定向至本地IP地址（127.0.0.1）。研究人员解释称：“此时授权码仅存在于URL中，用户浏览器会显示空白页面。攻击者必须要求用户分享浏览器URL才能获取代码。” 2025年4月初发现的另一社交工程攻击涉及UTA0355使用已入侵的乌克兰政府电子邮箱向目标发送钓鱼邮件，随后通过Signal和WhatsApp发送信息。这些信息邀请目标参加关于乌克兰“暴行罪”起诉及国际合作投资的视频会议。尽管最终目标与UTA0352相同，但存在关键差异：攻击者滥用微软365认证API获取受害者邮件数据，并将窃取的OAuth授权码用于在受害者Microsoft Entra ID（原Azure Active Directory）永久注册新设备。 攻击者随后发起第二轮社交工程以说服目标批准双重认证请求并劫持账户。Volexity指出：“在此次互动中，UTA0355要求受害者批准双重认证（2FA）请求以‘访问与会议关联的SharePoint实例’，此举旨在绕过受害者组织设置的额外安全要求以访问其邮箱。”该攻击的特别有效性体现在：登录活动、邮件访问及设备注册均通过地理位置与受害者匹配的代理网络进行，大幅增加检测难度。 为应对此类攻击，建议组织审计新注册设备、培训用户警惕即时通讯平台上的非主动联络，并实施条件访问策略限制仅允许受审批/管理设备访问组织资源。Volexity补充道：“近期攻击活动完全利用微软官方基础设施进行用户交互，未使用攻击者自托管设施。同时，攻击不涉及需用户显式授权的恶意OAuth应用（此类应用可被组织轻松拦截）。已获许可的微软原生应用使用使得该技术的预防与检测极为困难。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露，与俄罗斯防弹主机服务商Proton66关联的IP地址近期出现“大规模扫描、凭证暴力破解及漏洞利用尝试”激增现象。根据Trustwave SpiderLabs上周发布的两阶段分析报告，自2025年1月8日以来检测到该活动针对全球组织机构。 安全研究人员Pawel Knapczyk与Dawid Nesterowicz指出：“IP段45.135.232.0/24和45.140.17.0/24在大规模扫描与暴力破解方面表现尤为活跃。部分涉事IP地址此前未参与过恶意活动或已休眠超过两年。” 经评估，俄罗斯自治系统Proton66与另一个名为PROSPERO的自治系统存在关联。法国安全公司Intrinsec去年详细披露了这两个系统与俄语网络犯罪论坛中以Securehost和BEARHOST名义销售的防弹服务的联系。包括GootLoader和SpyNote在内的多个恶意软件家族已在Proton66上托管其命令与控制（C2）服务器和钓鱼页面。今年2月初，安全记者Brian Krebs揭露PROSPERO已开始通过俄罗斯杀毒软件厂商卡巴斯基实验室（莫斯科）运营的网络进行路由。 然而，卡巴斯基否认与PROSPERO存在合作，并表示“通过卡巴斯基运营网络进行路由并不默认意味着提供该公司服务，因为卡巴斯基的自治系统（AS）路径可能作为技术前缀出现在与其合作并提供DDoS服务的电信供应商网络中。” Trustwave最新分析显示，2025年2月从Proton66某个IP段（193.143.1[.]65）发起的恶意请求试图利用多个最新高危漏洞： CVE-2025-0108：Palo Alto Networks PAN-OS软件的认证绕过漏洞 CVE-2024-41713：Mitel MiCollab中NuPoint统一消息组件（NPM）的输入验证不足漏洞 CVE-2024-10914：D-Link NAS的命令注入漏洞 CVE-2024-55591与CVE-2025-24472：Fortinet FortiOS的认证绕过漏洞 值得注意的是，Fortinet FortiOS两个漏洞的利用行为已被归因于某初始访问中间商Mora_001，该实体被发现投放名为SuperBlack的新型勒索软件。 该网络安全公司表示还观察到多个与Proton66关联的恶意软件活动，旨在传播XWorm、StrelaStealer及名为WeaXor的勒索软件等家族。 另一项显著活动涉及利用与Proton66关联IP地址“91.212.166[.]21”的遭入侵WordPress网站，将安卓设备用户重定向至仿冒Google Play应用列表的钓鱼页面，诱骗用户下载恶意APK文件。这些重定向通过托管在Proton66 IP地址的恶意JavaScript实现。对虚假应用商店域名的分析表明，该活动专门针对法语、西班牙语和希腊语用户。 研究人员解释称：“重定向脚本经过混淆处理，并对受害者实施多项检查，例如排除爬虫程序与VPN/代理用户。通过ipify.org查询获取用户IP地址，随后通过ipinfo.io验证VPN或代理的存在。最终仅在检测到安卓浏览器时实施重定向。” 在某个Proton66 IP地址中还托管着可部署XWorm恶意软件的ZIP压缩包，专门通过社会工程手段针对韩语聊天室用户。攻击第一阶段为Windows快捷方式（LNK）文件，执行PowerShell命令后运行Visual Basic脚本，进而从同一IP地址下载Base64编码的.NET DLL文件。该DLL继续下载并加载XWorm二进制程序。 Proton66关联基础设施还被用于实施针对德语用户的钓鱼邮件活动，传播可与C2服务器（193.143.1[.]205）通信的信息窃取软件StrelaStealer。最后，WeaXor勒索软件（Mallox的修订版本）的组件被发现与Proton66网络中的C2服务器（“193.143.1[.]139”）通信。 建议各组织封锁所有与Proton66及疑似关联的香港服务商Chang Way Technologies相关的无类别域间路由（CIDR）范围，以消除潜在威胁。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯当局已将一家加拿大IT公司列为“不受欢迎”组织，使其成为第二个被列入该名单的西方网络安全公司。 俄罗斯总检察院周四在一份声明中表示，OpenText公司“与美国执法部门紧密合作，并为西方的反俄宣传努力做出贡献”。 莫斯科还声称，该公司为美国国防部提供服务，向五角大楼供应软件，其中包括一款有助于识别互联网用户的软件。 俄罗斯当局表示，OpenText于2023年收购的英国公司Micro Focus“向乌克兰执法机构提供了收集数据所需的网络安全软件和服务，以便打击俄罗斯军队和基础设施”。 截至北美东部时间周五上午10点45分，OpenText尚未回复Recorded Future News关于这些指控的置评请求。 这家位于加拿大安大略省滑铁卢的公司专门从事企业信息管理（EIM）软件，帮助组织管理机构文档、记录和其他内容。该公司还提供网络安全解决方案。 在俄罗斯，“不受欢迎”的地位适用于那些活动被认为对该国利益或安全有害的组织或个人。一旦被指定为“不受欢迎”，这些组织将被禁止在俄罗斯境内运营——其资产可能会被没收，活动也会受到限制。俄罗斯公民和法人实体也被禁止与这些组织合作，如果不遵守规定，还可能面临刑事指控。 去年12月，俄罗斯以类似的指控将美国网络安全公司Recorded Future列入“不受欢迎”组织名单。当时，Recorded Future的首席执行官克里斯托弗·阿尔伯格表示，该公司与任何情报机构没有特定联系，但许多政府机构都是其客户。The Record是Recorded Future旗下一个编辑独立的单位。 在俄乌战争后，OpenText和Micro Focus于2022年暂停了在俄罗斯的业务，并表示只有“战争结束且制裁解除”后才会恢复在该国的运营。OpenText此前曾捐款支持乌克兰的人道主义工作。 2023年，OpenText还透露，在2015年BlackEnergy网络攻击导致乌克兰全国大范围停电后，该公司向乌克兰电力公司Ukrenergo提供服务，以帮助保护其基础设施免受未来威胁。 2024年，俄罗斯外交部对五名Micro Focus员工实施个人制裁，指责他们向乌克兰执法机构提供软件和网络安全服务，以收集数据来打击俄罗斯军队和基础设施。 “这些IT公司是新纳粹的盟友，它们的活动导致人员伤亡，并可能被用来对付任何与盎格鲁-撒克逊人利益不一致的国家政府。”俄罗斯当局在当时的一份声明中表示。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯政府和企业采购的主要电子交易平台Roseltorg周一证实，该平台在最初声称中断因“维护工作”所致后，实则遭受了网络攻击。 Roseltorg是俄罗斯政府选定的开展公共采购（包括国防和建筑行业的合同）的最大电子交易运营商之一。该平台还提供电子文档管理和采购规划工具。 上周四，Roseltorg首次确认其服务已暂时暂停，但未提供进一步细节。在最近的一份Telegram声明中，Roseltorg透露，其遭受了“旨在破坏数据和整个电子交易基础设施的外部攻击”。 Roseltorg表示，此次攻击所影响的所有数据和基础设施已完全恢复，交易系统预计很快将恢复运营。然而，截至本文撰写时，该公司网站仍处于离线状态。 上周，此前鲜为人知的亲乌黑客组织Yellow Drift声称对Roseltorg的攻击负责，称他们删除了包括电子邮件和备份在内的550TB数据。作为证明，黑客们在他们的Telegram频道上发布了据称来自平台受损基础设施的截图。 “如果你支持暴政并资助战争，那就准备好回到石器时代吧，”黑客们说道。 Roseltorg遭受的网络攻击已经影响到依赖该平台运营的客户，包括政府机构、国有企业和供应商。在公司发布公告后，许多客户在评论区表达了担忧，抱怨可能遭受的财务损失和采购过程的延误。 Roseltorg在一份声明中表示，一旦交易系统恢复访问，包括合同签订在内的所有程序截止日期将自动延长，无需用户提出任何请求。 据当地媒体报道，Roseltorg服务于一些俄罗斯最大的企业，包括石油公司卢克石油、数字服务提供商俄罗斯电信和钻石开采公司阿尔罗萨，以及国防部等政府机构和网络监管机构Roskomnadzor。 Roseltorg是本月遭受亲乌黑客攻击的多家俄罗斯公司之一。上周，一个与未知势力有关联的黑客组织声称攻破了俄罗斯负责管理财产和土地记录的政府机构Rosreestr。 另一个名为乌克兰网络联盟的黑客组织也声称对俄罗斯互联网提供商Nodex的攻击负责，称其一夜之间摧毁了该公司的基础设施。Nodex证实了此次攻击。 周一，一个名为网络无政府主义小队的乌克兰黑客组织宣布，他们攻击了俄罗斯科技公司Infobis，该公司开发农业工作计划、监测和会计系统。黑客们声称已窃取了3TB的信息并破坏了该公司部分基础设施。Infobis未对所谓的攻击发表评论。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，乌克兰网络联盟组织的一部分黑客活动分子宣布，他们已侵入俄罗斯互联网服务提供商Nodex的网络，在窃取敏感文件后清除了被黑的系统。 昨日，这些乌克兰黑客在Telegram上宣布：“圣彼得堡的俄罗斯互联网提供商Nodex被完全洗劫并清空。数据被窃取，而他们留下的只是没有备份的空设备。” 黑客们还分享了他们在攻击期间入侵的俄罗斯ISP的VMware、Veeam备份和惠普企业虚拟基础设施的截图。 周二，Nodex在VKontakte上向客户证实了乌克兰网络联盟的声明，称其网络在疑似来自乌克兰的有计划攻击后“被摧毁”。 Nodex表示：“亲爱的用户！昨晚，我们的基础设施遭到攻击（推测来自乌克兰）。网络已被摧毁。我们正在从备份中恢复。目前没有时间表或预测。我们的首要任务是先恢复电话服务和呼叫中心。” 互联网监测组织NetBlocks也观察到，在Nodex确认遭受网络攻击后，其网络运营商的固定电话和移动服务连接在昨日午夜崩溃。 Nodex中断情况（NetBlocks） 《The Record》率先报道了此次攻击，称Nodex的网站仍然无法访问，俄罗斯互联网提供商仍在努力恢复系统。但该公司无法提供系统恢复在线的时间表。 此后，Nodex发布了更多关于恢复过程的更新，告知用户“网络核心已恢复”，其工程师仍在重置交换机。 三小时后，俄罗斯ISP表示DHCP服务器已上线，现在许多客户应能上网。 Nodex在VKontakte上的另一条更新中表示：“很多人应该能上网了。请重启您的路由器。” 乌克兰网络联盟自2016年以来一直活跃，当时多个黑客和黑客组织（如FalconsFlame、Trinity、RUH8和CyberHunta）联合起来，注册为非政府组织。 自那时以来，乌克兰网络联盟的网络活动分子声称多次攻破影响多个俄罗斯组织的系统，包括俄罗斯国防部、独立国家联合体研究所（由俄罗斯国家公司Gazprom资助）、顿涅茨克人民共和国煤炭和能源部、弗拉基米尔·普京的政治顾问弗拉基斯拉夫·苏尔科夫以及多名俄罗斯军官和媒体机构等。 2023年10月，乌克兰黑客还攻破了Trigona勒索软件团伙的服务器，在窃取包括源代码、数据库记录和加密货币热钱包在内的所有数据后将其清空。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯政府已将美国情报公司 Recorded Future 列为“非友好组织”，指控该公司参与收集和分析关于俄罗斯军队行动的数据。 俄罗斯总检察院指控 Recorded Future 向乌克兰专家提供免费访问程序的权限，这些程序将用于开展对俄罗斯的攻击性信息战。 Recorded Future 的首席执行官 Christopher Ahlberg 一直公开支持乌克兰，他对这一标签表示欢迎。 “生活中有些事情是罕见的恭维，而这个就是其中之一，”Ahlberg 在 X 社交媒体平台上发布了这样一条信息。 “非友好组织”标签将禁止 Recorded Future 在俄罗斯开展业务，并使该公司在俄罗斯分享其数据和分析时面临法律风险和障碍。 俄罗斯总检察院将 Recorded Future 描述为提供数据搜索、处理和分析服务的实体，其中包括访问和分析非公开或受限网络的数据。 “他们专注于网络威胁，积极与 CIA 和其他国家的情报机构合作。为西方对俄罗斯发起的宣传战提供信息和技术支持，”声明中写道。 “该组织参与收集和分析俄罗斯武装部队的行动数据。向乌克兰专家提供免费访问程序，用于准备和开展对俄罗斯的攻击性信息操作，”声明补充道。 这被认为是首个被指定为“非友好组织”的网络安全公司。俄罗斯政府通常将这一标签用于非政府组织（NGO）、媒体和民间社会组织。 Recorded Future 总部位于马萨诸塞州，目前正在接受金融服务巨头 Mastercard 以 26 亿美元收购。该交易宣布时，Mastercard 将此次收购定位为其网络安全服务的扩展，并表示将加强其用于保护金融服务生态系统的洞察力和情报。 Recorded Future 曾在 2019 年被私募股权公司 Insight Partners 以 7.8 亿美元收购。它被认为是全球最大的威胁情报公司，客户遍布 75 个国家，其中包括 45 个国家的政府。   消息来源：Security Week, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文