据新报告称，疑似俄罗斯黑客在新的间谍活动中将乌克兰军事和国防企业作为目标。 乌克兰军方计算机应急响应小组 (MIL.CERT-UA) 追踪到该活动背后的威胁组织为 UAC-0185，攻击者发送了网络钓鱼电子邮件，伪装成上周在基辅举行的合法国防会议的邀请。 该组织也称为 UNC4221，自 2022 年以来一直活跃，主要通过 Signal、Telegram 和 WhatsApp 等消息应用程序以及 Delta、Teneta 和 Kropyva 等当地军事系统窃取凭证，主要针对乌克兰军事人员。 据 MIL.CERT-UA 称，除了入侵账户之外，攻击者还选择性地发动网络攻击，以未经授权的远程访问乌克兰国防工业综合体和国防部队员工的计算机。 乌克兰尚未将该组织归咎于某个特定国家，但研究人员此前曾将UNC4221 与俄罗斯联系起来。该组织的策略和目标与莫斯科支持的黑客常用的策略和目标一致。 该组织使用知名工具来感染受害者的设备，包括 MeshAgent 和 UltraVNC（一种用于远程管理计算机系统的开源软件）。 8 月初，被追踪为 UAC-0198 的威胁组织使用基于 MeshAgent 的后门恶意软件感染了 100 多台乌克兰国家计算机。 根据网络安全公司 MalwareBytes 的分析，MeshAgent 可以通过多种方式入侵系统，最常见的方式是利用包含恶意宏的电子邮件活动。黑客还可以滥用UltraVNC 软件来控制目标系统并安装后门。 乌克兰军方和国防企业是黑客的常见目标，通常与俄罗斯有联系。7 月初，被追踪为 UAC-0180 的威胁组织试图使用伪装成无人机采购合同的恶意电子邮件访问乌克兰国防公司的系统。 在 6 月份的一次活动中，一个名为 Vermin 的组织使用 Spectr 恶意软件攻击了乌克兰武装部队，以窃取其设备中的敏感信息。 此前，CERT-UA 还警告称，乌克兰军事人员和国防服务可能遭受使用 DarkCrystal 恶意软件的网络攻击，这种恶意软件可能允许攻击者远程访问受害者的设备。 技术报告：https://cert.gov.ua/article/6281632     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ELFo_NAc7u8IJvOlJgVSLg 封面来源于网络，如有侵权请联系删除

上周末，俄罗斯多个地区的居民经历了互联网中断。当地政府试图将这些地区从全球网络中断开，以测试该国的“主权互联网”基础设施。 俄少数民族聚居区先行测试 根据美国非营利组织战争研究所（ISW）的报告显示，此次测试主要影响了俄罗斯少数民族聚居的地区，包括车臣、达吉斯坦和印古什。 互联网监测组织NetBlocks的数据显示，达吉斯坦的互联网中断持续了近24小时。 在此期间，用户无法访问许多国内外应用和网站，包括YouTube、谷歌、WhatsApp和Telegram等通讯应用，俄罗斯互联网巨头Yandex的一些服务也无法使用。据当地媒体报道，即使通过VPN也无法访问这些服务。 12月7日，位于北高加索地区的一家俄罗斯互联网服务提供商表示，其已经知晓用户关于互联网访问的投诉，但对此情况无能为力。 俄罗斯互联网和媒体监管机构Roskomnadzor表示，此次“主权互联网”测试的目标，是检验俄罗斯的基础设施在遭遇外部蓄意干扰时，是否能够“维持主要国外和国内服务的运行”。 据战争研究所分析，Roskomnadzor可能有意选择在穆斯林占多数且历史上存在不稳定的地区进行“主权互联网”测试。这是为了确保在不稳定局势下，可以迅速断开这些地区与某些服务（例如Telegram）的连接。此前，俄罗斯在巴什科尔托斯坦、达吉斯坦和萨哈等偏远地区发生抗议和社会动荡期间，也曾中断对流行通讯应用的访问。 俄罗斯Runet项目已推进多年 长期以来，俄罗斯一直试图打造一个独立于全球互联网的网络，通常被称为Runet，以确保符合俄罗斯法律的要求。Roskomnadzor此前已进行过Runet相关测试，但据专家称，这些测试并未取得成功，且持续时间短于预期。 然而，在俄罗斯与乌克兰战争期间，包括苹果、微软和谷歌在内的许多西方科技巨头暂停或限制其在俄罗斯的服务。因此，俄罗斯最近加快了与全球技术脱钩的步伐，并鼓励用户和企业转向俄罗斯的替代产品。 今年9月，《福布斯》俄语版报道，克里姆林宫近期投入约590亿卢布（约合6.48亿美元）以提升技术能力，目的是限制互联网流量并屏蔽西方平台。 上周末，俄罗斯互联网管理部门还宣布，可能会限制国内访问包括GoDaddy、AWS和HostGator在内的8家外国托管服务提供商，原因是这些公司未能遵守相关要求。 Roskomnadzor声称，这些外国提供商的服务器上托管的信息“并不总是能够避免未经授权的访问”，因此“危及用户数据的保密性和商业安全”。 俄罗斯数字权利组织Roskomsvoboda的专家表示，随着对整个托管服务提供商的封锁，俄罗斯正步入“网络审查的新阶段”。这可能导致大量移动应用程序和网站变得无法访问。     转自安全内参，原文链接：https://www.secrss.com/articles/73363 封面来源于网络，如有侵权请联系删除

英国国家犯罪局 (NCA) 宣布，一项名为“Destabilize”的联合执法行动摧毁了俄罗斯非法洗钱和现金运送网络以及与勒索软件、毒品和间谍活动有关的地下加密货币交易所。 NCA 领导的行动揭露了 Smart 集团和 TGR 集团这两个非法金融网络，这两个网络帮助俄罗斯精英规避国际制裁，并支持俄罗斯网络犯罪分子洗白非法利润。Smart 网络还被用来资助俄罗斯的间谍活动。 美国财政部外国资产控制办公室 (OFAC) 还制裁了与 TGR 集团有关的五名个人和四家实体。NCA 的国际合作伙伴还逮捕了第七名嫌疑人，是一名全球洗钱协助者。 NCA 表示：“NCA 协调的活动迄今已逮捕 84 人，其中许多人已服刑，并缴获了超过 2000 万英镑（3500 万美元）的现金和加密货币。” 复杂的犯罪网络在一个国家收集资金，然后在另一个国家提供等值资金，通常是通过将加密货币兑换成现金。这简化了西方犯罪集团产生的现金流动，并帮助寡头绕过制裁。 英国是这项活动的主要中心。数十亿美元的洗钱网络以一种此前不为当局或监管机构所知的方式运作，并隐藏在社区中。 调查人员发现全国各地大规模的货币兑换。街头现金交易之后，几乎立即出现了等值加密货币的转移。Smart 和 TGR 与俄罗斯金融业联系紧密，其全球影响力遍及 30 多个国家。 “我们首次能够找出俄罗斯精英、加密货币富豪网络犯罪分子和英国街头贩毒团伙之间的联系。将他们联系在一起的线索——Smart 和 TGR 的联合力量——直到现在才被发现。”NCA 运营总监 Rob Jones 表示。 “NCA及其合作伙伴已经从各个层面打击了这一犯罪活动。” Smart 集团由俄罗斯洗钱者 Ekaterina Zhdanova 领导。她指挥一家位于伦敦的现金快递公司，洗钱金额超过 1900 万美元。她还帮助勒索软件受害者以加密货币形式向 Ryuk 勒索软件集团支付超过 230 万美元疑似赎金，并与 TGR 成员合作转移了超过 200 万美元。 TGR 由乌克兰人乔治·罗西经营。该集团涉嫌隐瞒将受制裁的俄罗斯国有媒体组织今日俄罗斯（RT）的资金转移出境，以支持一家俄语媒体组织在英国的活动。 TGR 帮助将非法金融计划纳入全球金融体系，包括洗钱、未注册的现金和加密货币交易以及预付信用卡服务。其目的是掩盖资金来源。 NCA 表示：“Smart 和 TGR 的加密地址显示，他们经常接触 Garantex，这是一项加密货币交易服务，于 2022 年受到英国和美国的制裁。Garantex 与武器零部件交易有关。 ” OFAC 还制裁了拉脱维亚国民 Andrejs Bradens，他与多家 TGR 集团公司有联系，以及 Zhdanova 的两家关联公司：Khadzi-Murat Dalgatovich Magomedov 和 Nikita Vladimirovich Krasnov。 在其中一起案件中，NCA 和国际合作伙伴逮捕了一系列与谢缅·库克索夫及其同伙有关的信使，据信他们经营着一家地下加密货币交易所。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/2MEWWskREW-4GldVb0tRNg 封面来源于网络，如有侵权请联系删除

根据Black Lotus 实验室周三发布的研究，在一次非同寻常的数字间谍案中，俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统，从而进入南亚各地敏感的政府网络。 俄罗斯黑客组织被称为 Turla 或 Secret Blizzard，征用了 33 个由巴基斯坦黑客操作的C2服务器，这些黑客自己也曾入侵过阿富汗和印度政府的目标，有时还使用市售的 Hak5 渗透测试硬件设备。 据Black Lotus 称，俄罗斯黑客闯入了巴基斯坦 APT组织（被追踪为 Storm-0156）使用的C2服务器，并利用该访问权限启动自己的恶意软件并劫持敏感数据。 研究人员表示：“最近一次活动持续了两年，是自 2019 年首次发现 [Turla] 重新利用伊朗威胁组织的 C2 以来，第四次有记录的 [Turla] 嵌入其他组织行动的案例。” 去年，Turla 还被发现使用其他黑客可能部署的旧版 Andromeda 恶意软件来针对乌克兰组织。 Turla 是一种攻击性较强的俄罗斯 APT，其目标是世界各地的大使馆和政府办公室。据观察，它还控制了 Hak5 Cloud C2 节点，这是一个为合法渗透测试而设计的平台，但在这里被用于间谍活动。 在俄罗斯黑客组织控制其行动之前， Storm-0156巴基斯坦黑客组织一直在部署物理黑客工具——市售的 Hak5 设备——来入侵印度政府机构，包括其外交部。 2022 年底，Black Lotus 实验室的研究人员表示，俄罗斯组织利用 Storm-0156 在阿富汗政府网络和巴基斯坦运营商工作站中现有的立足点。从这个有利位置，Turla 部署了专有恶意软件（标记为 TwoDash 和 Statuezy），窃取了巴基斯坦运营商收集的从凭证到文件等各种数据。 Turla 渗透 Storm-0156 和阿富汗政府网络 “通过这个渠道，他们可能获得了大量数据。这些收获包括对 Storm-0156 工具的洞察、C2 和目标网络的凭证，以及从之前的行动中收集到的泄露数据。”研究人员指出。 Black Lotus 实验室表示，Storm-0156 历史上曾以印度和阿富汗政府网络为目标，并指出 Turla 进入巴基斯坦运营商工作站证明了 APT 运营商如何隐藏其踪迹并试图进行模糊的归因分析。 Black Lotus 实验室表示，到 2024 年中期，Turla 已将重点扩大到使用从巴基斯坦工作站窃取的另外两种恶意软件（Wasicot 和 CrimsonRAT）。此前发现 CrimsonRAT 被用于针对印度的政府和军事目标，研究人员发现 Turla 后来利用他们的访问权限收集了该恶意软件先前部署的数据。 Black Lotus 实验室警告称： “该组织有一个显著特点：他们大胆利用其他黑客组织的 C2 服务器来达到自己的目的。”并指出，该策略允许 Turla 运营者远程获取先前从受感染网络窃取的敏感文件，而无需使用（并可能暴露）他们自己的工具。 Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接 该公司补充道：“在其他威胁组织尚未获取其目标的所有感兴趣数据的情况下，他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限，或使用现有访问权限来扩大收集范围并将其代理部署到网络中。” Black Lotus 实验室表示，在监控 Turla 与被征用的 Storm-0156 C2 节点的互动时，它发现了 Storm-0156 威胁组织先前曾入侵过的阿富汗政府各个网络的信标活动。 研究人员与微软的威胁猎手一起观察了 Turla 与 CrimsonRAT C2 节点子集的交互，这些节点之前曾被用来攻击印度政府和军队。 值得注意的是，Black Lotus 实验室表示，尽管还有更多可用节点，但 Turla 仅与七个 CrimsonRAT C2 进行了接触。“这种选择性接触意味着，虽然他们有能力访问所有节点，但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。” 2024 年 12 月 4 日，微软公司的另一份报告记录了俄罗斯 FSB 黑客组织 Turla（被追踪为 Secret Blizzard）自 2017 年以来如何系统地渗透和劫持至少六个不同国家高级黑客组织的基础设施。 Turla（Secret Blizzard） 和 Storm-0156 攻击链 微软解释说，这符合 Turla 既定的模式，此前它曾接管过伊朗（Hazel Sandstorm）、哈萨克斯坦（Storm-0473）和其他威胁组织的基础设施。微软的分析表明，这种“间谍对间谍”的方法是 FSB 的一种蓄意策略，目的是进行间谍活动，同时将其活动隐藏在其他黑客的行动背后。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Iyhpu2urTa-lpYa4vI_FuQ 封面来源于网络，如有侵权请联系删除

一个俄罗斯黑客组织Romcom利用两个此前未知的漏洞攻击 Windows PC 上的 Firefox 和 Tor 浏览器用户。 防病毒提供商 ESET 将该攻击描述为潜在的“大规模活动”，其目标是欧洲和北美的用户。 俄罗斯黑客通过一个恶意网页传播黑客攻击，这些网页似乎伪装成虚假新闻机构。如果易受攻击的浏览器访问该页面，它可以秘密触发软件漏洞，在受害者的电脑上安装后门。 ESET 警告称，用户无需与该网页进行任何交互。 目前尚不清楚黑客如何传播恶意网页链接。但第一个漏洞（称为CVE-2024-9680）可导致 Firefox 和 Tor 浏览器在正常受限制的进程中运行恶意代码。 黑客利用 Windows 10 和 11 中的第二个漏洞（称为CVE-2024-49039）发动攻击，以便在浏览器之外和操作系统上执行更多恶意代码。秘密下载并安装一个能够监视 PC 的后门，包括收集文件、截屏以及窃取浏览器 cookie 和保存的密码。   Mozilla、Tor 和 Microsoft 都已修补了漏洞。Tor 浏览器基于 Firefox。Mozilla 于 10 月 8 日私下报告了此问题，这两款浏览器都在第二天修补了此漏洞。与此同时，Microsoft于 11 月 12 日修补了另一个漏洞。 如果用户未能及时打补丁，黑客仍可继续利用该攻击。ESET 提供的遥测数据显示，某些国家可能有多达 250 名用户遭遇过该攻击，攻击始于 10 月，甚至可能更早。 ESET将这些攻击与一个名为“RomCom”的俄罗斯黑客组织联系起来，该组织一直专注于网络犯罪和间谍活动。 ESET追踪了该组织一系列的攻击活动： 将两个0day漏洞串联起来，RomCom 便可以利用无需用户交互的漏洞进行攻击。这种复杂程度表明威胁组织有意愿并有手段获得或开发隐身能力。 详细技术报告： https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/ Mzoilla官方漏洞公告： https://blog.mozilla.org/security/2024/10/11/behind-the-scenes-fixing-an-in-the-wild-firefox-exploit/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kutWJlxhfVnDaq3Qtd_QGw 封面来源于网络，如有侵权请联系删除

近日，美国司法部宣布，涉嫌担任勒索软件组织Phobos软件管理员的俄罗斯男子Evgenii Ptitsyn已被从韩国引渡至美国。他被控利用该勒索软件组织策划和实施了涉及全球逾千名受害者的网络攻击，勒索金额超过1600万美元。 这次引渡行动得到了多个国家的协助，包括韩国、日本和欧洲国家的执法机构。美国司法部副部长丽莎·摩纳哥对此表示：“通过全球执法机构的合作，我们向世界证明，无论网络犯罪分子身在何处，都无法逃避正义。” Ptitsyn目前面临13项指控，包括电信欺诈、电信欺诈共谋、计算机欺诈与滥用共谋，以及与黑客和勒索相关的四项敲诈勒索罪和四项故意损害受保护计算机的罪名。 首创“薄利多销”模式的勒索软件组织 Phobos勒索软件首次被发现于2017年末，其名称来源于希腊神话中的恐惧之神。该勒索软件的运行机制与其他勒索软件家族相似：加密受害者的文件，随后要求支付赎金以换取解密密钥。然而，与一些动辄要求数百万美元的高级勒索软件不同，Phobos的赎金金额相对较小，通常在数千美元至数万美元之间。这种“薄利多销”的商业模式使其对中小型组织尤为具有威胁性。 Phobos的受害者覆盖全球，包括医院、学校、地方政府和企业等关键部门。该勒索软件的攻击通常通过以下方式展开： 远程桌面协议（RDP）漏洞利用：攻击者通过扫描互联网中的RDP端口，利用弱密码或未修复的漏洞获得初始访问权限。 钓鱼攻击：通过精心设计的电子邮件欺骗用户点击恶意链接或附件。 内部人员协助：利用企业内部的安全漏洞或合作人员进行渗透。 一旦攻击成功，Phobos会加密受害者的文件并在每个受感染的目录中放置赎金通知，通常包含攻击者的联系信息和支付比特币的说明。 Ptitsyn被捕对Phobos的影响 Ptitsyn以“derxan”和“zimmermanx”等网名活动，据信是Phobos组织的重要管理员之一。他不仅负责开发和维护Phobos，还向其他犯罪分子提供技术支持和指导。其活动范围广泛，直接参与了多起针对政府和企业的勒索攻击。 根据美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）的警告，Phobos自2020年以来，频繁针对美国的州和地方政府服务发动攻击，对社会基础设施构成了严重威胁。 近年来，Phobos活动频率有所下降。根据网络威胁情报公司Recorded Future的数据显示，与Phobos相关的攻击在最近几个月大幅减少，同时另一个使用Phobos变种的勒索软件组织8Base上个月完全停止了活动。这种变化可能与Ptitsyn的落网直接相关。 然而，网络安全专家警告，不排除Phobos组织在调整策略，或以新身份重返网络犯罪的可能性。勒索软件生态系统的复杂性使得犯罪分子可以迅速更换品牌或加入其他组织，继续其非法活动。 国际合作对抗勒索软件 此次引渡俄罗斯勒索软件组织管理员的行动凸显了国际合作在打击跨国网络犯罪中的重要性。近年来，美国及其盟国通过共享情报和联合执法成功抓捕了多个勒索软件组织的核心成员。例如： 2021年，REvil勒索软件组织的一名主要成员在波兰被捕。 2023年，Hive勒索软件组织的服务器被国际联合行动摧毁。 这表明，全球执法机构正在以更加协同的方式应对勒索软件这一日益增长的威胁，国际合作与技术创新才是打击跨国网络犯罪的关键。       转自Freebuf，原文链接：https://www.freebuf.com/news/415580.html 封面来源于网络，如有侵权请联系删除

网络安全公司 ClearSky 警告称，Windows 中一个新修补的day漏洞可通过用户最少的交互（例如删除文件或右键单击文件）被利用。 该0day漏洞编号为 CVE-2024-43451，是一个中等严重程度的漏洞，会影响 MSHTM 引擎，该引擎继续由 Internet Explorer 模式下的 Edge 和其他应用程序通过 WebBrowser 控件使用，从而使它们暴露于困扰该组件的任何安全缺陷。 成功利用 CVE-2024-43451 允许威胁组织窃取受害者的 NTLMv2 哈希，然后通过执行传递哈希攻击使用它来作为目标用户进行身份验证。 微软在 11 月 12 日的安全公告（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43451）中指出：“用户与恶意文件进行最小程度的交互，例如选择（单击）、检查（右键单击）或执行除打开或执行之外的操作，都可能触发此漏洞。” ClearSky 发现了该漏洞并于 2024 年 6 月向微软报告，据该公司称，一些看似无害的操作可能会触发隐藏在 URL 文件中的漏洞，包括删除文件和将文件拖放到另一个文件夹。 ClearSky 观察到 CVE-2024-43451 被疑似俄罗斯黑客在针对乌克兰实体的攻击中利用。 受害者会收到来自受感染的乌克兰政府服务器的钓鱼电子邮件，提示他们更新学历证书。这些电子邮件将受害者引导至从政府官方网站下载的恶意 ZIP 文件。 该档案包含两个文件——一个 PDF 文档和一个 URL 文件——针对两个已知漏洞，即 CVE-2023-320462 和 CVE-2023-360251。该 URL 指向外部服务器以获取两个可执行文件，也旨在利用新披露的0day漏洞。 ClearSky 在一份技术报告中解释道：“当用户通过右键单击、删除或移动 URL 文件与它交互时，漏洞就会被触发。此操作会与攻击者的服务器建立连接并下载更多恶意文件，包括 SparkRAT 恶意软件。” 攻击链 该网络安全公司表示，在 Windows 10 和 Windows 11 上，URL 文件在执行任何这些操作时都会立即与外部服务器建立通信。在 Windows 7、8 和 8.1 上，该漏洞仅在多次尝试后才会触发。 ClearSky 表示，这表明“新发现的漏洞在 Windows 10/11 操作系统上更容易被利用”。 乌克兰计算机应急响应小组 (CERT-UA) 称，CVE-2024-43451 已被追踪为 UAC-0194 的威胁组织利用为0day漏洞，该威胁组织疑似来自俄罗斯。据 ClearSky 称，攻击者使用了与其他团体常见的工具包和技术。 技术报告：https://www.clearskysec.com/wp-content/uploads/2024/11/Zero-day-cve-2024-4351-report.pdf       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tPJInKAx4HZxpk8o98_lTg 封面来源于网络，如有侵权请联系删除  

近日，俄罗斯政府机构和工业实体遭遇了一场名为“ Awaken Likho ”的网络活动攻击活动。 卡巴斯基表示，攻击者现在更倾向于使用合法MeshCentral平台的代理，而不是他们之前用来获得系统远程访问权限的UltraVNC模块。这家俄罗斯网络安全公司详细说明了一场始于2024年6月并至少持续到8月的新活动。该活动主要针对俄罗斯政府机构、其承包商和工业企业。 “ Awaken Likho ”组织，亦称作Core Werewolf或PseudoGamaredon，最初由BI.ZONE于2023年6月曝光，涉嫌针对国防和关键基础设施部门发动网络攻击。据悉，该组织的活动可追溯至2021年8月。其采用的鱼叉式钓鱼攻击手法包括发送伪装成Word或PDF文档的恶意可执行文件，这些文件带有双重扩展名，如“doc.exe”或“.pdf.exe”，使用户仅能看到看似无害的.docx或.pdf后缀。 然而，一旦受害者打开这些文件，便会触发UltraVNC的安装程序，进而导致攻击者能够完全接管受害者的计算机系统。此外，根据F.A.C.C.T.今年5月的报告，Core Werewolf还针对位于亚美尼亚的一个俄罗斯军事基地以及一家从事武器研究的俄罗斯研究所发动了攻击。在这些攻击中，攻击者使用了一种自解压存档（SFX）技术，以隐蔽的方式安装UltraVNC，同时向受害者展示看似无害的诱饵文档。 卡巴斯基最新揭露的攻击链条中，攻击者利用7-Zip创建了一个SFX存档文件。当受害者打开该文件时，会执行一个名为“MicrosoftStores.exe”的程序，进而解压并运行一个AutoIt脚本，最终激活开源的MeshAgent远程管理工具。卡巴斯基解释称，这一系列操作使得攻击者能够在受害者的系统中长期潜伏，并通过计划任务定时执行命令文件，以此来启动MeshAgent并与MeshCentral服务器建立连接。 据安全专家分析，“ Awaken Likho ”团伙使用了定制化的恶意软件和零日漏洞利用，以实现对目标系统的深度渗透。此外，他们还运用了复杂的网络钓鱼和社会工程学技巧，诱导目标用户点击恶意链接或下载病毒文件。 值得注意的是，该团伙的攻击目标主要集中在俄罗斯政府的敏感部门和关键基础设施领域。这些攻击不仅可能导致政府机密的泄露，还可能对国家安全和社会稳定造成严重影响。 为了应对这一威胁，俄罗斯政府已经加强了对网络安全的投入，并提升了相关机构的防御能力。同时，国际间的网络安全合作也在不断加强，以共同应对跨国网络攻击的挑战。 专家建议，政府机构和个人用户都应提高网络安全意识，定期更新系统和软件补丁，避免点击不明链接或下载来源不明的文件。此外，加强数据备份和恢复策略也是防范网络攻击的重要措施。 参考来源：https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html     转自Freebuf，原文链接：https://www.freebuf.com/news/412331.html 封面来源于网络，如有侵权请联系删除  

乌克兰最新报告显示，俄罗斯在2024年上半年针对乌克兰的网络攻击策略中，倾向于间谍活动而非破坏行动，展现了莫斯科针对基辅网络攻击性质的演变。 2024年，网络战场发生了变化，俄罗斯黑客组织采用了更为隐秘和长期的策略。与前几年大规模的基础设施攻击不同，俄罗斯网络行动人员转向了间谍活动，主要针对军事和关键基础设施目标，以支援俄罗斯对乌克兰的持续战争。 虽然网络事件总体上有所增加，但严重程度较高的事件数量却有所下降。这一转变标志着策略上的变化，从广泛的破坏性网络攻击转向了更为集中和持续的渗透行动，其目的是收集情报。 攻击背后的数据 乌克兰计算机应急响应小组（CERT-UA）在9月23日发布报告，揭示了这一重点转移。 2024年上半年共发生了1739起网络事件，比2023年下半年增加了19%。然而，重大事件的数量下降了90%。2024年上半年仅报告了3起重大事件，远低于2023年下半年的31起。高危事件也大幅下降，降幅高达71%。而中低级别事件则分别增加了32%和75%。 这些数据表明，虽然网络攻击的总体频率有所增加，但攻击者的战术已经转向了较低调的活动，旨在避免引起注意。这些低危事件通常涉及恶意软件传播、间谍活动以及维持对被攻陷系统的访问，而不是造成即时的、可见的破坏。 针对性的间谍活动和隐秘行动 2022年和2023年，俄罗斯黑客集中攻击乌克兰的关键基础设施，试图瘫痪政府机构、能源供应商和互联网服务提供商。然而，乌克兰系统的快速恢复使这些攻击未能达到预期的长期目标。2024年，间谍活动的增加则显示出一种更加深思熟虑的策略。 今年，像UAC-0184和UAC-0020（即Vermin黑客组织）这样的团体尤其活跃。这些团体与俄罗斯情报部门有密切联系，专门从事网络间谍活动，常通过网络钓鱼攻击和恶意软件渗透乌克兰的敏感系统。 例如，UAC-0184利用Signal等即时通讯应用程序伪装成可信联系人，攻击乌克兰国防部队成员，分发恶意软件。一旦该恶意软件被部署，黑客便能够监控受害者的通讯、窃取数据，并对被攻陷的系统进行长期控制。 这种从公开破坏性攻击转向隐秘间谍活动的转变，标志着俄罗斯网络战略进入了一个新阶段。其关注重点从短期破坏转为长期情报收集，意在为军事行动提供支持。CERT-UA的报告还重点解释了黑客如何通过网络行动收集对动能军事打击（如导弹袭击）的反馈。 关键基础设施依然是重点 虽然间谍活动占据了中心位置，对乌克兰关键基础设施的攻击仍在持续。报告指出，自2023年下半年以来，乌克兰能源部门遭受的攻击增加了一倍多，黑客越来越多地瞄准用于电力、供热和供水设施的工业控制系统（ICS）。 2024年3月，UAC-0002组织发动了一次重大的供应链攻击。该组织与俄罗斯占领的卢甘斯克地区的执法部门有联系。黑客利用至少20家能源公司软件中的漏洞，入侵工业控制系统，并在网络内部进行横向移动。 这种供应链攻击通过攻击一个共同的服务提供商，从而入侵多个目标组织。在3月的这次事件中，UAC-0002攻击了三个供应链，向多家能源公司传播了恶意软件和后门程序。黑客使用诸如LOADGRIP和BIASBOAT等专门工具，成功获取了关键系统的访问权限，并可能进一步升级攻击，与对乌克兰基础设施的物理打击相配合。 聊天工具账号盗窃：网络攻击新趋势 2024年另一个显著趋势是即时通信账号盗窃的增加。像WhatsApp和Telegram这样广泛使用的通信平台，成为了俄罗斯黑客的主要目标。 例如，UAC-0195小组使用网络钓鱼活动攻击了数千个即时通信账号。这些被攻陷的账号随后被用于一系列恶意活动，包括传播恶意软件、进行间谍活动以及实施金融诈骗。 在一个案例中，黑客假扮为一项纪念一位乌克兰阵亡士兵的请愿活动组织者，诱导受害者访问一个伪装成乌克兰总统官方网站的假网站，要求用户通过WhatsApp认证。这种网络钓鱼策略使黑客能够将其设备添加到受害者的WhatsApp账号中，从而获取个人消息、文件和联系人。 这一策略也延伸到了Telegram，黑客通过类似的方法诱导用户参与“艺术竞赛投票”，再次获得了未经授权的账号访问权限。通过这些账号访问，黑客可以冒充账号持有者，进一步传播网络钓鱼链接，甚至从高价值目标中窃取敏感信息。 这些最新发现是在乌克兰刚刚禁止在任何政府、军队或关键基础设施相关设备上使用Telegram信使应用几天后公布的。这一果断行动是出于对其在网络间谍活动中脆弱性的日益担忧。9月19日，乌克兰国家网络安全协调中心（NCSCC）开会，强调了这款广泛使用的应用如何从言论自由的工具转变为战争武器。 网络钓鱼攻击和恶意软件传播 网络钓鱼仍然是俄罗斯黑客的重要工具。 2024年初，UAC-0006，一个以金融为动机的组织，继续其针对财务部门员工的网络钓鱼活动。这些活动经常使用多语言档案（即根据使用的软件不同，显示为不同内容的文件）来传播像SmokeLoader这样的恶意软件。 一旦部署，SmokeLoader允许攻击者安装其他恶意软件，如TALESHOT，当银行应用程序打开时，它会截取屏幕截图。这种恶意软件使黑客能够更深入地了解受害者的活动，并访问重要的财务数据。在某些情况下，黑客甚至编辑或创建虚假发票，以从目标组织中窃取资金。 UAC-0006组织在2024年3月短暂暂停了行动，但在5月重新展开了攻击。它们注册了新的域名以继续网络钓鱼活动，并重新控制之前被攻陷的系统。 乌克兰的网络弹性 尽管网络攻击数量增加，乌克兰的网络防御展现了显著的弹性。CERT-UA与国家特殊通信和信息保护局（SSSCIP）合作，在应对这些威胁方面取得了重大进展。他们的努力使得高危事件大幅减少，尽管总体攻击数量在上升。 报告将这种成功归功于增强的可见性和与国际合作伙伴的合作。检测能力的提高，加上各组织的更好意识，使得乌克兰能够更快速地应对新兴威胁。这种合作包括与CERT-UA的合作伙伴共享网络威胁情报，这有助于识别并减轻大量攻击。 然而，报告也警告，随着战争的持续，俄罗斯黑客的能力也在不断增长。供应链攻击的复杂性日益增加，以及持续的网络钓鱼攻击威胁，意味着乌克兰的网络防御策略将一再面临考验。     转自安全内参，原文链接：https://www.secrss.com/articles/68105 封面来源于网络，如有侵权请联系删除

安全内参9月12日消息，乌克兰国家安全局（SBU）拘留了一名当地居民，怀疑他在关键基础设施附近安装了监控摄像头，涉嫌帮助俄罗斯情报部门监控这些地点。 乌克兰安全局在周一的声明中指出，哈尔科夫市的一名居民通过社交媒体应用Telegram与俄罗斯军事情报局（GRU）取得联系，被后者招募，承诺可以轻松获取金钱报酬。 乌公民涉嫌为俄在敏感地区安装摄像头 据报道，乌克兰执法部门在首都基辅逮捕了这名涉嫌为俄罗斯从事间谍活动的嫌疑人。他在基辅租用了几处高层公寓，这些公寓俯瞰着当地的能源设施。 乌克兰安全局透露，这名嫌疑人利用这些公寓，安装了配备远程访问软件的视频摄像头，疑似帮助俄罗斯实时监控乌克兰的关键基础设施。 俄罗斯可能通过这些摄像头记录下来的画面，评估近期对基辅地区空袭的效果，并确定乌克兰防空系统的具体位置。 乌克兰国家安全局还表示，该嫌疑人在基辅设立了这些“监控点”后，以探望父母为借口返回哈尔科夫，但其真实目的则是为了在一条战略铁路线上纵火焚烧一个继电器柜。 安全部门强调，他们全程监控了这名嫌疑人的行动，最终在他位于基辅的一处租赁公寓中将其拘捕。当时，嫌疑人正准备安装新的闭路电视（CCTV）摄像头，以记录对基辅的空袭情况。 在搜查过程中，执法人员没收了他的手机和摄像设备，内含其为俄罗斯从事“情报和破坏活动”的相关证据。 该嫌疑人目前已被拘留，乌克兰安全局表示，他将面临终身监禁的处罚，并可能被没收全部财产。 摄像头已成为广泛使用的间谍工具 闭路电视摄像头已成为俄罗斯和乌克兰广泛用于间谍活动的工具。这些设备通常被安装在关键基础设施附近，或用于定位军队、防空系统及军事装备的位置。 今年8月，俄罗斯当局警告生活在面临乌克兰进攻风险地区的居民，要求他们停止使用监控摄像头，担心这些设备可能会被用作情报收集的工具。 根据俄罗斯内务部（MVD）的一份声明，乌克兰军队正在远程连接未经保护的闭路电视摄像头，“监控从私人庭院到具有战略意义的道路和公路的一切。” 今年1月，乌克兰安全官员曾表示，他们拆除了两台被俄罗斯黑客入侵、用于监视基辅防空部队和关键基础设施的在线摄像头。 这些摄像头原本安装在基辅的住宅楼上，最初用于居民监控周边区域和停车场。但在黑客入侵后，俄罗斯情报部门据称获得了远程访问权限，改变了摄像头的监控角度，并将其连接至YouTube，直播了敏感画面。 这些影像极有可能帮助俄罗斯在对乌克兰发动的一次大规模导弹袭击中，引导无人机和导弹精准打击基辅。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/gWrlJcV8hL3jBZlrBJ-G0g 封面来源于网络，如有侵权请联系删除