HackerNews 编译，转载请注明出处： 纽约网络安全公司Intezer的研究人员在10月初发现了这一活动，他们识别出一个上传至VirusTotal的恶意XLL文件，文件上传地址最早显示为乌克兰，后又出现在俄罗斯。该文件名为《敌军计划打击目标》，一旦在 Excel 软件中打开，便会自动执行恶意代码。 文件运行后，会下载一款此前未被记录在案的后门程序，研究人员将其命名为EchoGather。这款后门程序允许攻击者收集目标设备的系统信息、执行相关指令并传输文件，窃取的数据会被发送至一台伪装成外卖网站的命令与控制服务器。 事件披露 Intezer在上周五发布的一份报告中指出，为诱使受害者上钩，Goffee组织的黑客使用俄语编写钓鱼诱饵，其中包含一份面向俄军高级军官的虚假新年音乐会邀请函。不过这份文档存在明显的人工智能生成痕迹，不仅有多处语言错误，文档上仿制的俄罗斯双头鹰国徽也严重失真，看上去更像一只普通鸟类，完全没有国徽的辨识度。 另一款钓鱼诱饵则伪装成俄罗斯工业和贸易部副部长的信函，要求收件方提供与国防合同相关的定价证明文件。该信函的接收对象为大型国防及高科技企业，Intezer表示，这些企业很可能就是黑客的预定攻击目标。 目前尚不清楚此次攻击行动的成功率究竟如何，也无法确定黑客的具体窃取目标。 研究人员表示：“该威胁攻击者显然在积极探索新的反侦测手段。不过其攻击手段在技术执行和语言准确性两方面仍存在明显缺陷，表明他们的攻击技术尚处于发展阶段。” Goffee黑客组织 Goffee组织又名Paper Werewolf，至少从2022年起就处于活跃状态。尽管其确切背景尚未得到证实，但研究人员认为该组织具有亲乌克兰倾向。此前关于该组织的相关报告大多出自俄罗斯本土的网络安全企业。 今年4月，卡巴斯基实验室曾发布报告称，Goffee组织利用定制恶意软件，从接入俄罗斯相关系统的U盘里窃取敏感文件。8月，俄罗斯网络安全公司BI.ZONE披露，该组织在针对俄罗斯机构的攻击中，同时利用了一个零日漏洞和压缩软件WinRAR的一个已知漏洞。 虽然情报窃取仍是该组织的首要目标，但BI.ZONE此前也曾指出，该组织至少有过一次在已入侵的网络中实施运营中断攻击的记录。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件详情 丹麦国防情报局在一份新闻稿中指出：“经评估，2024 年对丹麦某自来水厂发动破坏性网络攻击的亲俄组织 Z-Pentest与俄罗斯政府存在关联；2025年丹麦市镇及地区议会选举前夕，对丹麦境内网站发起DDoS攻击的无名者NoName057(16)组织，同样与俄方存在关联。俄罗斯政府将这两个组织作为针对西方混合战争的抓手，意在通过攻击制造目标国的社会不安，并报复这些国家对乌克兰的支持。” 混合战争是一种国家结合军事和非军事手段来削弱或破坏对手，而不宣战的策略。它通常混合了以下元素： 网络行动（黑客攻击、蓄意破坏、数据泄露） 虚假信息与舆论宣传 经济施压（规避制裁、能源牵制） 政治干预（操纵选举、影响力渗透） 利用代理人（黑客激进分子、雇佣兵、犯罪集团） 有限度或可否认的军事行动 混合战争的目的是制造局势不确定性、扰乱社会秩序、削弱公众对政府机构的信任、迫使对手付出代价，同时保持行动的 “合理推诿空间”，避免引发常规武装冲突。 丹麦情报部门指出，俄方借选举之机发动攻击以博取公众关注，这一伎俩在欧洲多国均有出现。自2022年俄罗斯对乌克兰发起特别军事行动以来，丹麦始终通过制裁、军事援助、人员培训及财政支持等方式为乌克兰提供援助。 丹麦国防大臣谴责上述网络攻击行为，称其“完全不可接受”。他特别提及2024年12月发生在丹麦克厄市的一起事件——黑客篡改了当地水务设施的水泵压力参数，最终导致管道爆裂。 伦德・鲍尔森表示：“这是一个明确的信号——我们一直警惕的混合战，如今已真实发生在我们身边。这一事件再次让人们聚焦欧洲当前所处的严峻局势。俄罗斯方面在丹麦境内实施混合攻击，是绝对不可接受的行径。” 丹麦官员表示，近期发生的多起网络攻击及无人机侵扰事件虽未造成大规模破坏，但暴露了本国在安全防护方面的重大漏洞。他们坦言，丹麦目前尚未做好充分准备，应对来自俄罗斯的混合攻击。 今年3月，受欧洲地区网络威胁升温影响，丹麦已将本国电信行业的网络间谍威胁等级从中等上调至高级。 丹麦社会保障局发布了一份针对电信行业的全新网络威胁评估报告，重点强调了欧洲电信企业面临的风险隐患。 国家级黑客组织常将电信运营商作为网络间谍活动的目标，通过入侵其系统获取用户数据、监控通信内容，并可能以此为跳板发动后续网络或实体攻击。 该评估报告指出，在针对海外电信行业的网络攻击中，国家级黑客已展现出对电信基础设施及通信协议的深厚技术掌握能力。 丹麦关键基础设施计算机安全事件应急响应小组（SektorCERT）曾通报，2023年5月，丹麦遭遇了该国历史上规模最大的关键基础设施网络攻击事件。 首轮攻击于当年5月11日发起，短暂停歇后，第二轮攻击在5月22日接踵而至，该应急响应小组也是在这一天监测到攻击活动。 据该机构披露，共有22家能源基础设施企业的网络系统遭到威胁行为体入侵，其中11家企业的系统被直接攻破。攻击者利用了丹麦众多关键基础设施运营商使用的Zyxel防火墙中的零日漏洞实施攻击。 专家分析认为，此次攻击由多个威胁行为体协同发起，其中至少有一个团伙与俄罗斯关联组织Sandworm存在渊源。 国际态势 近期，美国网络安全与基础设施安全局及多国合作伙伴发出预警：亲俄黑客激进组织正对全球范围内的关键基础设施展开积极攻击。 诸如CARR、Z-Pentest及NoName057(16)等亲俄黑客激进组织，常利用安全防护薄弱的虚拟网络控制台连接，入侵关键基础设施中的运营技术设备，造成不同程度的破坏，部分攻击甚至引发实体损伤。这些组织的攻击目标主要集中在水务、食品、农业及能源领域，其攻击手段的技术复杂度和攻击造成的影响，均低于高级持续性威胁组织。 FBI、CISA、NSA及多国合作机构联合发布的一份预警报告指出：“此次网络安全预警是对2025年5月6日CISA联合情况说明书《降低运营技术网络威胁的主要缓解措施》，以及欧洲刑警组织网络犯罪中心‘东木行动’内容的补充。在上述两份文件中，CISA、FBI、美国能源部、美国环境保护署与欧洲刑警组织网络犯罪中心，曾联合披露针对全球及美国关键基础设施运营技术和工业控制系统的网络攻击事件相关信息。” CARR曾对美国水务系统及洛杉矶一家肉类加工厂发动攻击，造成泄漏、外溢等实体损害。有证据显示，这些攻击活动由俄罗斯联邦武装力量总参谋部情报总局授意资助，攻击目标直指关键基础设施与选举场所。一名化名为Cyber_1ce_Killer的俄罗斯总参谋部情报总局关联人员，不仅直接指挥CARR的攻击目标选择、出资雇佣DDoS服务，其本身也是该组织的核心成员。 美国国务院已悬赏征集相关线索：提供CARR组织成员信息者，最高可获200万美元赏金；提供NoName057(16)组织关联人员线索者，赏金上限高达1000万美元。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据卡巴斯基称，与”论坛巨魔行动” 相关的威胁行为者被确认为近期一系列针对俄罗斯境内人士的钓鱼攻击的幕后黑手。 这家俄罗斯网络安全厂商表示，其在2025年10月检测到这一新活动。该威胁行为者的来源目前尚不清楚。 “春季的网络攻击主要针对组织，而秋季的活动则瞄准了特定的个人：在俄罗斯主要大学和研究机构工作的政治学、国际关系和全球经济领域的学者，” 安全研究员 Georgy Kucherin 说。 “论坛巨魔行动”指的是一系列利用Google Chrome浏览器中一个零日漏洞 进行复杂钓鱼攻击的活动，旨在传播LeetAgent后门 和名为Dante的间谍软件植入程序。 最新的攻击浪潮同样始于伪装成 “俄罗斯科学电子图书馆” 发送的钓鱼邮件，发件地址为 “support@e-library[.]wiki”。该域名注册于2025年3月，比攻击活动开始早了六个月，这表明攻击准备工作已经进行了一段时间。 卡巴斯基指出，这种策略性的域名老化处理是为了避免因使用新注册域名发送邮件而引发通常的危险信号。此外，攻击者还在虚假域名上托管了合法eLibrary首页的副本，以维持骗局。 这些邮件引导潜在目标点击指向恶意网站的嵌入链接，以下载所谓的”抄袭报告”。一旦受害者照做，一个命名格式为 “<姓氏><名字><父称>.zip” 的ZIP压缩包便会下载到其设备上。 更重要的是，这些链接设计为一次性使用，意味着任何后续尝试访问该URL的操作都会显示一条俄语消息：”下载失败，请稍后再试”。如果用户从非Windows平台尝试下载，则会被提示”请在Windows电脑上重试”。 “攻击者还针对他们的目标——该领域的特定专业人士——精心个性化设计了钓鱼邮件，” 该公司表示。”下载的压缩包以受害者的姓氏、名字和父称命名。” 压缩包内含一个同名Windows快捷方式文件。当此LNK文件被执行时，会运行一个PowerShell脚本，从远程服务器下载并启动一个基于PowerShell的载荷。随后，该载荷会联系一个URL以获取最终阶段的DLL文件，并通过COM劫持实现持久化。同时，它还会下载并向受害者展示一个诱饵PDF文件。 最终的有效载荷是一个名为 Tuoni 的命令与控制及红队框架，使威胁行为者能够远程访问受害者的Windows设备。 “自2022年起，ForumTroll就一直在针对俄罗斯和白俄罗斯的组织和个人，” 卡巴斯基表示。”鉴于这段漫长的时间线，该APT组织很可能会继续针对这两个国家内感兴趣的实体和个人。” 此次披露之际，Positive Technologies详细介绍了两个威胁集群的活动：QuietCrabs（一个被怀疑是中国黑客组织，亦被追踪为UTA0178和UNC5221）和Thor（后者似乎自2025年5月起参与了勒索软件攻击）。 研究发现，这些入侵集合利用了Microsoft SharePoint、Ivanti Endpoint Manager Mobile、Ivanti Connect Secure 以及 Ivanti Sentry 中的安全漏洞。 QuietCrabs发起的攻击利用初始访问权限部署ASPX Web Shell，并用其传播能够下载并执行KrustyLoader 的JSP加载器，进而投放Sliver植入程序。 “Thor是一个在2025年首次被观察到攻击俄罗斯公司的威胁组织，” 研究人员 Alexander Badayev、Klimentiy Galkin 和 Vladislav Lunin 说。”作为最终载荷，攻击者使用LockBit和Babuk勒索软件，以及Tactical RMM和MeshAgent 来维持持久性访问。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  NoName057(16)，亦被称为05716nnm或NoName05716，已成为针对北约成员国和欧洲组织的重要威胁。 该组织起源于俄罗斯青年环境研究与网络监控中心内的一个秘密项目，自2022年3月以来一直积极实施分布式拒绝服务攻击。 该组织在俄罗斯联邦青年事务署领导层的支持下运作，并遵从俄罗斯政府利益的指导，已将自己定位为反对俄罗斯地缘政治目标的西方机构的主要网络威胁。 该组织的主要攻击能力依赖于DDoSia项目，这是一个通过Telegram频道招募志愿者的众包僵尸网络。 志愿者会获得易于使用的基于Go语言的攻击工具，并因其参与而获得加密货币奖励。这种基于志愿者的模式在针对不同目标扩大攻击规模方面已被证明非常有效。 DDoSia与传统僵尸网络的不同之处在于其简单性，使得技术专长有限的个人也能参与协调攻击。 到2024年，NoName057(16)通过与其他亲俄罗斯的黑客行动主义团体合作扩大了影响力，其中尤其值得注意的是”俄罗斯重生网络军”，该组织最终促成了Z-Pentest于2024年9月成立。 Picus Security的分析师发现了支撑DDoSia攻击基础设施的复杂两阶段通信协议。 技术机制 系统首先通过向命令与控制服务器的 /client/login 端点发送HTTP POST请求进行客户端认证，客户端在此过程中传输加密的系统信息，包括操作系统详情、内核版本和CPU规格。 在收到包含UNIX时间戳的200 OK响应（表明认证成功）后，客户端进入第二阶段，通过向 /client/get_targets 发送GET请求来获取目标配置。 该运营基础设施采用了旨在规避检测和缓解的弹性多层架构。第一层由面向公众的命令与控制服务器组成，直接与DDoSia客户端通信，这些服务器的平均寿命约为9天，不过许多会每日轮换。 第二层后端服务器维护核心逻辑和目标列表，其访问权限通过访问控制列表严格控制，仅允许来自授权第一层服务器的连接。 这种隔离确保了即使第一层节点被识别和封锁，核心基础设施仍能保持运行。 分析显示其运营节奏很快，平均每天攻击50个独特目标，且活动模式与俄罗斯标准工作时间高度相关。 乌克兰遭受的攻击占比最大，为29.47%，其次是法国（6.09%）、意大利（5.39%）、瑞典（5.29%）和德国（4.60%）。政府部门占攻击目标的41.09%，交通和电信部门也受到严重影响。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队披露了一项”长达数年”的俄罗斯国家支持网络攻击行动的细节，该行动在2021年至2025年间针对西方关键基础设施。 此次行动的目标包括西方各国的能源行业组织、北美和欧洲的关键基础设施提供商，以及拥有云托管网络基础设施的实体。该活动被高度确信归因于俄罗斯总参谋部情报总局（GRU），其攻击基础设施与APT44（也称为FROZENBARENTS、Sandworm、Seashell Blizzard和Voodoo Bear）存在重叠。 亚马逊表示，该活动的一个显著特点是利用管理界面暴露的配置不当客户网络边缘设备作为初始入侵向量，而N日漏洞和零日漏洞利用活动在此期间有所减少——这表明针对关键基础设施的攻击策略发生了转变。 亚马逊综合安全首席信息安全官（CISO）CJ·摩西表示：”这种战术调整使得攻击者能够实现相同的操作结果，即窃取凭据并横向移动到受害组织的在线服务和基础设施中，同时减少了攻击者自身的暴露和资源消耗。” 已发现这些攻击在五年期间利用了以下漏洞和策略： 2021-2022年：利用WatchGuard Firebox和XTM漏洞（CVE-2022-26318），并针对配置不当的边缘网络设备。 2022-2023年：利用Atlassian Confluence漏洞（CVE-2021-26084 和 CVE-2023-22518），并持续针对配置不当的边缘网络设备。 2024年：利用Veeam漏洞（CVE-2023-27532），并持续针对配置不当的边缘网络设备。 2025年：持续针对配置不当的边缘网络设备。 根据亚马逊的说法，此次入侵活动主要针对企业路由器和路由基础设施、VPN集中器和远程访问网关、网络管理设备、协作和wiki平台以及基于云的项目管理系统。 考虑到威胁行为者有能力将自己战略性地部署在网络边缘以截取传输中的敏感信息，这些努力很可能是为了大规模窃取凭据。遥测数据还发现了一些被描述为针对亚马逊网络服务（AWS）基础设施上托管的配置不当客户网络边缘设备的协同攻击尝试。 “网络连接分析显示，由攻击者控制的IP地址与运行客户网络设备软件的受入侵EC2实例建立了持久连接，”摩西说。”分析揭示了与跨多个受影响实例的交互式访问和数据检索相一致的持久连接。” 此外，亚马逊表示观察到针对受害组织在线服务的凭据重放攻击，作为试图更深入渗透目标网络的一部分。尽管评估认为这些尝试并未成功，但它们进一步证实了上述假设，即对手正在从受入侵的客户网络基础设施中窃取凭据，用于后续攻击。 整个攻击过程如下： 入侵托管在AWS上的客户网络边缘设备。 利用本机数据包捕获功能。 从截获的流量中收集凭据。 针对受害组织的在线服务和基础设施重放凭据。 建立持久访问以进行横向移动。 凭据重放攻击的目标遍及北美、西欧和东欧以及中东的能源、技术/云服务和电信服务提供商。 “攻击目标显示了对能源行业供应链的持续关注，包括直接运营商和有权访问关键基础设施网络的第三方服务提供商，”摩西指出。 有趣的是，该入侵集群的基础设施（91.99.25[.]54）与Bitdefender追踪的另一个名为”Curly COMrades”的集群存在重叠，该集群被认为自2023年底以来一直与俄罗斯利益保持一致。这增加了两种集群可能代表GRU开展的更广泛行动中互补操作的可能性。 摩西说：”这种潜在的操作分工——一个集群专注于网络访问和初始入侵，另一个处理基于主机的持久化和逃避——符合GRU由专门子集群支持更广泛行动目标的运作模式。” 亚马逊表示已识别并通知了受影响的客户，同时阻止了针对其云服务的活跃威胁行为者操作。建议组织审计所有网络边缘设备是否有异常的数据包捕获工具，实施强身份验证，监控来自意外地理位置的认证尝试，并密切关注凭据重放攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，组织松散的支持俄罗斯的黑客行动团体一直在利用暴露的虚拟网络计算连接，入侵多个行业的运营技术系统。 根据美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）及其他国内外合作伙伴发布的一份新报告，这些攻击是近期一波技术含量低但具有破坏性的入侵活动的一部分，影响了美国水处理、食品生产和能源领域的实体。 报告撰写机构指出，“俄罗斯重生网络军”（CARR）、”Z-Pentest”、”NoName057(16)”以及”Sector16″等组织正在使用简单的侦察工具和常见的密码猜测技术，来访问面向互联网的人机界面。 尽管他们的活动水平不如国家支持的威胁组织先进，但在某些情况下已导致实际影响。 CISA表示，这些黑客行动分子通常追求的是曝光度而非战略优势，经常夸大他们在网上公开的事件规模。 即便如此，在攻击者篡改参数、禁用警报或重启设备后，运营商仍面临暂时的监控失灵以及代价高昂的手动恢复工作。 该报告概述了自2022年以来，几个亲俄黑客团体如何扩张，其中一些还得到了与俄罗斯国家有关联组织的间接或直接支持。 CARR和NoName057(16)在2024年组建Z-Pentest之前曾广泛合作，而Sector16则在2025年初通过类似联盟出现。每个团体都依赖广泛可用的工具来扫描端口、暴力破解弱密码、录制被入侵系统的屏幕截图，并在网上传播。 给运营商的建议措施 报告强调，工业和运营技术的所有者应加强系统暴露面管理和认证措施。建议的措施包括： 减少运营技术资产对公共互联网的访问 采用更强的资产管理，例如映射数据流 使用强身份验证，在可能的情况下包括多因素身份验证 报告还强调了网络分段、严格的防火墙策略、软件更新以及允许在系统受损时快速手动操作的应急计划的重要性。 报告警告称，发现存在弱凭证的暴露系统的组织应假定已遭入侵，并立即启动事件响应。 尽管这些攻击仍然相对简单，但报告撰写机构警告称，持续的活动可能会导致更严重的后果。 “本报告中强调的亲俄黑客行动团体已表现出对脆弱系统造成实际损害的意图和能力，” CISA网络安全执行助理局长尼克·安德森警告说。 “除了实施建议的缓解措施并严格验证其安全控制外，我们呼吁所有运营技术设备制造商优先考虑安全设计原则——因为从一开始就构建安全性对于降低风险和保护国家最重要的系统至关重要。” 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯威胁行为者正发起新一轮钓鱼攻击活动，通过伪造欧洲大型安全会议的相关信息，暗中窃取受害者的云服务凭证。 攻击者发送的邀请函看似正规，往往与贝尔格莱德安全会议、布鲁塞尔印太对话会等会议相关联，引导目标用户进入仿冒会议主办方搭建的精致注册页面。 在这一专业伪装的背后，攻击者会将用户导向恶意的微软 365 及谷歌账户登录流程，以此获取对受害者电子邮件与文件的长期访问权限。 沃莱克西蒂安全分析师确认，这些攻击活动与代号为UTA0355的俄罗斯黑客组织有关。该组织在 2025 年持续优化对开放授权协议与设备代码的滥用手段。 该黑客组织并不会在初始阶段发送明显带有恶意的链接，而是先通过电子邮件、即时通讯软件 WhatsApp 或 Signal 建立信任关系，随后再诱导受害者进入看似常规的单点登录 “注册” 流程。 在很多情况下，就连发送钓鱼邮件的账户和即时通讯账号，都是攻击者从真实的政策研究机构或学术网络中攻陷的合法账号。 一旦目标用户点击链接，bsc2025[.]org、brussels-indo-pacific-forum[.]org等仿冒会议网站就会要求用户输入 “企业邮箱”，随后跳转至伪造的微软官方登录页面。 攻击者的核心伎俩在于，从浏览器的网址链接中捕获 OAuth 令牌与设备代码，并对这些信息进行复用。 在部分攻击案例中，攻击者还会以 “完成注册流程” 为借口，要求用户将完整的登录网址粘贴回聊天窗口。 钓鱼攻击得手后，入侵者的技术操作痕迹隐蔽但条理清晰。UTA0355 组织通常会在微软企业身份认证平台（Microsoft Entra ID）中注册一台新设备，并盗用受害者真实的设备名称，以此混入目标机构的资产清单，躲避监测。 攻击者会通过代理节点发起访问请求，部分请求还会携带安卓系统的用户代理字符串，与受害者实际使用的硬件设备并不匹配。这一特征也意味着，对系统日志的细致核查至关重要。 在多数安全信息与事件管理平台（SIEM）中，可通过设置以下简单检测规则标记此类异常匹配情况： SigninLogs | where DeviceDetailOperatingSystem startswith "Android" | where DeviceDetailDisplayName has "iPhone" 上述检测逻辑也可转化为基于 Python 语言的日志筛选脚本： if "Android" in ua and "iPhone" in device_name: flag_suspicious(session_id) 一份完整的技术分析报告指出，此类攻击中真正的 “恶意软件” 并非传统的二进制程序，而是被武器化的 OAuth 协议与设备代码登录流程。 攻击的 “有效载荷” 其实是用户在操作过程中提交的授权许可与各类令牌。凭借这些信息，攻击者能够获得应用程序编程接口（API）层面的权限，访问受害者的邮箱、文件及身份数据，且这一过程基本不会被终端安全工具察觉。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据车主及经销商反馈，俄罗斯境内数百辆保时捷汽车因原厂搭载的卫星安全系统故障陷入无法行驶的状态。 经销商集团Rolf表示，俄罗斯多个城市的车主反映，其保时捷车辆在失去卫星防盗模块连接后，发动机突然熄火、燃油供应中断，所有车型均面临自动锁止风险。据悉，该故障由车载模块——车辆追踪系统引发。 俄罗斯媒体俄新社指出，这一事件暴露出，任何一款保时捷汽车都可通过其原厂防盗系统实现强制锁止。该媒体建议，可通过拆卸并重置防盗装置来解决这一问题。 Rolf向俄新社透露，受原厂卫星安全系统故障影响，车主的维修需求显著增加，自11月28日起，维修订单量出现激增。 该公司服务总监尤利娅・特鲁什科娃表示：“目前，所有车型及燃油动力车型均出现连接中断问题，任何一辆车都有可能被锁止。现阶段，可通过重置并拆卸原厂防盗装置来解除锁止。我们正在持续调查故障原因，同时联系技术人员研究解锁车辆的可行方案。” Rolf的一名代表向俄新社透露，所有保时捷车型均受此次故障波及，存在自动锁止的可能性。该代表推测，此次系统中断或为蓄意人为操作，但目前尚无相关证据佐证这一说法。 据俄罗斯保时捷迈Macan俱乐部透露，部分车主通过关闭或重启车辆追踪系统恢复了车辆正常使用，另有部分车主通过断开车辆电池数小时的方式解决了问题。 Rolf方面表示，技术专家仍在调查故障根源。保时捷俄罗斯分公司及全球总部均未对此事作出回应。值得注意的是，自2022年俄乌冲突爆发后，保时捷已暂停在俄的汽车销售及运营业务，但仍持有三家未能成功出售的本地子公司。 此次事件凸显出，当联网汽车安全系统成为单点故障源时，其本身存在的脆弱性及潜在风险。保时捷这款卫星互联车辆追踪系统模块的一次故障，就导致数百辆汽车陷入瘫痪，可见数字控制系统如今对车辆物理安全及行驶能力的深度影响。 尽管目前没有证据表明此次故障是蓄意网络攻击所致，但这一情况也凸显出此类系统对威胁攻击者的吸引力。一旦远程锁车功能遭到协同攻击，可能导致大规模车队瘫痪，引发公共安全隐患，甚至被用作胁迫手段或地缘政治施压工具。 这一事件应成为汽车行业的一记警钟：安全关键部件必须具备抗风险能力与故障防护设计，且在研发阶段就应预设远程系统可能发生故障或遭攻击的情况。当相关技术足以让行驶中的车辆直接停驶时，完善的应急响应机制、清晰的信息沟通渠道以及对故障根源的透明披露，是维系公众信任的关键所在。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为 RomCom 的恶意软件家族背后的威胁行为者，通过一款名为 SocGholish 的 JavaScript 加载器，针对美国一家土木工程公司发起攻击，旨在分发 Mythic Agent 恶意软件。 “这是首次观察到 RomCom 有效载荷通过 SocGholish 进行分发，” Arctic Wolf Labs研究员雅各布・费尔斯在周二发布的报告中表示。 该活动被中高置信度归因于俄罗斯联邦武装力量总参谋部总局（即格鲁乌，GRU）的 29155 部队。这家网络安全公司称，受攻击实体过去曾为一座与乌克兰联系密切的城市提供服务。 相关背景：SocGholish 恶意软件特性 SocGholish（又称 FakeUpdates）与一个名为 TA569 的经济利益驱动型威胁行为者相关联，其本质是初始访问中介，允许其他威胁行为者分发各类有效载荷。已知使用该工具的威胁组织包括邪恶 corp（Evil Corp）、洛克比特（LockBit）、德赖德克斯（Dridex）和树莓罗宾（Raspberry Robin）等。 此类攻击链的典型流程为：在遭入侵的合法网站上推送谷歌 Chrome 或火狐浏览器的虚假更新提示，诱骗毫无防备的用户下载恶意 JavaScript 脚本。该脚本负责安装加载器，进而获取更多恶意软件。 攻击通常针对安全防护薄弱的网站，利用插件中的已知安全漏洞注入 JavaScript 代码，触发弹窗显示并启动感染链。 RomCom 威胁行为者概况 RomCom是一个与俄罗斯结盟的威胁行为者，至少自 2022 年起便涉足网络犯罪与间谍活动。 该组织通过鱼叉式钓鱼、零日漏洞利用等多种手段入侵目标网络，并在受害主机上植入同名远程访问木马。其攻击目标主要包括乌克兰境内实体及北约相关国防组织。 北极狼实验室分析显示，此次攻击中，虚假更新有效载荷使威胁行为者能够通过与命令控制（C2）服务器建立的反向 shell，在受感染主机上执行命令，包括开展侦察活动及部署代号为 VIPERTUNNEL 的定制 Python 后门。 攻击中还分发了一款与 RomCom 相关的 DLL 加载器，用于启动 Mythic Agent—— 这是一款跨平台、后渗透阶段红队框架的核心组件，可与对应服务器通信，支持命令执行、文件操作等功能。 尽管此次攻击最终未获成功，在进一步扩散前被成功拦截，但这一动态表明，RomCom 威胁行为者持续关注乌克兰及为乌提供援助的实体，无论关联程度多么微弱。 “从通过（虚假更新）感染到分发 RomCom 加载器的时间间隔不足 30 分钟，” 雅各布・费尔斯表示，“只有在验证目标的 Active Directory 域与威胁行为者提供的已知值匹配后，才会执行恶意软件分发。” “SocGholish 攻击的广泛传播性，以及从初始访问到完成感染的快速推进速度，使其成为全球组织面临的重大威胁。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周，一名 21 岁的科技企业家兼网络安全专家在莫斯科因叛国罪被捕 —— 这是针对俄罗斯本土科技界的最新案件。 该案细节已被列为机密，但俄罗斯媒体报道称，季穆尔・基林（Timur Kilin）可能因公开批评国有即时通讯应用 Max 及政府反网络犯罪立法而引发官方不满。 基林曾开发多款安全工具，并于今年创办了一家网络安全初创公司。他在自己的 Telegram 频道中将 Max 称为 “一款糟糕的产品”，称自己曾向开发者报告多个漏洞，却被列入其群组聊天黑名单。他指出的漏洞包括该应用使用 “不友好国家” 的软件库，认为这可能导致俄罗斯人的数据被外国势力获取。 俄罗斯官方支持的即时通讯应用 Max 正被推广为该国替代西方平台的旗舰产品，从 2025 年起，它将预装在俄罗斯所有新智能手机中。该应用支持通话、聊天和支付功能，但安全专家警告称，其缺乏端到端加密且与政府系统深度集成，使其具备巨大的监控潜力。 基林还批评了一项拟议的反网络欺诈法案，该法案将把披露安全漏洞和利用方法列为刑事犯罪 —— 其他专家也对这一措施提出了批评。 “我能理解禁止 VPN、某些技术和网站，” 基林写道，“但没有任何文明社会会禁止全球共享的知识。” 据报道，这位企业家还与俄罗斯科技供应商 Aeza 集团存在法律纠纷。该公司今年因涉嫌支持勒索软件运营和在线毒品市场，被美国和英国实施制裁。基林表示，法院已下令该公司向其支付赔偿金和罚款，不过其陈述的真实性难以核实。 当地媒体报道称，基林开发了一套大规模漏洞扫描系统，运营着主机服务 TverHost，并于近期创办了一家名为 Spide Security 的网络安全公司。记者通过一次数据泄露事件中暴露的电话号码，成功关联到他的多个 Telegram 频道。 他的逮捕令使俄罗斯科技专业人士和普通互联网用户遭受打压的案例名单进一步拉长。2023 年，网络安全公司 Group-IB 联合创始人伊利亚・萨奇科夫（Ilya Sachkov）被判处 14 年严格管制刑拘，罪名包括涉嫌向美国当局泄露与军事情报相关的黑客组织 “奇幻熊”（Fancy Bear）的信息，而他本人否认了所有指控。 普通互联网用户也因在线言论面临严厉惩罚。去年，一名 72 岁女性因在 VKontakte（俄罗斯社交平台）发布反战帖子，被判处 5.5 年监禁。另一名俄罗斯公民因发布批评莫斯科入侵乌克兰的帖子，被判处 6 年监禁，法院称其行为构成 “具有政治动机的仇恨”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文