HackerNews 编译，转载请注明出处： 美国财政部及国际盟友于周三宣布，对俄罗斯知名 “防弹主机” 服务商 Media Land 实施制裁，指控其为勒索软件团伙及其他网络犯罪活动提供支持。 这家总部位于圣彼得堡的公司，向黑客提供 IP 地址、服务器和域名服务，这些资源被用于传播恶意软件、组建僵尸网络军团及实施勒索软件攻击。美国、英国和澳大利亚指控 Media Land 为在线犯罪市场，以及 Lockbit、BlackSuit、Play 等勒索软件组织提供服务。美国财政部表示，该公司的服务还被用于对美国关键基础设施实体发动多起分布式拒绝服务（DDOS）攻击。 三国同时制裁了 Media Land 的关联公司 ——Data Center Kirishi 和 ML Cloud，这两家企业为勒索软件团伙提供其他技术基础设施支持。此次制裁还涉及 Media Land 总经理亚历山大・沃洛索维克、财务经理尤利娅・潘科娃，以及据称负责收取客户付款并协调网络犯罪服务的基里尔・扎托洛金。 美国财政部副部长约翰・赫利表示：“像 Media Land 这样的所谓‘防弹主机’服务商，为网络犯罪分子提供关键支持，帮助他们攻击美国及盟国企业。” 这类公司自称 “防弹”，是因为它们不会回应网络攻击受害者的投诉或相关法律文书。 对 Aeza 集团关联实体的追加制裁 美国和英国还制裁了 Hypercore 公司，该企业是另一家 “防弹主机” 服务商 Aeza 集团的 fronts 公司。美国财政部已于 7 月对 Aeza 集团实施过制裁，但官员周三表示，该公司已更名并搭建新基础设施，切断了与原有业务的关联。 Hypercore 在英国注册，被 Aeza 集团用于规避制裁。Aeza 集团新任董事马克西姆・弗拉基米罗维奇・马卡罗夫，以及公司另一名员工伊利亚・弗拉基米罗维奇・扎基罗夫同步遭到制裁。此次制裁名单还包括塞尔维亚和乌兹别克斯坦的两家 fronts 公司 ——Smart Digital Ideas DOO 和 Datavice MCHJ。 总部同样位于圣彼得堡的 Aeza 集团，据称曾为 “BianLian” 勒索软件团伙，以及 “ RedLine ”“ Lumma ”“ Meduza ” 等信息窃取类恶意软件的运营者提供主机服务。美国财政部此前指控 Aeza 集团协助黑客针对美国国防企业和科技公司发动攻击。网络安全研究人员还发现，该集团与亲克里姆林宫的虚假信息宣传活动 “ Doppelgänger ” 存在关联，该活动至少自 2022 年起就在欧洲活跃。 配套发布网络安全防护指南 在实施制裁的同时，美国网络安全与基础设施安全局（CISA）及其他联邦机构发布了一份指南，指导各类组织应对 “防弹主机” 服务商带来的风险。 这份由联合勒索软件特别工作组制定的指南，旨在帮助互联网服务提供商和网络防御人员 “打击日益严峻的勒索软件攻击威胁”。CISA 代理局长马杜・戈图穆卡表示：“防弹主机是现代网络犯罪的核心推手之一。通过曝光这些非法基础设施并为防御者提供具体行动方案，我们能加大犯罪分子的隐藏难度，让合作伙伴更易保护美国民众日常依赖的各类系统。” CISA 网络安全部门执行助理局长尼克・安德森补充称，“防弹主机” 平台正成为网络犯罪分子越来越常用的 “帮凶”，帮助他们躲避检测、难以追踪。CISA 解释，该指南的目标是降低 “防弹主机” 基础设施的效用，迫使网络犯罪分子转向合法基础设施提供商 —— 这类服务商都会回应受害者投诉和执法部门的下架请求。 过去一年，执法机构已针对多家俄罗斯 “防弹主机” 服务商采取行动，包括 Zservers、Lolek Hosted 等，多名运营者因相关行为被判处数年监禁。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的Everest勒索软件组织宣称，已从巴西国家石油公司（Petrobras）窃取90GB敏感地震和勘探数据，并要求这家年营收超910亿美元的能源巨头进行谈判。Petrobras回应称，事件涉及第三方服务商，其内部系统未受影响。 Everest组织在暗网泄密站点发布声明，给公司设下六天期限要求联系，否则将公开或转卖数据。这是勒索团伙胁迫企业支付赎金的典型策略。 Petrobras向Cybernews明确表示，其系统未发现未授权访问记录，并强调”所有敏感和战略数据均按照最严格信息安全标准保持安全”。据该公司说明，此次入侵事件与某勘探服务提供商相关，属于独立事件，不影响公司运营、客户及员工。 根据攻击者公布的信息，被盗数据包含： 原始地震导航数据（含船舶坐标） 海底节点位置信息 差分GPS精度数据 测线质量控制数据 震源方向报告 水听器与震源深度参数 震源压力数据 设备元数据与节点配置 系统状态初步质检报告 勘探进度总结PDF文件 初步质检结果与逐线结论 震源与节点间距方位数据 船舶运动参数与设备朝向 据称，这些数据包含坎波斯盆地三维和四维地震勘探信息。值得注意的是，Petrobras近期刚宣布在该盆地盐下层发现优质石油资源。公司在该赎金声明出现当日发布的新闻稿中确认：”该钻井作业已完成，含油层段通过电测录井、气体指示和流体取样得到证实。” Cybernews研究人员分析数据样本后指出：”目前无迹象表明攻击者具有实时数据访问权限，因此船舶和钻井基础设施应无直接间谍攻击风险。此次泄露主要影响企业声誉，暴露的导航数据和报告可能揭示船舶定位与使用设备，削弱公司竞争优势。” Everest组织自2021年7月开始活跃，今年持续针对关键基础设施实施攻击。本月该组织还袭击了意大利工业气体巨头SIAD集团；此前最严重的攻击导致欧洲多国机场值机系统瘫痪；9月宣称入侵宝马集团及德国第二大银行DZ Bank子公司（但银行予以否认）；7月针对邮件营销平台Mailchimp；5月袭击可口可乐中东分部并泄露近千名员工数据。     消息来源：cybernews；本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据媒体报道，本月早些时候一名俄罗斯黑客嫌犯在泰国被捕，据悉此人与一个新兴的、与克里姆林宫立场一致的黑客组织存在关联。该组织曾针对欧洲和北美多国的政府及关键基础设施网络发起攻击。 泰国警方上周证实，已拘留一名遭美国通缉的 “世界知名黑客”，此人涉嫌对美国政府机构发动网络攻击。随后，俄罗斯国家媒体今日俄罗斯电视台确认该嫌犯为 35 岁的丹尼斯・奥布列佐科，他是斯塔夫罗波尔人，此前曾任职于俄罗斯多家大型信息技术企业，负责 “为国内产业研发高科技系统”。 当地媒体援引执法部门消息称，此次逮捕行动由美国联邦调查局与泰国警方联合开展，奥布列佐科于 11 月 6 日落网。他入境泰国仅一周，警方便突袭了其位于普吉岛度假胜地的酒店房间，并查扣了笔记本电脑、手机及数字钱包等物品。 上周有报道显示，该嫌犯被捕后被关押在曼谷，等待引渡至美国。今日俄罗斯电视台称，嫌犯家属已确认其被捕一事，并表示正聘请律师，试图阻止将其移交美国当局。俄罗斯驻曼谷大使馆也已提出领事探视要求。 泰国官方尚未公开披露该嫌犯的身份信息，但当地警方知情人士向美国有线电视新闻网透露，奥布列佐科据称是 “Void Blizzard” 组织（又名 “洗衣熊”）的成员。这个与俄罗斯有关联的黑客组织，最早由微软公司在今年发布的报告中详细曝光。 新兴的 “暴雪” 势力 微软在 5 月发布的一份报告中指出，“Void Blizzard” 是一个新兴的间谍性质高级持续性威胁组织，其行动始终服务于俄罗斯政府的相关利益（微软公司会用 “暴雪” 为所有与俄罗斯有关联的黑客组织命名）。该黑客组织的攻击目标涵盖政府、国防、交通、媒体、非政府组织及医疗等多个领域的机构，攻击重点集中在欧洲和北美地区。 微软方面称，“Void Blizzard” 通常借助购买或窃取的账户凭证侵入目标网络，进而窃取大量电子邮件与内部文件。 2024 年 9 月，荷兰情报部门透露，该组织曾入侵包含荷兰国家警察部门在内的多家荷兰机构，并窃取了大量 “工作相关联络信息”。 微软表示：“该黑客组织频繁针对关键领域网络发动攻击，这不仅给北约成员国，也给乌克兰的一众盟友带来了日益严峻的安全风险。” 消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯港口运营商 “港口联盟”（Port Alliance）表示，其数字基础设施关键部分遭遇 “境外” 网络攻击，运营中断已进入第三天。这是俄乌冲突背景下，影响关键设施的一系列网络安全事件中的最新一起。 该公司在周四的声明中称，攻击者发起了分布式拒绝服务（DDoS）攻击，并试图入侵其网络。港口联盟指出，攻击目标是破坏该公司通过波罗的海、亚速 – 黑海、远东及北极地区海港开展的煤炭和矿物肥料出口相关业务，扰乱运营秩序。 尽管此次攻击规模大、强度高，但公司表示旗下码头及相关设施仍正常运转。“所有关键系统保持可用，港口和码头的业务流程未受影响。” 据港口联盟透露，黑客动用了包含 1.5 万多个全球唯一 IP 地址的僵尸网络，其中部分 IP 来自俄罗斯境内，且不断更换攻击策略以规避安全防御。 港口联盟在多条关键运输线路运营着 6 个海运码头，煤炭和矿物肥料的年货运量超 5000 万吨。目前该公司未指明攻击来自特定黑客组织。 自 2022 年俄罗斯对乌克兰发起特别军事行动以来，针对交通物流网络的网络攻击愈发频繁。俄乌双方黑客频繁使用 DDoS 攻击，扰乱对方基础设施。 同日，乌克兰 WOG 加油站连锁企业报告遭遇大规模网络攻击，其在线服务暂时中断，当晚恢复正常，但未披露更多细节。 盟国也面临数字威胁。本周早些时候，丹麦政府及多家国防企业的网站遭 DDoS 攻击短暂下线，丹麦当局称攻击可能源自俄罗斯。亲俄组织 “NoName057” 声称对此次攻击负责，但其说法的真实性难以核实。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周末，俄罗斯对乌克兰能源基础设施发动了开战以来规模最大的导弹和无人机袭击之一。此次袭击导致乌克兰全国电力中断、关键服务陷入混乱，基辅及多个其他城市几乎完全陷入黑暗。 据互联网监督机构网络封锁追踪组织（NetBlocks）消息，袭击发生后，乌克兰实施了最长达 12 小时的紧急停电措施。基辅及其他地区出现大面积互联网中断和通信故障，截至周一，抢修工作仍在进行，多个地区仍未恢复稳定供电。 乌克兰第二大电信运营商沃达丰（Vodafone）周日表示，停电已迫使其网络实施临时限制。该公司称：“停电后，所有人会立即切换至移动互联网，这导致网络连接承受极高负载。” 袭击还扰乱了乌克兰海关总署的运作。乌克兰国家边防局表示，由于数据库出现技术故障，周六其被迫暂停乌克兰与波兰边境的人员和车辆通行数小时。 该机构称：“故障是俄罗斯炮击能源设施导致停电引发的”，并补充说明边境运营已于当日晚些时候恢复。 乌克兰官员表示，周六夜间，俄方共发射 450 多架无人机以及 45 枚巡航导弹和弹道导弹，目标直指电力和天然气设施，造成热电厂及为核电站供电的变电站受损。 乌克兰能源部长斯维特兰娜・格林丘克（Svitlana Hrynchuk）表示：“如此多的弹道导弹直接击中能源设施，这一情况实属罕见。” 国营电力公司乌克兰中央能源公司（Centrenergo）报告称，其旗下多座电站遭受灾难性破坏。 该公司在一份声明中表示：“距上一次袭击还不到一个月，敌人昨晚再次袭击了我们整个发电系统。电站陷入火海！我们已全面停运，目前发电量降至零。” 自全面入侵以来，俄罗斯多次针对乌克兰能源基础设施发动袭击，导致大面积停电和互联网中断。乌克兰官员表示，部分袭击行动结合了导弹打击与协同网络攻击。 在 9 月接受 “Recorded Future News” 采访时，乌克兰最高网络安全官员奥列克桑德尔・波季曾预测，随着冬季临近，俄罗斯可能会重启对乌克兰电网及其他关键服务的袭击。他说：“我们预计他们会发动常规打击，同时试图瘫痪维持关键基础设施运转的系统。” 与克里姆林宫军事情报机构（GRU）相关的组织 —— 尤其是臭名昭著的黑客组织Sandworm—— 此前曾在对电网发动实体打击的同时实施数字入侵。 斯洛伐克网络安全公司 ESET 发布的研究显示，6 月至 9 月期间，“沙虫” 组织向乌克兰能源、物流、政府和农业部门的实体部署了多种数据擦除恶意软件。专家称，这是俄罗斯旨在破坏乌克兰战时经济稳定的更广泛行动的一部分。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据斯洛伐克网络安全公司ESET最新研究，这个与俄罗斯关联的黑客组织在6月至9月期间，对乌克兰粮食、能源、物流及政府机构发动了多轮数据摧毁攻击。 自俄乌冲突爆发以来，乌克兰基础设施持续遭受网络攻击。但作为该国出口创收支柱的农业领域，此前很少被直接针对。此次粮食产业也成为了俄罗斯国家级黑客组织Sandworm的最新攻击目标。 两款新型数据擦除软件 西方情报机构确认，Sandworm黑客组织为俄军情报总局（GRU）下属组织，堪称乌克兰网络安全领域的头号威胁。该组织曾制造多起重大网络攻击事件，如2015年全境大停电、2017年NotPetya全球网络攻击、2023年基辅之星电信系统瘫痪等。 ESET研究报告披露，最新攻击浪潮中出现了两款新型数据擦除软件——“Zerolot”和“Sting”。 这些恶意程序最初于4月入侵乌克兰某高校系统，随后蔓延至粮食和能源企业。此类专为永久销毁数据设计的破坏性软件，往往能导致目标机构运营系统彻底瘫痪。 调查还发现，另一个代号UAC-0099的黑客组织充当了攻击链前端角色。该组织据信自2022年起持续对乌克兰政府、国防部门进行网络渗透，随后将系统访问权限转交Sandworm实施最终破坏。 安全警示 ESET专家强调，管2024年末有迹象显示俄方黑客转向间谍活动，但2025年初以来，Sandworm仍在持续对乌关键部门发动破坏性网络攻击。这些攻击再次表明，数据擦除器仍是俄方关联黑客在乌克兰的首选武器。 乌克兰网络安全部门警示，俄罗斯黑客组织往往将网络攻击与实体军事行动相配合。例如在导弹袭击关键基础设施的同时，发动协同网络攻击以最大化破坏效果。 值得注意的是，俄方网络行动范围正持续扩大。 ESET监测显示，RomCom、Gamaredon等黑客组织仍在持续攻击欧盟成员国，这些目标大多与乌克兰国防保障或后勤支援体系存在关联。 研究人员指出：“几乎所有被锁定的国际目标都与乌克兰战事存在明显关联，这充分说明俄乌冲突仍在主导俄罗斯的情报资源分配。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现了一场网络间谍活动，黑客将恶意工具隐藏在广泛使用的虚拟机软件中。这种策略表明，黑客正通过创新手段绕过常见的安全防御系统。 罗马尼亚网络安全公司比特梵德（Bitdefender）在周二的报告中称，该活动自 7 月起持续活跃，幕后威胁行为者为Curly COMrades组织，该组织被认为是为俄罗斯利益服务的。 今年早些时候，该组织被指针对格鲁吉亚的政府及司法机构，以及摩尔多瓦的一家能源公司发动间谍活动。比特梵德在最新报告中未指明此次的受害者，但表示调查是在格鲁吉亚国家计算机应急响应小组（CERT-GE）的协助下开展的。 报告显示，黑客滥用 Windows 内置功能 Hyper-V 维持对受害者网络的长期秘密访问。Hyper-V 允许用户运行虚拟机，这种软件能让一台计算机模拟出多个独立系统的运行效果。 攻击者安装了一个仅占用 120 兆字节磁盘空间的阿尔派 Linux（Alpine Linux）虚拟机。在该虚拟机内部，他们运行了两款定制恶意软件工具 ——CurlyShell 和 CurlCat，用于控制受感染系统并窃取数据。 比特梵德表示：“该虚拟机并未搭载大型攻击框架或渗透测试工具，而是一款轻量化植入程序，专为特定目的设计。” 这种方法让黑客得以绕过常见的威胁检测工具，这类工具通常仅监控 Windows 主操作系统，而非运行于其中的虚拟机。 格鲁吉亚当局随后查封了该活动中使用的一台受感染服务器，为研究人员绘制攻击者的基础设施地图提供了帮助。 比特梵德指出，Curly COMrades 组织至少自 2024 年起开始活跃，其目标通常是 “处于地缘政治变革中的国家的关键机构”，且活动与俄罗斯政府的地缘政治目标一致。该组织的核心诉求似乎是持续获取网络访问权限，并窃取用于间谍活动的凭证信息。 研究人员补充称，黑客严重依赖公开可用的开源工具，这表明他们 “更倾向于隐蔽性、灵活性和最小化检测风险，而非利用新型漏洞”。 格鲁吉亚和摩尔多瓦均为前苏联加盟共和国，仍是俄罗斯网络及信息作战的重点目标。摩尔多瓦近期指控俄罗斯通过网络攻击和协同虚假信息宣传，试图干预其议会选举 —— 此次选举中亲欧洲政党赢得多数席位。 格鲁吉亚也一直是莫斯科混合战术的针对对象，这些战术结合了军事施压、经济限制和宣传攻势，旨在削弱其国家机构，阻碍其民主与经济改革进程。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正利用钓鱼邮件分发带有恶意程序的附件，其攻击目标疑似俄罗斯和白俄罗斯的国防领域。 根据 Cyble 与 Seqrite 实验室的多份报告，该攻击行动旨在向已攻陷的主机植入一个持久化后门。该后门将 OpenSSH 与定制化的 Tor 隐藏服务结合使用，且通过 obfs4 技术对流量进行混淆处理。 Seqrite 将此活动命名为 Operation SkyCloak。据悉，钓鱼邮件会以军事文件相关内容作为诱饵，诱使收件人打开一个 ZIP 压缩包。该压缩包内含一个隐藏文件夹（其中包含另一个压缩文件），以及一个 Windows 快捷方式（LNK 文件）；一旦打开该快捷方式，便会触发多阶段感染链。 安全研究员萨特维克・拉姆・普拉基与卡蒂克库马尔・吉瓦尼表示：“这些快捷方式会触发 PowerShell 命令，而这些命令构成了初始投放阶段；除 LNK 文件外，另一个压缩文件会被用于搭建完整的感染链。” 他们补充称，这些压缩文件已于 2025 年 10 月从白俄罗斯上传至 VirusTotal 平台。 其中一个中间模块是 PowerShell 加载器，它主要负责执行反分析检查以规避沙箱环境，同时会将一个 Tor 洋葱地址（“yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd [.] onion”）写入文件 “hostname” 中，该文件路径为 “C:\Users < 用户名 >\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\”。 在反分析检查环节，恶意软件会验证两个条件：一是系统中近期存在的 LNK 文件数量大于或等于 10 个，二是当前进程数量大于或等于 50 个。若任一条件未满足，PowerShell 将立即终止执行。 Cyble 指出：“这些检查是恶意软件感知环境的机制。与真实用户工作站相比，沙箱环境通常用户生成的快捷方式更少，进程活动也更弱。” 一旦通过环境检查，脚本会显示存储在上述 “logicpro” 文件夹中的 PDF 诱饵文档，同时通过创建一个名为 “githubdesktopMaintenance” 的计划任务来实现持久化。该任务会在用户登录后自动运行，并于每天协调世界时（UTC）10:21 定期执行。 该计划任务旨在启动 “logicpro/githubdesktop.exe”，而此文件实则是 “sshd.exe” 的重命名版本 ——“sshd.exe” 是与 Windows 版 OpenSSH 相关联的合法可执行文件。这一操作能让威胁行为者搭建 SSH 服务，且该服务仅允许与存储在同一 “logicpro” 文件夹中的预部署授权密钥进行通信。 除通过 SFTP 启用文件传输功能外，恶意软件还会创建第二个计划任务，配置为执行 “logicpro/pinterest.exe”。这是一个定制化的 Tor 二进制文件，用于创建隐藏服务；该服务会通过 obfs4 混淆网络流量，与攻击者的.onion 地址通信。此外，它还会为远程桌面协议（RDP）、SSH、服务器消息块（SMB）等多个关键 Windows 服务配置端口转发，以便通过 Tor 网络访问系统资源。 一旦连接成功建立，恶意软件会先窃取系统信息，再通过 curl 命令发送一个唯一的.onion URL 主机名（用于标识已攻陷的系统）。当威胁行为者通过命令与控制（C2）信道接收到受害者的.onion URL 后，便能最终获得对已攻陷系统的远程访问权限。 目前尚不清楚该攻击行动的幕后主体，但两家安全厂商均表示，其特征与针对国防及政府领域、且与东欧相关的间谍活动相符。Cyble 以中等置信度评估认为，此次攻击与乌克兰计算机应急响应小组（CERT-UA）追踪的威胁行为者 “UAC-0125” 此前发起的行动，存在战术重叠。 该公司补充道：“攻击者通过隐蔽的 Tor 服务访问 SSH、RDP、SFTP 和 SMB，既能实现对系统的完全控制，又能隐藏自身身份。所有通信均通过预安装的加密密钥，定向到匿名地址进行传输。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯警方表示，已逮捕三名涉嫌开发并销售 Meduza 窃取器（Meduza Stealer）恶意软件的黑客。此次行动是俄罗斯对本土网络犯罪罕见的打击举措。 俄罗斯内务部发言人伊琳娜・沃尔克于周四发表声明称，嫌疑人在莫斯科及周边地区落网。 她补充道，这三名 “年轻 IT 专家” 涉嫌开发、使用并销售一款恶意软件，该软件专门用于窃取登录凭证、加密货币钱包数据及其他敏感信息。 警方透露，在对嫌疑人住所的突袭行动中，查获了计算机设备、手机和银行卡。内务部发布的视频显示，执法人员破门而入，突袭多间公寓。当警方询问一名嫌疑人 “为何被拘留” 时，对方用俄语回应：“我不太清楚。” 官方指出，嫌疑人约两年前开始通过黑客论坛传播 Meduza 窃取器。今年早些时候，该团伙据称利用这款恶意软件，窃取了俄罗斯阿斯特拉罕州某机构的数据。 当局表示，该团伙还开发了另一种恶意软件，其功能包括禁用杀毒软件保护、构建用于大规模网络攻击的僵尸网络，但暂未披露这款恶意程序的具体名称。若罪名成立，三名嫌疑人将面临最高四年的监禁。 Meduza 窃取器于 2023 年首次出现，最初在俄语黑客论坛和 Telegram 频道以 “付费服务” 模式销售。此后，该恶意软件被用于多起网络攻击，目标涵盖个人数据与金融数据。 乌克兰官方此前曾表示，这款恶意软件与针对乌国内军方及政府机构的攻击有关。去年 10 月的一起攻击事件中，攻击者利用伪造的 Telegram “技术支持” 机器人，向乌克兰政府动员应用的用户分发该恶意软件。 研究人员还在波兰及俄罗斯本土发现了 Meduza 窃取器的感染案例 —— 例如 2023 年的一起攻击中，攻击者伪造某工业自动化公司的钓鱼邮件，传播该恶意软件。 长期以来，俄罗斯执法机构极少追查境内运营的网络犯罪分子，但研究人员表示，这一情况已开始改变。 根据 Recorded Future 旗下 Insikt 集团近期发布的报告，莫斯科对黑客生态系统的立场已从 “被动容忍转向主动管控”。这一策略包括选择性逮捕与公开打击，目的是在巩固国家权威的同时，保留有用的技术人才。 此类举措标志着俄罗斯的显著转变 —— 该国曾长期被视为 “以牟利为目的黑客的避风港”。研究人员指出，如今许多网络犯罪者正通过 “分散化运营”，规避西方与俄罗斯本土的双重监控。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 名为AdaptixC2的开源命令与控制框架正被越来越多的威胁行为体使用，其中部分与俄罗斯勒索软件团伙存在关联。 AdaptixC2是一款新兴的可扩展后渗透与对抗模拟框架，专为渗透测试设计。其服务端组件采用Golang编写，GUI客户端则使用C++ QT实现跨平台兼容性。该框架具备全加密通信、命令执行、凭证与截图管理、远程终端等丰富功能。 该框架的早期版本由GitHub用户”RalfHacker”于2024年8月公开发布，该用户自称是渗透测试员、红队操作员和恶意软件开发者。尽管AdaptixC2是作为道德红队活动的开源工具推出，但显然已引起网络犯罪分子的关注。 近几个月来，多家黑客组织已开始采用AdaptixC2，包括与Fog和Akira勒索软件行动相关的威胁行为体，以及一名在攻击中利用CountLoader投放多种后渗透工具的初始访问经纪人。 Palo Alto Networks旗下Unit 42团队上个月分析了该框架的技术特点，称其作为模块化多功能框架能够”全面控制受感染机器”，并已被用于通过Microsoft Teams实施的假冒技术支持诈骗以及通过AI生成的PowerShell脚本进行攻击。 网络安全公司Silent Push表示，RalfHacker在GitHub简介中自称”恶意软件开发者”的表述引起了他们的警觉。调查发现该账号所有者关联的多个GitHub账户邮箱，以及一个拥有超过28,000订阅者的Telegram频道“RalfHackerChannel”，该频道专门转发AdaptixC2相关消息。 在2024年8月AdaptixFramework频道的消息中，RalfHacker曾表示有兴趣启动一个”当前非常流行的公共C2框架”项目，并希望其能成为像Empire一样受欢迎的后渗透和对抗模拟框架。 尽管目前尚无证据表明RalfHacker直接参与与AdaptixC2或CountLoader相关的恶意活动，但Silent Push指出：”通过其使用Telegram进行营销推广，以及该工具随后被俄罗斯威胁行为体大量使用的情况，都显示出与俄罗斯犯罪地下世界的关联，这些现象均敲响了严重的安全警钟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文