HackerNews 编译，转载请注明出处： 国防承包商L3Harris的一名前高管于周三认罪，承认向一名俄罗斯经纪人出售间谍软件漏洞利用工具。 根据美国司法部发布的新闻稿，曾主管L3Harris旗下间谍软件与零日漏洞部门Trenchant的彼得·威廉姆斯，将商业机密出售给一家”公开自称向包括俄罗斯政府在内的各类客户转售网络漏洞利用工具”的俄罗斯网络工具经纪人。 威廉姆斯对其两项窃取商业机密的指控认罪。官方称他在2022年至2025年的三年期间窃取并兜售这些信息。司法部表示，被出售的物料属于国家安全软件，包含至少八个”敏感且受保护的网络漏洞利用组件”，这些工具原本仅限向美国政府及经批准的盟友销售。 每项指控最高可判处10年监禁并处罚金。 检方指出，威廉姆斯因出售这些机密被承诺获得数百万美元的加密货币报酬。官方称他与该俄罗斯经纪人签订了多份合同，涉及初始销售及“后续技术支持”。 “这些国际网络经纪人是新一代国际军火商，我们将持续警惕其活动，”美国检察官珍妮·费里斯·皮罗在声明中表示。 皮罗指出，威廉姆斯的罪行不仅给L3Harris造成3500万美元损失，更向非盟友的外国网络行为体提供了“可能已被用于攻击众多无辜受害者的尖端网络漏洞利用工具”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰境内的多个组织近日遭到源自俄罗斯的威胁行为者攻击，其目的在于窃取敏感数据并维持对受感染网络的持久访问权限。 根据赛门铁克和Carbon Black威胁猎人团队发布的最新报告，此次攻击活动持续针对一家大型商业服务组织进行了两个月的渗透，同时对一家当地政府实体进行了一周的入侵。 攻击主要采用“离地生存”技术和双重用途工具，仅辅以最低限度的恶意软件，从而减小数字足迹并长期保持隐蔽。 “攻击者通过在面向公众的服务器上部署Webshell获得对商业服务组织的访问权限，很可能是利用了一个或多个未修复的漏洞，”这两支隶属于博通公司的网络安全团队在报告中表示。 攻击中使用的Webshell之一是Localolive，微软此前曾警告称该工具被与俄罗斯有关的沙虫组织下属团队在多年度行动”BadPilot”中使用。LocalOlive旨在协助投送Chisel、plink和rsockstun等后续载荷，至少自2021年底开始被活跃使用。 针对该商业服务组织的恶意活动最早可追溯至2025年6月27日，攻击者利用初始立足点投放Webshell并实施侦察。研究还发现，攻击者运行PowerShell命令将设备的下载目录排除在Microsoft Defender防病毒扫描范围之外，并设置计划任务每30分钟执行一次内存转储。 攻击时间线与技术细节 在接下来的几周内，攻击者实施了多种恶意行为，包括： 将注册表配置单元副本保存至名为1.log的文件 投放更多Webshell 使用Webshell枚举用户目录中的所有文件 运行命令列出所有以”kee”开头的运行进程（可能旨在定位KeePass密码存储库） 列出第二台设备上的所有活跃用户会话 运行位于下载文件夹中的”service.exe”和”cloud.exe”可执行文件 在第三台设备上运行侦察命令并使用Microsoft Windows资源泄漏诊断工具执行内存转储 修改注册表以允许RDP连接 在第四台设备上运行PowerShell命令获取Windows配置信息 运行RDPclip获取远程桌面连接中的剪贴板访问权限 安装OpenSSH以方便远程访问计算机 运行PowerShell命令允许OpenSSH服务器在22端口上的TCP流量 创建计划任务，使用域账户每30分钟运行未知PowerShell后门（link.ps1） 运行未知Python脚本 在下载文件夹中部署合法的MikroTik路由器管理应用程序（“winbox64.exe”） 值得关注的是，乌克兰计算机应急响应小组曾在2024年4月记录过“winbox64.exe”的使用，当时它与沙虫组织针对乌克兰能源、供水和供热供应商的攻击活动有关。 赛门铁克和Carbon Black表示，虽然未发现此次入侵与沙虫组织直接关联的证据，但指出其”确实显示出源自俄罗斯的特征”。该网络安全公司还透露，这些攻击的特点在于部署了多个PowerShell后门和疑似恶意软件的可疑可执行文件，但目前尚未获取这些样本进行分析。 “虽然攻击者在入侵过程中使用的恶意软件数量有限，但大部分恶意活动都涉及合法工具，包括系统原生工具或攻击者引入的双重用途软件，”报告强调，“攻击者展现出对Windows原生工具的深入了解，并展示了熟练攻击者如何推进攻击、窃取凭证等敏感信息，同时在目标网络上留下最小痕迹。” 行业背景与趋势 此报告发布之际，Gen Threat Labs详细披露了Gamaredon组织利用WinRAR中一个已修复安全漏洞（CVE-2025-8088，CVSS评分：8.8）攻击乌克兰政府机构的行为。 该公司在X平台上发文称：“攻击者正在滥用CVE-2025-8088（WinRAR路径遍历漏洞）投递RAR压缩包，这些压缩包会静默将HTA恶意软件放入启动文件夹——除了打开压缩包内的良性PDF文件外，无需任何用户交互。这些诱饵经过精心设计，可诱骗受害者打开武器化压缩包，延续了以往攻击活动中出现的激进攻击模式。” Recorded Future的最新报告也印证了这一趋势，该报告发现俄罗斯网络犯罪生态系统正受到”终端游戏”等国际执法行动的积极影响，促使俄罗斯政府与电子犯罪组织的关系从被动容忍转向主动管理。对泄露聊天记录的进一步分析显示，这些威胁组织内的高级人物通常与俄罗斯情报部门保持联系，通过提供数据、执行任务或利用贿赂和政治关系获得豁免权。与此同时，网络犯罪团伙正在分散运营以规避西方和国内的监控。 尽管长期以来众所周知俄罗斯网络犯罪分子只要不攻击该地区运营的企业或实体就可以自由活动，但克里姆林宫现在似乎采取了更为细致的方法：在需要时招募或合作人才，在攻击符合其利益时视而不见，并在威胁行为者变得”政治上不便或对外尴尬”时选择性执法。 由此可见，这种“黑暗契约”实质上是多种因素的结合体：既是商业企业，也是影响力和信息获取的工具，同时当它威胁到国内稳定或面临西方压力时也会成为负担。该公司在《黑暗契约》系列报告的第三部分中指出：“俄罗斯网络犯罪地下世界在国家控制和内部不信任的双重压力下正在分裂，而专有论坛监控和勒索软件联盟聊天记录显示运营者之间的偏执情绪日益加剧。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家俄罗斯本土网络安全公司发现，由国家支持的黑客组织Cloud Atlas再次发起网络间谍活动，利用即将召开的行业论坛作为诱饵，瞄准了该国农业领域。 这是近几个月来该组织第二次针对俄罗斯农业工业企业发起攻击，恰逢本月末莫斯科即将举行的俄罗斯农业论坛筹备期。据F6研究人员分析，黑客发送了伪装成论坛官方日程的钓鱼邮件，内含利用旧版Microsoft Office漏洞（CVE-2017-11882）的恶意文件——该漏洞虽于2017年修复，但至今仍被网络犯罪分子广泛利用。 该漏洞早在2023年就被Cloud Atlas利用过，当时他们通过涉及俄乌战争的钓鱼邮件，攻击了俄罗斯一家农业企业和一家国有研究公司。 此漏洞允许攻击者执行恶意代码并可能完全控制系统，使其能够安装软件、修改或删除数据以及创建新用户账户。 研究人员指出，Cloud Atlas（亦被追踪为Inception）在2025年全年活动频次显著增加，尤其针对俄罗斯和白俄罗斯目标。F6还发现迹象表明，一家国防企业也是该组织10月的攻击目标之一，不过未提供技术细节。 报告显示，Cloud Atlas持续优化其工具和传播方法，在保持长期使用的感染链的同时，尝试使用不同的有效载荷。 研究人员表示：”Cloud Atlas持续使用相同战术并利用早已曝光的漏洞，表明其攻击仍然有效——这主要归因于未受保护或维护不善的系统，以及人为因素。” Cloud Atlas至少自2014年开始活跃，是一个由国家支持的间谍组织，以攻击俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的机构而闻名。其行动侧重于数据窃取和监控，但背后具体是哪个国家仍不明确。 该组织通常依赖多阶段钓鱼攻击，发送模仿政府通讯、商业邀约或媒体资料的邮件。其恶意软件常使用定制加载器和加密通信以保持隐蔽并外泄窃取数据。 研究人员补充道：”这些因素使Cloud Atlas成为对组织网络安全极具威胁且持续存在的攻击者。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家俄罗斯网络安全公司宣称，已发现证据表明意大利Memento Labs公司开发的监控软件，疑似被用于针对俄罗斯和白俄罗斯境内组织的网络攻击。 卡巴斯基实验室周一发布研究报告称，他们在多起与黑客组织”ForumTroll”相关的攻击中，识别出该公司开发的商业监控软件“Dante”。研究人员强调，目前未发现该间谍软件在卡巴斯基客户网络中活跃感染的迹象，且无法确定ForumTroll行动的幕后雇主。报告同时指出，攻击者使用该监控软件的具体费用，以及开发商是否知晓其软件被部署的情况，目前仍属未知。 “精通俄语并熟悉当地特性是ForumTroll组织的显著特征，我们在其过往攻击活动中也观察到这些特质。”研究人员分析称，”但其他案例中出现的语言错误表明，攻击者并非以俄语为母语者。” 位于米兰的Memento Labs公司未回应置评请求。研究人员指出，这是自2023年Memento Labs在执法与情报机构闭门会议上推出Dante以来，该监控软件在真实网络攻击中被使用的首个实证案例。 此次发现源于卡巴斯基今年3月对ForumTroll间谍攻击的调查。该黑客组织当时通过伪装成俄罗斯知名科学专家论坛邀请函的钓鱼邮件，针对俄罗斯媒体机构、高等院校、科研中心、政府机关及金融组织发动攻击。研究人员透露，攻击者发送的恶意链接利用了谷歌Chrome浏览器的零日漏洞（现被标识为CVE-2025-2783），该漏洞已由卡巴斯基上报并被谷歌修复。 尽管Dante未在此次攻击中投入使用，但卡巴斯基正是通过调查ForumTroll事件，最终在其他网络入侵中发现了这款监控软件的踪迹。研究人员表示，ForumTroll最新攻击行动中包含其定制工具LeetAgent——这个至少可追溯至2022年的工具，在某些情况下会作为更先进的Dante软件的加载器。 值得关注的是，Memento Labs的前身Hacking Team在2015年遭遇大规模数据泄露前，曾向全球政府客户销售入侵与监控工具。数字权益监督机构”公民实验室”报告指出，该公司因向”持续存在严重人权侵害行为”的国家出售RCS监控软件而备受批评。2014年报告显示，RCS软件的使用范围覆盖沙特阿拉伯、苏丹、墨西哥、阿塞拜疆、埃及、匈牙利、意大利和哈萨克斯坦等至少20国。经历数据泄露事件后，该公司经收购重组更名为Memento Labs，继续向执法和情报机构推广其”情报解决方案”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与俄罗斯有关联的网络犯罪团伙”Everest Group”在其暗网泄密网站上将爱尔兰都柏林机场列为受害者，指控其发动了此次勒索软件攻击。都柏林机场年客流量逾3500万人次，为40家航空公司提供超过150个航点的服务。 此前该团伙刚宣称攻破柯林斯航空航天公司及其用于值机服务和旅客管理的MUSE软件系统，该攻击曾导致欧洲多座主要机场瘫痪数日，引发航运混乱。 管理都柏林机场的公司Daa此前曾发布声明，称乘客数据是因第三方系统遭入侵而受影响。 此次黑客的声明可能与此前柯林斯航空航天公司的数据泄露事件相关，也可能意味着航空领域正遭受新一轮攻击。 目前该犯罪团伙尚未发布数据样本佐证其声明。其受害者网站上发布的公告包含倒计时器，显示机场方若未在五日内联系黑客，被盗数据将被公开。 勒索软件组织通常通过在暗网泄密网站公布受害者名单，企图胁迫相关机构支付赎金，否则将面临敏感数据泄露的严重后果。 该勒索软件组织声称窃取了包含旅客个人信息与航班运营数据的敏感信息。据其声明，被盗数据集涉及1,533,900条个人记录。 据称泄露内容包含：乘客全名、航班号、座位信息、起降机场、票号、常旅客信息，甚至涵盖办理值机及生成登机牌时所使用的设备详情。 都柏林机场疑似泄露数据类型清单 全名 旅客状态及分类（如成人/儿童/员工） 常旅客航空公司、会员编号及等级 免费行李额度与快速通关资格 预订编码(PNR) 航空公司名称及数字代码 航班号与日期 起降机场代码 座位号及舱位等级 序列号与航段数量 市场方与实际承运方 机票凭证及序列号 电子机票标识 登机牌签发来源及日期 证件类型与签发航司代号 安检抽检标识 国际证件验证状态 行李牌编号（含非连续编号） 值机或登机设备名称、ID及类型 工作站ID与时间戳 起飞日期与时间 条形码格式及软件版本号 若此次泄露被证实属实，旅客身份信息、航班规律、会员凭证及数字接触点都将面临曝光风险。 据信该团伙与BlackByte勒索组织存在关联。5月22日，Everest瞄准可口可乐中东分公司，最终泄露了该公司多个分销中心近千名员工资料。 作为对全球最大可口可乐装瓶商”可口可乐欧洲太平洋伙伴”大规模攻击的一环，该勒索组织据称窃取了约2300万条数据。 在对可口可乐攻击数日后，该组织又宣称攻破阿联酋知名国际私立医院Mediclinic、阿布扎比文化与旅游部以及约旦科威特银行。 该团伙还是2022年10月AT&T攻击事件的幕后黑手，声称可访问AT&T整个企业网络，并于2024年秋季攻击了Radisson Country Inn and Suites连锁酒店。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据当地媒体报道，本周初俄罗斯农业与食品安全监管机构遭遇网络攻击，导致全国范围内的食品运输受阻。 俄罗斯联邦动植物卫生监督局表示，其在周三遭受了大规模分布式拒绝服务攻击，影响了其在线基础设施，包括用于追踪农产品和化学品流动的”VetIS”和”Saturn”系统。 据俄罗斯贸易媒体《Shopper’s》报道，此次中断导致食品交付严重延迟，因为电子兽医认证平台”Mercury”——VetIS系统的组成部分——一度无法访问。两家主要乳制品生产商和一家婴儿食品制造商向该媒体透露，他们在周三数小时内无法运输产品。 俄罗斯联邦动植物卫生监督局称，其网络中存储的数据”在完整性和机密性方面未受到威胁”。该机构未对事件进一步置评，目前尚无黑客组织声称对此次攻击负责。 根据俄罗斯法律，处理肉类、牛奶、鸡蛋和其他动物产品的公司必须在Mercury系统注册，并出具确认产品真实性和安全性的电子兽医证书。没有这些证书，供应商无法合法地向零售商或加工商交付货物。 一家公司经理表示，生产流通瘫痪了半日，并补充说由于缺乏允许在没有电子文件的情况下发货的应急程序，导致了经济损失。 俄罗斯联邦动植物卫生监督局否认了关于系统长时间中断的报道，并于周四表示Mercury系统正在”照常运行”。截至周五，该机构的网站可以访问，但尚不清楚所有受影响的系统是否已完全恢复。 据报道，这是Mercury系统今年第四次遭遇攻击。在6月份，类似事件曾迫使乳制品生产商恢复使用纸质证书，由于区域分销中心和主要零售商难以应对供应中断，引发了物流混乱。 据当地乳制品行业协会称，一些零售商当时拒绝接收没有电子文件的产品，而监管机构不明确的指导也导致了供应商的困惑。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 图林根州内政部长格奥尔格・迈尔指控极右翼政党 “德国选择党”为俄罗斯从事间谍活动，并表示自己掌握支持该指控的证据。 迈尔向德国新闻媒体 Handelsblatt 表示：“一段时间以来，我们愈发担忧地观察到，德国选择党正滥用议会质询权，专门搜集我国关键基础设施的相关信息。” 身为德国社会民主党成员的迈尔指出，过去 12 个月里，德国选择党在图林根州就交通、数字基础设施以及水、能源供应领域，提出了 47 项相关质询。 他还向《商报》透露：“德国选择党对警方信息技术及装备表现出特殊兴趣，例如无人机探测与防御领域。由此产生的印象是，该党正通过质询来落实克里姆林宫的‘任务清单’。” 德国联邦议院情报监督委员会主席马克・亨里希曼对迈尔的担忧表示认同。 他表示：“俄罗斯显然在利用其在议会中的影响力 —— 尤其是通过德国选择党 —— 从事间谍活动并获取敏感信息。而德国选择党则心甘情愿为这种背叛行为‘拉普京的车’。” 德国选择党否认所有指控，称这些指控 “荒谬至极”。 长期以来，德国情报部门一直发出警告：俄罗斯正利用极端主义政党和个人，为自身利益搜集德国关键基础设施的敏感信息。目前，因德国选择党联邦议院议员马库斯・弗罗伊恩迈尔计划前往莫斯科，情报部门再次表达了担忧。 迈尔认为，问题不止于弗罗伊恩迈尔的既定行程。他称，俄罗斯试图 “传播虚假信息、破坏民主机构的合法性、阻碍议会程序，并与右翼极端组织建立联系”。 今年早些时候，德国情报机构经过长期调查得出结论：德国选择党正日益激进，目前已被认定为极右翼政党。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌威胁情报团队（GTIG）研究人员表示，已发现与俄罗斯有关联的黑客组织 Coldriver 部署了一套新型恶意软件。 GTIG 在 10 月 20 日发布的报告中指出，这套恶意软件由多个通过交付链关联的家族组成。自 2025 年 5 月 Coldriver 此前的主力恶意软件 LostKeys 被公开披露后，该新型软件似乎已取代 LostKeys 的地位。 研究人员提到，与该组织此前所有已确认的恶意软件活动相比，这套新型软件的使用更为激进。 GTIG 认为，这一现象表明 Coldriver 的恶意软件开发与行动节奏正迅速加快。 Coldriver 还拥有 Star Blizzard、Callisto 和 UNC4057 等代号，是一个被认定与俄罗斯联邦安全局（FSB）有关联的威胁组织。 该组织至少自 2017 年起开始活跃，其已知行动重点是 “凭证钓鱼” 活动，目标包括知名非政府组织（NGO）、前情报与军事官员以及北约（NATO）成员国政府，目的是开展间谍活动。 2023 年 12 月，英国国家网络安全中心（NCSC）表示，该组织是一系列持续网络攻击的幕后黑手，这些攻击旨在干预英国政治与民主进程。 2024 年 1 月，谷歌发现该组织的行动已不止于 “钓鱼窃取凭证”，还开始投放能够从目标设备中窃取敏感信息的恶意软件。 2025 年 5 月，GTIG 监测到 Coldriver 在同年 1 月至 3 月的恶意活动中，使用了一款名为 LostKeys 的新型恶意软件。 GTIG 在 10 月 20 日的新报告中称，自 LostKeys 被披露后，尚未再观察到这款恶意软件的活动痕迹。 相反，Coldriver 似乎已转向一套新型恶意软件家族，谷歌将其分别追踪为 NoRobot、YesRobot 和 MaybeRobot。 攻击始于一个 “ClickFix 风格” 的钓鱼诱饵 —— 这是一个伪造的验证码（CAPTCHA）页面，目的是诱骗受害者认为自己必须完成 “人机验证” 才能继续操作。谷歌将该诱饵追踪为 ColdCopy。 该页面会诱导用户通过 Windows 合法工具 rundll32.exe，下载并运行一个名为 NoRobot 的恶意动态链接库（DLL）。为强化 “验证码验证” 的伪装，该 DLL 的导出函数被命名为 “humanCheck”（人机检查）。 这种方式取代了过去依赖 PowerShell 的旧方法，使得监控 “基于脚本执行” 的安全工具更难检测到攻击。 NoRobot DLL 执行后会充当 “下载器” 的角色。其早期版本采用 “分钥加密” 机制，部分解密密钥隐藏在下载文件和 Windows 注册表中（例如 HKEY_CURRENT_USER\SOFTWARE\Classes.pietas 路径下）。这一设计增加了分析难度，因为缺失任何一个组件都会导致解密失败。 随后，NoRobot 会从恶意域名 inspectguarantee [.] org 获取三个内容：一个自解压的 Python 3.8 安装程序、两个加密的 Python 脚本（分别为 libsystemhealthcheck.py 和 libcryptopydatasize.py），以及一个用于确保恶意软件在设备重启后仍能运行的计划任务。 这些 Python 脚本会协同工作，解密并启动一个精简的、基于 Python 的第一阶段后门程序 —— 谷歌将其追踪为 YesRobot。该后门通过 HTTPS 协议与硬编码的命令与控制（C2）服务器通信。 GTIG 指出，Coldriver 仅使用了 YesRobot 两周就将其弃用，原因很可能是该软件操作繁琐且易被检测 —— 尤其是 “安装 Python 环境” 这一步骤会留下明显痕迹。 研究人员认为，在 LostKeys 被曝光后，YesRobot 仅是该组织临时使用的 “过渡工具”。 2025 年 6 月前后，Coldriver 转而使用 MaybeRobot—— 一款更灵活的、基于 PowerShell 的后门程序，且无需依赖 Python 脚本。 在这一新版攻击链中，NoRobot 的功能被简化：仅需获取一个登录脚本，通过在用户登录脚本中添加 PowerShell 命令，即可实现 MaybeRobot 的持久化运行。 MaybeRobot 采用自定义 C2 协议，包含三项核心命令： 从指定 URL 下载并执行文件 通过 cmd.exe 运行命令 执行 PowerShell 代码块 与 YesRobot 不同，MaybeRobot 的设计具备 “可扩展性”，意味着攻击者可动态发送复杂命令；但该后门本身仍缺乏部分内置功能，例如 “自动数据窃取”。 2025 年 6 月至 9 月期间，Coldriver 持续对 NoRobot 进行迭代，在 “简化版” 与 “复杂版” 感染链之间交替切换。这种操作既能阻碍安全人员分析，又能确保 MaybeRobot 这款 PowerShell 后门稳定交付。 该组织还频繁进行细微调整，例如轮换基础设施、文件名和导出函数。这些举动体现了 Coldriver “适应性强的攻击手法”，迫使防御方必须捕获多个攻击组件，才能完整还原攻击过程。 GTIG 的这份报告进一步补充了 Zscaler 在 9 月发布的研究内容。在 Zscaler 的追踪体系中，NoRobot 被命名为 BaitSwitch，MaybeRobot 则被命名为 SimpleFix。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款与俄罗斯相关黑客组织 COLDRIVER 有关联的新型恶意软件，自 2025 年 5 月以来已历经多次开发迭代。这一现象表明，该威胁行为者的 “行动节奏” 正在加快。 该发现来自谷歌威胁情报团队（GTIG）。该团队表示，这个由国家支持的黑客组织，在同期披露其 LOSTKEYS 恶意软件后仅五天，就迅速改进并重组了其恶意软件库。 目前尚不清楚这些新型恶意软件家族的开发时长，但这家科技巨头的威胁情报团队称，自 LOSTKEYS 被披露后，尚未观察到该恶意软件的任何活动痕迹。 GTIG 研究员韦斯利・希尔兹在周一发布的分析报告中指出，这三款新型恶意软件代号分别为 NOROBOT、YESROBOT 和 MAYBEROBOT，它们 “是一组通过交付链相互关联的恶意软件家族”。 最新的攻击浪潮与 COLDRIVER 以往的惯用手法有所不同。该组织过去常以非政府组织（NGO）的知名人士、政策顾问和持不同政见者为目标，窃取其凭证信息。而此次新活动则采用 “ClickFix 式诱饵”，诱骗用户通过 Windows “运行” 对话框执行恶意 PowerShell 命令，整个过程伪装成虚假的验证码验证提示。 2025 年 1 月、3 月和 4 月发现的攻击活动，最终会部署一款名为 LOSTKEYS 的信息窃取类恶意软件；而后续的入侵活动则为 “ROBOT” 系列恶意软件的传播铺路。值得注意的是，恶意软件家族 NOROBOT 和 MAYBEROBOT 在 Zscaler ThreatLabz 的追踪系统中，分别使用代号 BAITSWITCH 和 SIMPLEFIX。 新的感染链始于一个名为 COLDCOPY 的 HTML 格式 ClickFix 诱饵，其设计用途是释放一个名为 NOROBOT 的 DLL 文件。该 DLL 文件随后通过 rundll32.exe 程序执行，以释放下一阶段的恶意软件。据悉，该攻击的早期版本会传播一个名为 YESROBOT 的 Python 后门，之后威胁行为者转而使用名为 MAYBEROBOT 的 PowerShell 植入程序。 YESROBOT 通过 HTTPS 协议从硬编码的命令与控制（C2）服务器获取指令。作为一款精简型后门，它具备下载并执行文件、获取目标文档的功能。截至目前，仅观察到两起 YESROBOT 部署案例，均发生在 2025 年 5 月末的两周内，而这一时间点恰好在 LOSTKEYS 的细节被公开之后。 与之相比，MAYBEROBOT 被评估为更具灵活性和可扩展性。它具备多项功能，包括从指定 URL 下载并运行有效载荷、通过 cmd.exe 执行命令，以及运行 PowerShell 代码。 研究人员认为，COLDRIVER 组织很可能是为应对 LOSTKEYS 的公开披露，仓促部署 YESROBOT 作为 “临时机制”，随后便弃用该软件转而采用 MAYBEROBOT。原因在于，NOROBOT 的早期版本中还包含一个步骤 —— 在受攻陷主机上完整安装 Python 3.8 环境。这种操作会留下 “明显痕迹”，极易引发怀疑。 谷歌还指出，NOROBOT 和 MAYBEROBOT 的使用对象可能仅限于重要目标。这些目标可能已通过钓鱼攻击被攻陷，而使用这两款恶意软件的最终目的，是从其设备中收集更多情报。 希尔兹表示：“NOROBOT 及其前身感染链一直在不断演变 —— 最初为提高部署成功率而简化设计，之后又通过拆分加密密钥重新增加复杂度。这种持续的开发行为表明，该组织正努力规避检测系统，保护其交付机制，以便继续针对高价值目标开展情报收集活动。” 与此同时，荷兰检察署（Openbaar Ministerie，简称 OM）宣布，三名 17 岁男性涉嫌为某外国政府提供服务。其中一人据称与一个隶属于俄罗斯政府的黑客组织存在联系。 荷兰检察署称：“该嫌疑人还指示另外两人，在海牙市的多个日期对 Wi-Fi 网络进行测绘。前者将收集到的信息有偿分享给客户，而这些信息可被用于数字间谍活动和网络攻击。” 2025 年 9 月 22 日，两名嫌疑人已被逮捕。第三名嫌疑人虽已接受当局讯问，但因在案件中 “角色有限”，目前被处以软禁。 荷兰检察署补充道：“目前尚无迹象表明，与俄罗斯政府下属黑客组织有联系的那名嫌疑人受到了胁迫。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 核心事件概况 俄罗斯黑客组织 Lynx窃取并泄露了英国皇家空军（RAF）和皇家海军 8 处基地的国防部（MoD）文件，在这场通过 “多德集团”（Dodd Group）入侵发起的 “灾难性” 网络攻击中，人员敏感数据遭到曝光。 此次事件发生于 9 月 23 日。据《每日邮报》（The Daily Mail）报道，攻击源头是英国国防部的承包商多德集团 —— 该集团被Lynx组织攻破后，数百份涉及 8 处皇家空军及皇家海军基地的敏感文件遭窃取并泄露，《每日邮报》将此次攻击定性为 “灾难性” 事件。 泄露数据与涉事企业背景 泄露数据内容：遭泄露的信息包括工作人员姓名与邮箱、承包商姓名、电话号码、车辆详情及国防部人员联系方式。部分文件还标注有 “受控”（Controlled）或 “官方敏感”（Official Sensitive）等级。 多德集团简介：该集团拥有超过 1100 名员工，业务覆盖教育、医疗、住房、公用事业及国防领域的重大项目，包括为英国国防部提供维护与建筑服务，是英国领先的私营工程及设施管理公司之一。 攻击后续发展：Lynx这一勒索软件组织已将多德集团列入其 Tor 数据泄露网站，声称窃取了约 4TB 数据。目前该组织已开始泄露被盗数据，泄露原因可能是双方谈判破裂。 涉事军事基地与文件细节 据《每日邮报》披露，泄露的国防部文件包含多处皇家空军及海军基地的敏感信息，涉及基地包括： 莱肯希思基地（RAF Lakenheath）：部署有美国 F-35 战斗机，且据信存放有核弹。 波特里斯基地（RAF Portreath）：北约防空网络的顶级机密雷达站。 普雷丹纳克基地（RAF Predannack）：现为英国国家无人机中心（National Drone Hub）所在地。 泄露文件总量约 1000 份，具体包括： 波特里斯皇家空军基地和卡尔德罗斯皇家海军航空站（RNAS Culdrose）的访客记录。 内部邮件与安全指南。 莱肯希思皇家空军基地和米尔登霍尔皇家空军基地（RAF Mildenhall）的建筑施工记录，其中包含敏感作战细节。 各方回应与风险警示 多德集团回应：该集团已公开披露此次数据泄露事件，但公司发言人称仅 “少量数据”（limited data）被盗。 专家警示：情报专家指出，国家级行为体可能将被盗数据用于情报收集，或对受影响机构发起进一步网络攻击。 英国国防部行动：目前英国国防部已针对该事件启动调查。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文