HackerNews 编译，转载请注明出处： 黑客声称已入侵得克萨斯州的电力合作社，泄露了敏感财务文件。 据称，发起此次勒索软件攻击的网络犯罪团伙 “麒麟”（Qilin）已在暗网的泄露网站上，将两家得克萨斯州电力分销合作社列为攻击受害者。 其中一家涉嫌受害的合作社是圣伯纳德电力合作社（San Bernard Electric Cooperative）。该合作社拥有约 3900 英里的配电线路，为得克萨斯州 8 个县（包括奥斯汀县、科罗拉多县、费耶特县、格莱姆斯县、哈里斯县、拉瓦卡县、蒙哥马利县和沃勒县）的约 2.8 万户家庭供电，年收入达 9250 万美元。 另一个攻击目标是卡恩斯电力合作社（Karnes Electric Cooperative）。该合作社运营着近 5000 英里的线路，为 12 个县的 2.3 万户家庭提供服务，年收入为 7580 万美元。 这些指控极具麻烦性，因为涉事企业属于美国关键基础设施范畴 —— 这意味着保护它们是国家安全的优先事项。 得克萨斯州电力供应商被盗取了哪些数据？ 该团伙在其泄露网站上，提供了据称属于受害者的被盗数据样本。在勒索软件攻击中，威胁者发布数据样本是一种常见手段，目的是警告企业支付赎金。 Cybernews 的研究人员对 “麒麟” 团伙声称属于圣伯纳德电力合作社的数据样本进行了调查，发现其中包含以下文件： 首次事件报告，包含人员全名、电话号码和事件详情 年度预算报告 保险文件 费率案费用报告 来自其他公司的发票 人工与设备费用报告 地役权合同 暗网上与卡恩斯电力合作社相关的帖子中，包含的数据样本泄露了以下信息： 董事会成员名单，包括成员姓名、地址和联系方式 财务文件，如收支余额报告和日常财务运营文件 组织成员数据，包括姓名、地址和邮政编码 目前这些数据的真实性尚未得到核实 —— 勒索软件团伙重新拿出以往数据泄露事件中的旧数据，谎称是新入侵获取的情况，并不罕见。 但如果数据被证实为真实，将对涉事企业产生安全影响。这不仅表明关键基础设施易受网络攻击，还可能使企业的声誉和业务流程面临风险。 Cybernews 研究人员表示：“泄露的财务数据可能会暴露定价策略、导致信任丧失或竞争劣势；被公开的事件则可能反映出服务质量问题。” “个人身份信息（PII）可能被用于身份盗窃、骚扰和针对性的社会工程攻击，对董事会成员而言尤其如此。” Cybernews 已联系涉事企业寻求证实，但尚未收到回复。 什么是 “麒麟” 勒索软件？ “麒麟”（Qilin）是勒索软件领域的知名势力。该团伙与俄罗斯有关联，已知会针对医院和制造业发起攻击。“麒麟” 于 2022 年首次出现在勒索软件领域，但它在暗网泄露网站上声称，其早在 2021 年就已开始运作。 根据 Cybernews 的 “勒索观察”（Ransomlooker）监控工具显示，仅从 9 月初至今，“麒麟” 就已列出超过 88 名受害者；截至目前，该团伙在过去 12 个月内已针对约 585 名受害者发起攻击，跃居最活跃勒索软件团伙榜首。 “麒麟” 的攻击活跃度远超其他勒索软件对手，如 Cl0p Play、INC Ransom 和 Akira。2025 年 1 月 1 日至今，“麒麟” 已声称发起了超过 500 次攻击。 今年 4 月，该团伙声称对韩国 SK 电信（SK Telecom）发起了勒索软件攻击，并宣称窃取了 1TB 数据。4 月底，SK 电信通知了用户，并为所有用户启动了免费的 SIM 卡更换服务。 “麒麟” 还声称对日本最大啤酒生产商朝日集团控股（Asahi Holdings）发起了网络攻击。此次攻击扰乱了朝日的运营，导致日本最受欢迎的啤酒、软饮料和冰茶出现供应短缺。 8 月，日产汽车（Nissan）位于东京的创意盒子设计工作室（Creative Box）遭到该团伙攻击，“麒麟” 声称窃取了 4TB 的敏感设计数据。这家日本汽车巨头目前已在公开声明中证实其网络遭遇入侵。 该团伙还声称入侵了旧金山加州高尔夫俱乐部（California Golf Club of San Francisco）—— 这是美国最顶级的会员制高尔夫俱乐部之一，也是硅谷高管们的热门去处。据称，团伙窃取了该俱乐部 10GB 的会员数据。 此外，“麒麟” 还制造了针对英国国民医疗服务体系（NHS）合作伙伴赛诺维斯实验室（Synnovis Laboratories）的臭名昭著的攻击。此次攻击造成了毁灭性后果：医院被迫立即将患者转移到其他机构，并取消了超过 1 万次预约、择期治疗和外科手术（包括所有移植手术），原因是血液输注供应中断。 最近，同样与俄罗斯有关联的知名团伙 “锁比特”（LockBit）与 “龙力”（DragonForce）、“麒麟” 勒索软件组成了联盟。专家认为，“锁比特”、“麒麟” 与 “龙力” 的联盟可能通过资源共享，推动攻击策略升级，并增加攻击数量。   消息来源： cybernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 TwoNet 的亲俄黑客组织在不到一年的时间里，从发起分布式拒绝服务（DDoS）攻击转向瞄准关键基础设施。 最近，该威胁行为者声称攻击了一家水处理厂，但事实证明这是一个由威胁研究人员专门设置的高仿真蜜罐系统，用于观察攻击者的行动。这场对诱饵设施的入侵发生在 9 月，揭示了威胁行为者从初始访问到实施破坏性行动仅用了约 26 小时。 为企业 IT 和工业网络提供 cybersecurity 解决方案的 Forescout 公司研究人员，在监控 TwoNet 在虚假水处理厂的活动时发现，黑客于上午 8:22 尝试使用默认凭证并获得了初始访问权限。在第一天，该黑客组织试图枚举系统上的数据库；在使用了适用于该系统的正确 SQL 查询后，他们在第二次尝试中取得了成功。 攻击者随后创建了一个名为 Barlati 的新用户账户，并利用一个编号为 CVE-2021-26829 的旧版存储型跨站脚本（XSS）漏洞宣布了他们的入侵。 他们利用这一安全问题在人机界面（HMI）上触发了一个弹出警报，显示信息为 “被 Barlati 黑客入侵”。 然而，他们还采取了更具破坏性的行动，以干扰流程并禁用日志和警报。Forescout 的研究人员表示，TwoNet 并未意识到自己入侵的是一个诱饵系统，他们通过从数据源列表中移除连接的可编程逻辑控制器（PLC）来禁用实时更新，并在人机界面中更改了 PLC 的设定值。“攻击者没有尝试权限提升或利用底层主机，而是完全专注于人机界面的 Web 应用层”。 第二天上午 11:19，Forescout 研究人员记录了入侵者的最后一次登录。 虽然 TwoNet 最初只是另一个亲俄黑客组织，专注于对支持乌克兰的实体发起 DDoS 攻击，但该团伙似乎正在从事各种网络活动。 Forescout 在攻击者的 Telegram 频道上发现，TwoNet 试图瞄准 “敌国” 关键基础设施组织的人机界面（HMI）或监控与数据采集（SCADA）系统界面。 该团伙还公布了情报和警务人员的个人详细信息，提供各种网络犯罪服务的商业报价，如勒索软件即服务（RaaS）、黑客雇佣，或提供对波兰 SCADA 系统的初始访问权限。 “这种模式与其他从 ‘ 传统 ‘ 的 DDoS 攻击 / 网站篡改转向操作技术（OT）/ 工业控制系统（ICS）操作的组织相似，”Forescout 研究人员表示。 为降低被入侵的风险，Forescout 建议关键基础设施领域的组织确保系统具有强大的身份验证，且不暴露在公共网络上。 对生产网络进行适当分段，结合基于 IP 的访问控制列表用于管理员界面访问，即使攻击者入侵了企业网络，也能将其阻挡在外。 Forescout 还建议使用协议感知检测，以对利用尝试和人机界面中的更改发出警报。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯正采取措施，暂时限制外国 SIM 卡接入移动网络。这是俄罗斯在国家安全和反无人机措施的名义下，加强通信管控的最新举措。 新规要求，持外国 SIM 卡入境俄罗斯的人员，其移动网络将被强制中断 24 小时。邻国白俄罗斯和哈萨克斯坦的移动运营商已向旅客发出提醒：接入俄罗斯通信网络后的首 24 小时内，包括移动互联网和短信在内的漫游服务将无法使用。 据俄罗斯本土网络监测机构 “Na Svyazi”表示，每当用户跨越俄国内区域边境或切换至不同通信网络时，上述限制就会重新生效。这意味着在俄罗斯境内旅行期间，用户的通信连接可能持续处于不稳定状态。 俄罗斯政府尚未就该措施公开置评。不过在今年 8 月，俄官员曾提议对外国 SIM 卡设置所谓的 “冷却期”，即用户入境后移动数据服务将暂时停用。他们称，这项规定对于防止无人机通过外国移动网络被操控至关重要，并表示断网时长的设定依据是 “跨境无人机的平均飞行时间”。 如今，获取俄罗斯本地 SIM 卡也变得愈发困难。外国游客需前往银行提交生物特征数据，通过俄罗斯政府 “国家政务服务”（Gosuslugi）平台完成注册，并申请个人税号 —— 整个流程可能需要数天时间。据悉，移动运营商已请求政府简化这一手续。 此次新限制出台之际，俄罗斯正经历一波范围更广的网络中断。自今年 5 月以来，俄地方当局多次切断移动网络，理由是需要 “对抗乌克兰无人机”。官员们还封锁了通过 Telegram、WhatsApp 等热门即时通讯应用发起的通话，并将此举定性为 “反欺诈行动” 的一部分。 数字权益组织及监督机构指出，许多网络中断措施看似具有随意性，与实际安全威胁并无关联。分析人士认为，部分地方当局关闭移动网络，仅仅是为了向克里姆林宫表明 “正在采取反无人机行动”—— 尽管无人机的操控通常并不依赖移动数据。 “Na Svyazi” 的数据显示，仅今年 8 月，俄罗斯就记录了 2129 次网络中断事件，这是自对乌克兰发起全面军事行动以来的最高纪录，造成的经济损失估计达 3.23 亿美元。多数中断为局部性，仅影响部分城市区域，但也有部分中断导致整座城镇的移动网络陷入瘫痪。 官员们以 “安全关切”“无人机威胁” 和 “高度戒备状态” 为由，为这些限制措施辩护。但 “Na Svyazi” 指出，法律专家认为此类措施并未获得联邦法律的明确授权：俄联邦法律仅允许在战时状态、紧急状态或根据俄联邦安全局（FSB）直接指令的情况下限制通信 —— 而目前这三种情况均未正式宣布。 当地专家表示，针对外国 SIM 卡的最新限制措施，预计将给旅客、外籍居民及跨境企业带来极大不便，因为用户可能无法使用依赖短信验证的移动银行服务及身份认证服务。 电信行业分析师埃尔达尔・穆尔塔津（Eldar Murtazin）撰文称：“现在，外国 SIM 卡在俄罗斯的漫游服务基本可以指望不上了，至少要等到无人机局势稳定 —— 而这一切何时能结束，根本无法预测。” 他还补充道，如此大规模的通信服务限制，在全球其他地区尚无先例。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两名17岁的荷兰少年因涉嫌使用黑客设备替俄罗斯从事间谍活动，于本周一被荷兰警方逮捕。 根据荷兰《电讯报》（DeTelegraaf）消息，这两名少年曾在欧盟刑警组织、欧洲司法组织，以及位于海牙的加拿大驻荷兰大使馆周边，使用WiFi嗅探设备开展间谍活动。 欧盟刑警组织工作人员称，目前没有迹象表明机构系统遭到入侵。“我们正就此事与荷兰当局保持密切联系。欧盟刑警组织拥有完善的安全基础设施，目前没有任何证据显示我们的系统受到损害。我们对业务运营和工作人员的安全极为重视，将继续与合作伙伴紧密合作，应对各类潜在风险。” 荷兰国家安全情报局提供的线索，最终促成了警方的抓捕行动。据悉，这两名青少年是通过Telegram平台被招募的。 《电讯报》提到：其中一名青少年是在家里写作业的时候被逮捕的，其父母对儿子参与间谍活动一事完全不知情。一位青少年的父亲在接受采访时无奈表示：“我们教育孩子时，会提醒他们防范生活中的危险，比如吸烟、电子烟、酒精和毒品。但从没想过会有这样的风险，谁能料到这种事会发生在自己孩子身上？” 由于涉案情节严重，在调查持续期间，两名少年将被拘留至少两周。 这起案件并非个例，欧洲多地出现的“低级别招募”活动正在升级。此前在德国就已发生类似事件：俄罗斯特工曾收买当地青少年，让他们对关键基础设施实施破坏和sabotage行为。 值得注意的是，两名少年使用的“WiFi嗅探设备”，本质是通过监听WiFi频道上的无线电信号，识别无线网络并拦截数据流量的工具，通常用于攻击行动的“侦察阶段”。 事实上，俄罗斯黑客利用WiFi网络发起远程攻击的能力早有先例。网络安全公司Volexity在2024年的一份报告中就曾披露，俄罗斯APT28（代号“FancyBear”）黑客组织曾采用“近邻攻击”（nearestneighborattack）手段：利用一家与美国某公司WiFi信号覆盖范围重叠的邻近机构，突破了该美国公司的企业WiFi网络。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯高级持续性威胁（APT）组织 COLDRIVER 被指控发起新一轮 ClickFix 式攻击，用于投递两种新型“轻量级”恶意软件家族，分别为 BAITSWITCH 和 SIMPLEFIX。 本月早些时候，Zscaler ThreatLabz 发现了这一多阶段 ClickFix 攻击活动。研究人员指出，BAITSWITCH 是一个下载器，最终会投递 SIMPLEFIX ，一种基于 PowerShell 的后门。 COLDRIVER 也被称为 Callisto、Star Blizzard 和 UNC4057，自2019年以来一直被追踪为与俄罗斯相关的威胁行为体，其攻击目标涵盖多个领域。早期，该组织常通过鱼叉式钓鱼诱导受害者进入凭证窃取页面；近年来，他们逐渐开发并使用 SPICA 和 LOSTKEYS 等定制工具，显示出较高的技术成熟度。 该组织使用 ClickFix 战术的情况，早在2025年5月就被 Google 威胁情报组（GTIG）披露。当时他们通过伪造网站的“假验证码验证”界面，诱使受害者执行 PowerShell 命令，从而下载 LOSTKEYS 的 Visual Basic 脚本。 Zscaler 安全研究员 Sudeep Singh 和 Yin Hong Chang 在本周发布的报告中表示：“持续利用 ClickFix 表明它作为感染途径依然高效，即使这种方法既不新颖，也不算特别先进。” 最新攻击链沿用了相同模式：诱骗毫无防备的用户在 Windows 运行对话框中输入恶意 DLL，以完成伪造的验证码检查。这个 DLL（即 BAITSWITCH）会连接到攻击者控制的域名 captchanom[.]top，从中下载 SIMPLEFIX 后门，同时向受害者展示托管在 Google Drive 上的诱饵文档。 此外，该恶意程序还会向同一服务器发送多次 HTTP 请求，用于传送系统信息、接收建立持久化的命令、将加密载荷存储在 Windows 注册表中、下载 PowerShell 启动器，并清除运行对话框中最近执行的命令，以此抹除 ClickFix 攻击的痕迹。 下载的 PowerShell 启动器随后会连接到外部服务器 southprovesolutions[.]com，下载 SIMPLEFIX，再与指挥控制（C2）服务器建立通信，执行远程 URL 上托管的 PowerShell 脚本、命令及二进制文件。 其中一段通过 SIMPLEFIX 执行的 PowerShell 脚本会窃取指定目录下、预设文件类型清单中的信息。这些扫描目录和文件扩展名与 LOSTKEYS 有部分重叠。 Zscaler 表示：“COLDRIVER APT组织长期以来以西方地区的非政府组织成员、人权维护者、智库研究人员，以及流亡在外的俄罗斯公民为主要攻击对象。本次活动的受害者画像与其一贯的攻击目标高度一致。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据西方研究人员、摩尔多瓦官员以及泄露文件的消息显示，在摩尔多瓦议会选举前夕，俄罗斯正加大虚假信息宣传及秘密影响力行动的力度，企图阻碍该国加入欧盟的进程。 摩尔多瓦将于 9 月 28 日选举产生新议会，届时总统玛雅・桑杜（Maia Sandu）领导的执政党 “行动与团结党”（PAS）将与亲俄反对派联盟展开对决。尽管有与俄罗斯相关的势力试图影响选举结果，但桑杜仍在 2024 年 11 月的第二轮总统选举中击败前摩尔多瓦总检察长亚历山大・斯托亚诺格洛（Alexandr Stoianoglo），成功连任总统。 美国战争研究所（ISW）在 9 月初发布的报告中指出，克里姆林宫正再次试图干预 2025 年议会选举，以阻止执政党继续占据议会多数席位。 研究人员表示：“这些选举影响力行动，是莫斯科为实现其长期战略目标 —— 阻止摩尔多瓦与西方融合 —— 所采取的整体举措的一部分。” 虚假信息网络 英国广播公司（BBC）周末报道称，一个由俄罗斯资助的网络正招募摩尔多瓦人在 TikTok 和 Facebook 上发布宣传内容，每月通过已遭制裁的俄罗斯普罗姆斯维亚兹银行（Promsvyazbank）向他们支付约 3000 列伊（折合 170 美元）报酬。 招募方要求参与者使用人工智能生成内容，以毫无根据的指控攻击桑杜及行动与团结党，例如声称政府计划操纵选举、加入欧盟要求公民改变性取向、桑杜与儿童贩卖活动有关联等。 BBC 指出，该网络与逃亡寡头伊兰・肖尔（Ilan Shor）存在关联。肖尔因协助克里姆林宫实施影响力行动，已受到美国和英国的制裁。报道确认，至少有 90 个 TikTok 账号参与其中，这些账号今年已发布数千条视频，累计观看量超过 2300 万次。 战争研究所还表示，自 4 月以来，俄罗斯还强化了 “套娃”（Matryoshka）和 “过载”（Overload）两项虚假信息行动 —— 前者旨在传播亲俄虚假叙事，后者则通过大量编造内容让事实核查机构应接不暇。 这些行动均隶属于俄罗斯规模更大的 “分身”（Doppelganger）行动，该行动的核心是 “克隆” 合法媒体机构及公共机构的网站，以此传播宣传内容。 摩尔多瓦的应对措施 摩尔多瓦执法部门正针对涉嫌参与亲俄影响力行动的人员展开搜查。 上周，当局在一系列突袭行动中查获约 30.2 万美元资金，称这些资金与俄罗斯支持的洗钱计划有关；同时还关停了一家被指控传播与肖尔相关宣传内容的媒体机构。 本周一，当地警方拘留了数十人，此次行动是针对一起涉嫌由俄罗斯支持、旨在煽动大规模骚乱的阴谋所开展的调查的一部分。警方表示，突袭行动覆盖多个地区，涉及超过 100 名相关人员。 克里姆林宫的 “行动手册” 彭博社周一援引泄露的克里姆林宫文件报道称，莫斯科已制定一项战略，旨在削弱桑杜在议会选举中的影响力，并最终将其赶下台。 泄露文件中披露的该计划详细列出了多项举措：动员摩尔多瓦海外侨民选民、组织街头抗议活动，以及在 TikTok、Telegram 和 Facebook 上发起协调一致的虚假信息宣传。尽管彭博社无法证实该计划是否已付诸实施，但两名了解此事的欧洲官员表示，“几乎可以肯定” 俄罗斯有意推进计划中的大部分内容。 战争研究所指出，俄罗斯似乎从 2024 年罗马尼亚总统选举干预行动中吸取了经验，尤其是在 TikTok 的广泛使用方面。此前，亲俄极端民族主义者卡林・乔治斯库（Calin Georgescu）曾利用该平台推广其竞选活动 —— 他在后来被宣布无效的首轮选举中获胜。 研究人员表示，俄罗斯影响力行动的主要目标是确保摩尔多瓦议会中出现一个对克里姆林宫友好的多数派。 战争研究所补充道：“若基希讷乌（摩尔多瓦首都）和蒂拉斯波尔（德涅斯特河沿岸地区自称的首都）均出现对克里姆林宫友好的政府，莫斯科将能同时对摩尔多瓦西部的北约（成员国）和东部的乌克兰构成威胁。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司ESET发现证据表明，与俄罗斯有关联的黑客组织 Gamaredon 和 Turla协作， 于 2025 年 2 月至 4 月期间展开了针对乌克兰的网络攻击。 与俄罗斯有关联的高级持续性威胁（APT）组织 Gamaredon（又名 Shuckworm、Armageddon、Primitive Bear、ACTINIUM、Callisto），自 2013 年起便以乌克兰政府、执法部门及国防机构为攻击目标，这一点已为外界所熟知。 另一个 APT 组织 Turla（又名 Snake、Uroburos、Waterbug、Venomous Bear、KRYPTON）至少自 2004 年起开始活跃，其攻击范围覆盖中东、亚洲、欧洲、北美及南美地区，目标包括外交机构、政府组织及私营企业，同时也涉及前苏联加盟共和国。 Turla 隶属于俄罗斯联邦安全局（FSB）的 16 中心 —— 该中心是克格勃（KGB）负责对外情报的第 16 总局的继承者；而 Gamaredon 则与 FSB 的 18 中心存在关联，该中心的前身是克格勃负责国内安全的第 2 总局。这两个部门在过去便常有合作，如今职责仍存在重叠，在针对乌克兰的行动中表现尤为明显。尽管俄罗斯各情报机构间竞争激烈，但同一部门下属的组织往往会展开协作，此次 Turla 与 Gamaredon 的联手便是典型案例。 ESET 研究人员表示，这两个得到俄罗斯政府支持的黑客组织，在 2025 年 2 月至 4 月对乌克兰的网络攻击中进行了合作：Gamaredon 先部署自有工具重启目标系统，随后在选定的乌克兰目标设备上植入 Turla 的恶意软件。这种罕见的协作模式表明，不同威胁行为者可通过协同行动扩大攻击影响力，在紧张的地缘政治背景下，加剧了对乌克兰关键系统攻击的复杂性与持久性。 2025 年初，ESET 在乌克兰发现了四起 “双组织协同入侵” 事件：在这些事件中，Gamaredon 部署了 PteroLNK、PteroGraphin 等多款工具，而 Turla 则植入了 Kazuar 恶意软件。在某一台受感染设备上，Turla 甚至利用 Gamaredon 的植入程序重启了自身的 Kazuar 恶意软件，这一行为直接证明了两个网络间谍组织之间存在主动协作。此后，Gamaredon 还直接部署了 Kazuar v2 版本恶意软件，这进一步印证了 Turla 对 Gamaredon 的依赖 —— 后者为其获取乌克兰关键目标的访问权限提供了支持。专家指出，这是首次发现两个组织之间存在技术层面的关联证据。 ESET 发布的报告中写道：“2025 年 2 月，通过 ESET 的遥测数据，我们在乌克兰发现了四起 Gamaredon 与 Turla 协同入侵的案例。在这些受感染设备上，Gamaredon 部署了多款工具，包括 PteroLNK、PteroStew、PteroOdd、PteroEffigy 及 PteroGraphin，而 Turla 仅部署了 Kazuar v3 版本恶意软件。” 在过去 18 个月中，研究人员在乌克兰的 7 台设备上追踪到了 Turla 的活动痕迹。其中 4 台设备于 2025 年 1 月先被 Gamaredon 入侵，随后 Turla 在次月（2 月）在这些设备上部署了 Kazuar v3。在此之前，Turla 最近一次在乌克兰发起攻击可追溯至 2024 年 2 月。Gamaredon 采用 “大规模感染” 策略，在乌克兰境内广泛传播恶意软件；而 Turla 则采取 “精选目标” 策略，仅选择最具价值的系统（很可能是存储敏感情报的设备）发动攻击，这一行为印证了其对高价值间谍目标的专注。 这两个与俄罗斯联邦安全局（FSB）相关联的 APT 组织，显然在针对乌克兰的行动中展开了协作。Gamaredon 此前就有向其他组织（如 InvisiMole）共享目标访问权限的记录；而 Turla 则常 “劫持” 其他组织的基础设施，例如 2019 年针对 OilRig 组织、2023 年针对 Andromeda 组织、2024 年针对 Amadey 组织的行动中均出现过此类行为。分析人员认为，最有可能的协作模式是：Gamaredon 向 Turla 开放了部分目标设备的访问权限，为其部署 Kazuar 恶意软件创造了条件。其他可能性较低的情况包括：Turla 劫持了 Gamaredon 的工具，或 Gamaredon 在未公开的情况下自行使用 Kazuar 恶意软件。 以下是针对 ESET 观察结果提出的三种假设： 报告进一步指出： “可能性低：Gamaredon 获得了 Kazuar 的使用权限，并在特定设备上部署该恶意软件。考虑到 Gamaredon 的攻击风格向来‘高调且范围广’，我们认为该组织不太可能刻意仅在极少量目标设备上谨慎部署 Kazuar。” “可能性极高：鉴于两个组织同属俄罗斯联邦安全局（FSB）（虽分属不同中心），Gamaredon 向 Turla 的操作人员开放了目标设备访问权限，使其能在特定设备上发送命令以重启 Kazuar，并在其他部分设备上部署 Kazuar v2 版本。” “可能性低：Turla 入侵了 Gamaredon 的基础设施，并利用这一访问权限重新获取了乌克兰某台设备的控制权。由于 PteroGraphin（Gamaredon 的工具）包含用于修改命令与控制（C&C）服务器页面的硬编码令牌，这一可能性无法完全排除。但这意味着 Turla 需完整复刻 Gamaredon 的攻击链条，实现难度极大。” 目前，Gamaredon 最初获取目标设备访问权限的方式仍不明确，但研究人员指出，该组织通常依赖鱼叉式钓鱼邮件，以及通过可移动存储设备传播含恶意 LNK 文件（借助 PteroLNK 等工具实现）的方式发起攻击。 针对已调查的攻击事件，ESET 已发布相关入侵指标（IoCs，用于识别网络攻击的线索，如恶意 IP、文件哈希值等）及恶意软件样本。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款代号为“CountLoader”的新型恶意软件加载器，该加载器已被俄罗斯勒索软件团伙用于投放后续渗透工具（如 Cobalt Strike、AdaptixC2）以及一款名为“PureHVNC RAT”的远程访问木马。 网络安全公司Silent Push在分析报告中表示：“CountLoader要么被用作初始访问代理（IAB）工具集的一部分，要么由与 LockBit、Black Basta、Qilin 等勒索软件团伙存在关联的勒索软件附属攻击者使用。” 这款新兴威胁存在三个不同版本（基于.NET、PowerShell 和 JavaScript 开发），研究人员发现其在一场攻击活动中，通过伪造乌克兰国家警察局身份，以含恶意程序的 PDF 文件作为钓鱼诱饵，针对乌克兰个人用户发起攻击。 值得注意的是，卡巴斯基此前曾指出，该恶意软件的 PowerShell 版本曾通过与 DeepSeek 相关的诱饵文件传播，诱骗用户安装。这家俄罗斯网络安全厂商表示，相关攻击最终会在目标设备上部署一款名为“BrowserVenom”的植入程序，该程序可重新配置所有浏览器进程，强制网络流量通过攻击者控制的代理服务器，从而实现对网络流量的操控与数据收集。 Silent Push 的调查显示，JavaScript 版本是功能最完善的加载器版本，具备六种不同的文件下载方式、三种不同的恶意软件可执行文件运行方法，以及一项基于 Windows 域信息识别受害者设备的预设功能。 该恶意软件还能收集系统信息，通过创建伪装成谷歌 Chrome 浏览器更新任务的计划任务，在主机上建立持久化控制，并连接远程服务器等待后续指令。 具体功能包括：通过“rundll32.exe”和“msiexec.exe”工具下载并运行 DLL 文件与 MSI 安装程序载荷；传输系统元数据；删除已创建的计划任务。其六种文件下载方式分别借助curl、PowerShell、MSXML2.XMLHTTP、WinHTTP.WinHttpRequest.5.1、bitsadmin 及 certutil.exe 等工具或组件实现。 Silent Push 指出：“CountLoader的开发者通过使用‘certutil’‘bitsadmin’等白利用程序（LOLBins），并实现实时命令加密的 PowerShell 生成器，展现出对 Windows 操作系统及恶意软件开发的深入理解。” CountLoader 的一个显著特点是将受害者的“音乐（Music）文件夹”用作恶意软件的暂存区。其中，.NET 版本与 JavaScript 版本存在一定功能重叠，但仅支持两种命令类型（UpdateType.Zip 或 UpdateType.Exe），属于功能精简的版本。 CountLoader 依托由 20 多个独立域名构成的基础设施运行，其核心作用是作为传输通道，向目标设备投放 Cobalt Strike、AdaptixC2 与 PureHVNC RAT，后者是威胁攻击者 “PureCoder”开发的商业性质恶意程序，且为“PureRAT”（又称“ResolverRAT”）的早期版本。 据网络安全公司Check Point 透露，近期传播 PureHVNC RAT 的攻击活动，均采用经实战验证的“ClickFix”社会工程学战术作为传播载体：攻击者通过虚假招聘信息引诱受害者访问 ClickFix 钓鱼页面，再通过一款基于 Rust 语言开发的加载器部署该木马。 该公司表示：“攻击者借助虚假招聘广告引诱受害者，通过ClickFix 钓鱼技术在受害者设备上执行恶意 PowerShell 代码。”同时指出，PureCoder 会不断更换 GitHub 账号，用于托管支持 PureRAT 功能的相关文件。对这些 GitHub 账号提交记录的分析显示，相关操作均在 UTC+03:00 时区进行，该时区涵盖俄罗斯等多个国家和地区。 与此同时，网络安全公司 DomainTools 的调查团队揭示了俄罗斯勒索软件生态的关联性：不同勒索软件团伙的攻击者存在人员流动，且普遍使用 AnyDesk、Quick Assist 等工具，表明各团伙在运营层面存在重叠。 DomainTools 表示：“这些攻击者对‘团伙品牌’的忠诚度较低，核心资产并非特定的恶意软件毒株，而是人力资源。攻击者会根据市场环境调整策略，在遭遇打击后进行重组，且信任关系至关重要 —— 这些人会选择与认识的人合作，无论所属团伙名称如何。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周四，俄罗斯地区性航空公司克拉斯航空（KrasAvia）表示，其部分数字服务因系统故障陷入中断状态。这是俄罗斯航空业在一波疑似网络攻击浪潮中遭遇的最新事故。 克拉斯航空称其技术人员正“采取措施将航班时刻表所受影响降至最低，并尽快推动各项服务恢复正常运营”。截至当地时间周四晚间，该公司官网仍无法访问，在线售票服务暂停。航空公司还提示乘客，各机场的电子值机服务目前暂时无法使用。 尽管系统出现中断，克拉斯航空仍表示航班将按原计划执飞。该航空公司的航线主要覆盖西伯利亚中部地区及蒙古。 克拉斯航空并未直接承认遭遇网络攻击，但向当地媒体透露，此次系统故障与俄罗斯旗舰航空公司俄罗斯国际航空（Aeroflot）在 7 月下旬遭遇的停运事件极为相似。 当时，俄罗斯国际航空的 IT 系统在一场疑似网络攻击中陷入瘫痪，导致大量航班延误及取消，亲乌克兰黑客组织“沉默乌鸦”（Silent Crow）与白俄罗斯“网络游击队”（Cyber Partisans）宣称对该起攻击负责。这两个黑客组织表示，他们摧毁了俄罗斯国际航空的基础设施，并窃取了大量数据，包括航班记录、内部通话录音及监控资料。俄罗斯官方尚未证实这起网络攻击事件，也未对泄露数据的真实性作出回应。 当地时间周四，一个名为“Borus”的地区性 Telegram 频道发布了一张据称是克拉斯航空遭篡改网页的截图。图片显示，俄罗斯国际航空与克拉斯航空的标志被划上了叉号，下方配有文字“我们甚至还没开始……”，旁边还列出了其他俄罗斯航空公司的标志。图中还出现了一个类似“沉默乌鸦”组织头像的鸟类图标。 Recorded Future 新闻尚未能独立核实该截图的真实性。目前，“沉默乌鸦”与 “网络游击队”均未公开宣称对克拉斯航空的此次事件负责。 自俄罗斯对乌克兰发动全面入侵以来，针对俄罗斯航空业的网络攻击频率显著上升。 2023 年，乌克兰军事情报局（HUR）表示，已对俄罗斯民用航空管理局（Rosaviatsiya）发起网络攻击，导致后者网络系统瘫痪，不得不启用纸质化办公方式开展工作。今年，在乌克兰对俄罗斯空军基地发动无人机袭击后不久，乌克兰军事情报局还宣称入侵了俄罗斯国有飞机制造商图波列夫（Tupolev）的系统。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周日，乌克兰军方情报机构（HUR）表示，已对俄罗斯中央选举委员会及其他政府部门系统实施黑客攻击，此举是对 “俄罗斯在被占领乌克兰地区举行投票” 的回应。 此次攻击恰逢俄罗斯 “统一投票日”，当天俄罗斯全国同步举行地区和地方选举。今年，克里米亚及乌克兰其他被占领地区也同步进行了投票。乌克兰政府及其盟友均表示，此类选举不具备合法性。 乌克兰军方情报机构称，其发起的分布式拒绝服务（DDoS）攻击，目标直指俄罗斯中央选举委员会服务器、电子投票系统、国家服务门户网站 “Gosuslugi”，以及国营电信运营商 “俄罗斯电信”（Rostelecom）的核心路由器。DDoS 攻击的原理是向服务器发送海量流量，最终导致服务器瘫痪、无法正常访问。 乌克兰军方情报机构发言人称：“此次攻击的目标是干扰在线投票，尤其是在被占领的乌克兰地区。” 该发言人补充表示，攻击导致俄罗斯相关数字服务暂时陷入瘫痪，许多俄罗斯民众无法通过电子方式投票。 俄罗斯方面承认，其与选举相关的网站遭遇了持续性攻击。 俄罗斯中央选举委员会主席埃拉・帕姆菲洛娃（Ella Pamfilova）向当地官方媒体表示，自周五投票开始以来，中央选举委员会网站多次出现无法访问的情况，但她强调投票本身未受影响。 俄罗斯数字发展部副部长奥列格・卡恰诺夫（Oleg Kachanov）证实，“Gosuslugi” 门户网站及中央选举委员会的数字服务出现 “短期流量异常波动”，但远程投票平台仍按设计正常运行。 俄罗斯电信总裁米哈伊尔・奥谢夫斯基（Mikhail Oseevsky）称，为中央选举委员会网站提供支持的路由器出现过载，不得不进行重启，这导致投票高峰时段系统出现故障。他表示：“目前这些问题已得到解决”，并补充称俄罗斯将在明年议会选举前加强网络防御。 帕姆菲洛娃随后向记者透露，在为期三天的投票期间，针对中央选举委员会相关资源的攻击已记录在案的就超过 50 万次。 乌克兰外交部谴责在被占领土举行的选举 “不合法”，并呼吁盟友不承认选举结果。 欧盟对此表示认同并予以谴责，一名发言人表示，欧盟 “既不承认在被占领土上举行的所谓‘选举’，也不承认其结果”，并称此类投票是 “对国际法的又一次违反”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文