HackerNews 编译，转载请注明出处： 美国财政部宣布对俄罗斯加密货币交易所Garantex的继任平台Grinex实施制裁。此前Garantex因协助勒索软件团伙洗钱已被制裁过。 TRM Labs四月发布的报告显示，Grinex与Garantex既往运营存在紧密关联，但未提供其用于非法交易的证据。2025年3月初美国当局查封Garantex域名后（该平台处理了价值1亿美元的非法交易并为网络犯罪团伙洗钱），与Garantex相关的Telegram频道迅速开始推广Grinex。Garantex管理人员Aleksandr Mira Serda和Aleksej Besciokov随后被起诉，其中Besciokov在印度度假期间被捕。 Garantex早在2022年4月就因关联暗网市场及网络犯罪团伙遭美国财政部海外资产控制办公室（OFAC）制裁，涉及对象包括暗网市场Hydra、臭名昭著的Conti勒索软件即服务（RaaS）组织，以及Black Basta、LockBit、NetWalker、Ryuk和Phoenix Cryptolocker等勒索软件团伙。 “2025年3月6日美国特勤局主导执法行动后，Garantex高管立即搭建新基础设施转移客户资金至Grinex”，OFAC周四声明称，“Grinex宣传材料明确表示，该交易所是为应对Garantex遭制裁和资产冻结而成立，其运营以来已处理数十亿美元加密货币交易”。 昨日，OFAC还重启对Garantex的制裁，并新增制裁其三位联合创始人（Sergey Mendeleev、Aleksandr Mira Serda和Pavel Karavatsky）及六家俄吉两国合作企业（包括InDeFi Bank、Exved、Old Vector、A7、A71和A7 Agent），指控他们与两家受制裁加密交易平台存在关联。 美国国务院周四宣布，对提供线索促成Garantex高管逮捕或定罪者，最高奖励600万美元。财政部反恐和金融情报事务副部长John K. Hurley强调：“利用加密货币交易所洗钱和协助勒索软件攻击不仅威胁国家安全，更损害合法虚拟资产服务提供商的声誉”。 美国国务院数据披露，2019年4月至2025年3月间，Garantex处理的加密货币交易总额超960亿美元。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 芬兰国家检察署周一宣布，已对油轮Eagle S的三名高级船员提出严重刑事损害和严重干扰通信系统的指控。该船悬挂库克群岛旗帜，被指控蓄意破坏波罗的海关键海底电缆。 被指控的三名船员包括船长、大副和二副，其姓名未公开。该船据信属于俄罗斯“影子舰队”——该舰队通过方便旗和不透明所有权结构掩盖与俄罗斯的联系，用于运输受制裁货物（尤其是石油）。 芬兰当局于2024年12月登船调查，怀疑该船拖锚导致连接芬兰与爱沙尼亚的Estlink-2电力电缆及通信基础设施受损。最新调查显示，该船涉嫌通过拖锚在海底形成约90公里长的痕迹，造成五条海底电缆损坏。 检方声明：“除导致芬兰境内电缆停用外，仅维修费用已造成电缆所有者至少6000万欧元（约6960万美元）的直接损失。破坏高传输容量的电力与通信电缆，还对芬兰能源供应及通信安全构成严重威胁，尽管通过备用线路保障了服务运行。” 检方称嫌疑人否认指控，并声称损害发生在芬兰领海外，因此芬兰无管辖权。今年1月，波罗的海沿岸北约盟国召开会议应对该地区关键基础设施遭蓄意破坏事件激增问题，警告将“增强北约在波罗的海的军事存在”。与会方当时强调：“俄罗斯使用所谓影子舰队的行为，对波罗的海地区乃至全球的海事安全与环境构成特殊威胁。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯以国家安全威胁为由，封禁了美国公司Ookla开发的流行网速测试工具Speedtest，声称该服务可能助长网络攻击。该国通信监管机构Roskomnadzor（俄罗斯联邦通信、信息技术和大众传媒监督局）表示，封禁源于对俄罗斯通信基础设施及主权互联网Runet的安全担忧。 该机构指控Speedtest收集的详细数据可能被恶意利用。“这家美国公司获取俄罗斯通信节点布局和容量数据，”Roskomnadzor向当地媒体声明称，“这些数据可用于策划、实施及评估针对俄罗斯网络及相关系统的攻击。” Speedtest在俄罗斯被广泛使用，包括电信运营商用于内部分析。但该机构指出，这家美国平台此前未能遵守俄罗斯数据法律。Ookla因未按当地法律要求将俄罗斯用户数据本地化存储，在2022年及2023年连续两年被处以罚款。 作为替代方案，Roskomnadzor建议用户转向国产应用ProSet。这款由政府关联机构开发的安卓工具可测量数据速度、移动信号强度和网络可用性。目前其普及度有限：过去一年下载量仅约2万次，在俄罗斯应用商店Rustore平均评分2.9分（满分5分），用户对其性能、准确性和可靠性差评如潮。 周三早些时候，故障追踪服务Downdetector报告Speedtest服务中断的投诉激增。Downdetector于2018年被总部位于西雅图的Ookla收购。俄罗斯现正使用该服务的本地托管版本来追踪影响国家服务的故障。截至发稿，Ookla未回应置评请求。 此举正值俄罗斯多个地区移动网络持续中断且网速下降之际，也反映政府正加大力度用国产技术替代外国产品，并加强对俄互联网的控制。 今年6月，美国基础设施公司Cloudflare报告称，俄罗斯互联网提供商已开始屏蔽使用其服务的网站。虽未获官方解释，但Cloudflare表示该限制符合莫斯科孤立其数字基础设施的战略。 据报道，俄当局正考虑封禁该国最普及的通讯应用WhatsApp，同时推广名为Max的国产替代品（目前处于测试阶段），旨在打造类似中国微信的国家级通讯平台。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯两家最大连锁药店本周遭网络攻击，导致全国数百家药店停业，患者无法支付费用及预定药品。运营约1000家门店的Stolichki药店连锁证实，周二造成其业务中断的技术故障源于黑客攻击。截至周三，Stolichki仍在全力恢复服务，目前约半数门店已重新营业。 另一家大型连锁药店Neofarm（在莫斯科和圣彼得堡拥有超110家门店）同样暂停运营，店面张贴告示称系“技术问题”。两家药店的在线服务（包括药品预订和会员系统）均遭破坏，员工被遣散回家。 Stolichki与Neofarm同属一家控股公司，该公司原由前国家杜马议员叶夫根尼·尼凡蒂耶夫控制。2022年因支持俄罗斯入侵乌克兰遭西方制裁后，尼凡蒂耶夫将股份转让给投资基金。但当地媒体报道暗示他可能仍间接掌控该企业。 除药店外，莫斯科家庭医生诊所网络本周也报告网络事件，导致患者门户和在线预约系统暂时瘫痪。工作人员向国家通讯社表示，目前仅接受现场就诊。尚不确定该事件是否与药店攻击相关。 俄罗斯国家互联网监管机构Roskomnadzor声明此次中断非分布式拒绝服务（DDoS）攻击所致，但未说明黑客攻击方式或来源。目前尚无组织宣称对事件负责。暗网论坛用户谴责针对医疗服务的攻击违背道德，暗示可能存在地缘政治动机。 此次事件正值俄罗斯企业本月遭遇网络攻击激增。本周初，俄罗斯最大航空公司俄罗斯航空遭攻击导致大面积航班延误取消。亲乌克兰黑客组织“沉默之鸦”和白俄罗斯网络游击队宣称对此负责，称攻击目标是航空公司关键基础设施。 此外，本月初勒索软件攻击扰乱俄罗斯大型酒类生产商Novabev集团运营，迫使旗下2000多家WineLab酒店停业三天。该公司声明虽收到赎金要求但拒绝谈判。周三，圣彼得堡最大互联网供应商之一因遭受DDoS攻击出现网络中断，该公司定性为“恶意行为”，但未归因特定组织。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯航空航天及国防工业正成为一场网络间谍活动的目标，该活动通过名为“EAGLET”的后门程序窃取数据。 这项代号为“货物利爪行动”（Operation CargoTalon）的活动被归因于一个追踪编号为UNG0901（Unknown Group 901的缩写）的威胁组织。 Seqrite实验室研究员苏布哈吉特·辛哈在本周发布的分析报告中表示：“该行动旨在针对俄罗斯主要飞机制造实体之一——沃罗涅日飞机制造厂（VASO）的员工，利用对俄罗斯物流运营至关重要的文件——货物运输单（TTN）实施攻击。” 攻击始于携带货运主题诱饵的鱼叉式钓鱼邮件。邮件包含一个ZIP压缩包，其中是一个Windows快捷方式（LNK）文件。该文件利用PowerShell显示一个诱饵性的Microsoft Excel文档，同时在主机上部署EAGLET的DLL植入程序。 诱饵文档引用了奥布转运码头（Obltransterminal），这是一家俄罗斯铁路集装箱码头运营商，已于2024年2月遭到美国财政部海外资产控制办公室（OFAC）的制裁。 EAGLET被设计用于收集系统信息，并连接到硬编码的远程服务器“185.225.17[.]104”，以处理服务器的HTTP响应，提取需在受感染的Windows机器上执行的命令。 该植入程序支持Shell访问以及文件上传/下载功能。不过，由于命令控制（C2）服务器目前处于离线状态，通过此方法传递的下一阶段攻击载荷的确切性质尚不清楚。 Seqrite表示，他们还发现了该组织使用相同后门程序EAGLET针对俄罗斯军事领域的类似活动，其源代码和攻击目标与另一个以俄罗斯实体为目标的威胁组织“头号种马”（Head Mare）存在重叠。 这包括EAGLET与基于Go语言的“幻影之门”（PhantomDL）后门在功能上的相似性（两者均具备Shell和文件下载/上传功能），以及钓鱼邮件附件命名规则的相似性。 与此同时，具有俄罗斯国家背景的黑客组织UAC-0184（又名Hive0156）被指认为本月针对乌克兰受害者发起新一波攻击的源头，攻击中使用了Remcos远程访问木马（RAT）。 虽然该威胁行为者自2024年初以来就有传播Remcos木马的历史，但新近发现的攻击链已经简化：通过武器化的LNK文件或PowerShell脚本加载诱饵文件及Hijack Loader（又名IDAT Loader）载荷，最终释放Remcos木马。 IBM X-Force团队指出：“Hive0156投放武器化的微软LNK和PowerShell文件，可触发Remcos木马的下载执行”，并补充说明“关键诱饵文件主题显示其攻击焦点已从乌克兰军方扩展到更广泛目标。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰司法系统遭黑客入侵事件中，俄罗斯背景的黑客被列为重点嫌疑对象。据荷兰《AD报》援引知情人士消息，有强烈迹象表明荷兰公共检察署（OM）的系统入侵事件系俄罗斯黑客所为。攻击者潜伏在司法部系统内数周未被察觉。 风险预警始于6月17日，当时检察署远程办公使用的第三方软件Citrix NetScaler被发现存在严重漏洞。该漏洞在通用漏洞评分系统（CVSS）中被评为9.3分，属于最高风险级别。检察署向《 Volkskrant 》报证实，虽已按建议更新系统，但有理由认为漏洞在修补前已被利用。 为阻断攻击，检察署主动断开内部计算机的互联网连接。据信黑客可能已潜伏数周，接触了包括在办警方调查案卷、未审结刑事案件卷宗及员工个人信息在内的高度敏感数据。目前尚不明确具体泄露的数据范围。 历史关联 此次并非荷兰首次遭俄罗斯黑客锁定。2024年5月，荷兰情报安全局（AIVD）已确认俄罗斯黑客窃取了数万名警察的个人数据。2024年9月，荷兰国家警察披露超过65,000名警员的联系方式通过“Cookie传递攻击”从服务器被盗——该技术通过伪造用户会话凭证实施入侵。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，俄罗斯正越来越多地利用吉尔吉斯斯坦快速增长的加密货币行业规避国际制裁，并为乌克兰战争输送资金。 区块链情报公司TRM Labs新报告显示，受制裁的俄罗斯实体多次使用在吉尔吉斯斯坦注册的交易所。这些虚拟资产服务提供商（VASP）大多以空壳公司形式运作，常在不同实体间重复使用相同住址、联系方式和创始人身份。 报告指出，部分吉尔吉斯注册的VASP既无可见业务运营，也无面向公众的用户平台。有些与物流公司共享电话号码，另一些则列名毫无商业或加密货币经验的创始人。 某些实体还与高风险俄罗斯加密交易所Garantex共享钱包基础设施和行为模式——该平台于2022年被美国制裁并下线。研究人员认为部分吉尔吉斯注册企业可能由原平台的同一批人操控。 自2022年俄罗斯全面入侵乌克兰以来，克里姆林宫日益依赖替代性金融网络资助战事并获取敏感技术。吉尔吉斯斯坦已成为莫斯科的重要物流和金融枢纽。据报道，半导体、无人机部件和反无人机设备等常被视为军民两用的商品，从中国等国家出口后经吉尔吉斯斯坦转运至俄罗斯。 吉尔吉斯斯坦的加密友好政策进一步助长了此类活动。该国2022年通过法律承认虚拟资产的合法地位，并为加密企业建立许可制度，将其纳入正式监管框架。 吉尔吉斯的加密漏洞是俄罗斯重构经济体系以抵御西方制裁的整体战略一环。克里姆林宫还在本土将规避制裁行为制度化：莫斯科知名高等经济学院近期开设硕士课程，专门教授学生如何应对西方贸易和金融限制，表明俄政府将构建制裁抵御型经济视为长期战略。 西方国家日益关注俄罗斯不断扩张的制裁规避体系。今年6月，美国当局指控一名纽约居住的俄罗斯公民利用其加密公司为受制裁俄银行转移敏感美国技术和资金。 TRM Labs研究人员强调：“寻求遏制俄罗斯制裁规避手段的各国政府及执法机构，需紧急与吉尔吉斯当局直接沟通合规事宜。若放任不管，俄罗斯可能在邻国复制相同模式。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名涉嫌管理俄语网络犯罪论坛 XSS 的男子于 7 月 22 日在乌克兰被捕。 法国检察官洛尔·贝科（Laure Beccuau）在 7 月 23 日的一份官方声明中表示，该个体是在法国警方和欧洲刑警组织（Europol）的合作下，被乌克兰当局拘留的。 此次逮捕是巴黎警察总局网络犯罪部门自 2021 年 7 月 2 日开始、历时四年调查的结果。 作为调查的一部分，法国警方截获了 Jabber 服务器 thesecure.biz 上的通信记录。该服务器伴随 XSS 论坛运行，旨在为网络犯罪分子之间的匿名交流提供便利。 这些截获的信息显示，被捕者据信与众多非法网络犯罪和勒索软件活动有关联，并确定其已从中获利至少 700 万美元。 2021 年 11 月 9 日，司法调查正式启动，指控罪名包括串谋攻击自动化数据处理系统、有组织团伙勒索以及参与犯罪团伙。 2024 年 9 月，案件进入在乌克兰的实战阶段。法国警方调查人员被部署到当地，欧洲刑警组织通过建立虚拟指挥所提供支持。随后于 2025 年 7 月 21 日开始了另一项行动，最终在基辅逮捕了主要嫌疑人。 欧洲刑警组织部署了一个移动办公室，为法国和乌克兰团队提供现场协调和证据收集支持。 根据欧洲刑警组织在 7 月 23 日发布的另一份声明，该论坛的疑似管理员不仅是一名技术操作员，据信还在促成犯罪活动方面发挥了核心作用。声明指出：“他扮演着可信第三方的角色，仲裁犯罪分子之间的纠纷，并担保交易的安全。” 贝科的声明还显示，参与行动的乌克兰和法国执法机构已查获了 XSS 论坛的相关域名，尽管在撰写本文时该网站似乎仍在运行。查获的数据现将被分析，以支持欧洲及其他地区正在进行的调查。 XSS：网络犯罪活动的重要暗网论坛 XSS 自 2013 年开始活跃，拥有超过 50,000 名注册用户。在俄语网络犯罪圈内，它是讨论网络攻击和恶意软件开发的主要论坛之一。 贝科指出，XSS 允许出售恶意软件、被入侵系统的访问权限、被盗数据以及勒索软件相关服务。 网络安全公司 Flare 的网络威胁情报分析师、俄语网络犯罪圈专家奥列格·利克波（Oleg Lykpo）认为，XSS 和另一个臭名昭著的犯罪论坛 Exploit，是俄语高级网络犯罪生态系统的支柱。 参与此次逮捕行动的乌克兰机构包括：国家网络部门、乌克兰安全局（SBU）和乌克兰总检察长办公室。 信息安全媒体 Infosecurity 联系了巴黎警察总局，该局目前拒绝就案件提供更多细节。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）近期发出警报，发现一种名为LameHug的新型恶意软件。该软件利用大语言模型（LLM） 在受感染的Windows系统上生成并执行攻击指令。乌克兰专家将其归因于与俄罗斯有关的黑客组织APT28（又名UAC-0001、Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta和STRONTIUM）。 CERT-UA在警报中指出：“LAMEHUG的显著特征是使用了LLM（大语言模型），根据其文本描述生成可执行命令。我们有中等把握认为该活动与UAC-0001（APT28）组织有关。” 2025年7月10日，CERT-UA发现一起针对政府部门的钓鱼攻击活动，攻击者通过伪装成政府文件的ZIP压缩包进行传播。该压缩包内含伪装成.pif文件的LAMEHUG恶意软件，该软件使用Python编写并通过PyInstaller打包。研究人员发现存在两种不同数据窃取方式的变体。攻击者使用了被入侵的电子邮箱账户，并将基础设施托管在合法但已被攻陷的平台上。 LAMEHUG通过huggingface[.]co服务API调用Qwen 2.5-Coder-32B-Instruct模型，基于静态输入的文本描述生成攻击指令。Qwen 2.5-Coder-32B-Instruct是由阿里巴巴Qwen团队开发的开源大语言模型，专门针对编程任务进行了优化。 该恶意软件会收集系统信息，并在常见文件夹中搜索Office、PDF和TXT文档。收集的数据先存储在本地，然后通过SFTP或HTTP POST方式外传。警报中详细说明：“该软件会收集计算机基本信息（硬件配置、进程、服务、网络连接）并存储在‘%PROGRAMDATA%\info\info.txt’文件中，同时递归搜索‘文档’、‘下载’和‘桌面’目录中的Microsoft Office文档（包括TXT和PDF文件），将其复制到‘%PROGRAMDATA%\info’文件夹。不同版本的程序会使用SFTP或HTTP POST请求外传获取的信息和文件。” LameHug是已知首款利用LLM生成攻击指令的恶意软件，使威胁行为者能够根据实际需求动态调整攻击链。该报告还包含了相关网络威胁指标。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在俄罗斯，弗拉基米尔·普京（Vladimir Putin）视为“有争议”的内容可能包括独立新闻报道或关于乌克兰战争的新闻。 将在线搜索行为定为犯罪在俄罗斯并非新鲜事——现行法律规定人们不得分享有争议的内容。而新的修正案则更进一步，将惩罚那些仅仅是搜索此类内容的人。 该修正案将在俄罗斯《行政违法法典》中新增第13.53条，规定：“搜索已知的极端主义材料并访问它们，包括通过使用能够访问受限信息资源或信息电信网络的硬件和软件工具。” 该修正案还使得任何社群或组织无需法院命令即可被指定为“极端主义”。 根据国家杜马（State Duma）公布的文件，对“故意搜索极端主义材料”的罚款将从大约38美元到64美元不等。 另一项单独的修正案将对宣传VPN（虚拟专用网络）的行为处以罚款。对个人的罚款可能在640美元至1,025美元之间，对官员的罚款在1,030美元至1,900美元之间，对法人的罚款则在2,560美元至6,400美元之间。   这并非俄罗斯首次公开宣布对消费和传播克里姆林宫不认可的信息进行罚款。最近一次失败的例子就涉及总统弗拉基米尔·普京本人，他在2022年公开使用了“战争”一词，而非政府批准的“特别军事行动”。 普京说：“我们的目标是……结束这场战争。”这一点值得注意，因为同年生效的一项法律将这场冲突称为“战争”或“入侵”定为刑事犯罪。 究竟什么是“极端主义材料”？ 克里姆林宫政权视为“极端主义”的内容几乎可以是任何东西。一份官方的禁限材料登记簿包含了约5500个条目。 例如，去年俄罗斯将“LGBT运动”列入极端主义和恐怖主义组织名单。反对派团体的社交媒体帖子（以及他们的一般活动）也被理解为极端主义。 名单上还有“所谓的纳粹意识形态”。尽管乍看之下这并不令人不安（谁会支持传播纳粹意识形态，对吧？），但其代价可能是惩罚那些通过独立媒体来源浏览有关乌克兰战争新闻的人。 俄罗斯政权曾多次声称，某些与克里姆林宫无关的政府及其领导人正在推行“新纳粹政权”。 有人支持这个想法吗？ 克里姆林宫的批评者以及与其有关联的个人和组织都直言不讳地反对这项修正案可能成为法律。 国际特赦组织（Amnesty International）东欧和中亚地区主任玛丽·斯特拉瑟斯（Marie Struthers）表示：“俄罗斯当局再次将他们无情的迫害异议行为伪装成打击‘极端主义’，通过模糊和过于宽泛的法律，为滥用解释和任意妄为提供了空间。如果这项关于‘极端主义’的法案成为法律，任何群体——甚至是一个私人的在线聊天群或朋友圈——只要有一名成员曾根据‘极端主义’指控被定罪（许多政府批评者都曾因此被定罪），就可以被指定为‘极端主义’并定罪。这将给执法机构一个看似无限的机会来撒网，甚至以与所谓‘极端分子’有遥远关联为由起诉更多的人。” 即使是与克里姆林宫有联系的记者也对此发表了看法，他们似乎担心如果这项修正案生效，他们进行“研究”也会受到惩罚。 “安全互联网联盟”（League for Safe Internet）负责人叶卡捷琳娜·米祖琳娜（Yekaterina Mizulina）在Telegram上发文（该文被《华盛顿邮报》引用）称：“结果就是，根据新法律，安全互联网联盟将无法向内务部移交有关极端主义社群的数据。他们将禁止我们监控极端主义。”米祖琳娜是一位俄罗斯参议员的女儿，她领导的联盟以针对批评政府的人士而闻名。 如果政府同意，拟议的修改将于2025年9月1日生效。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文