HackerNews 编译，转载请注明出处： 英国国家网络安全中心（NCSC）报告称，与俄罗斯军事情报局（GRU）有关的威胁行为者一直在使用以前未知的恶意软件对受害者的电子邮件账户进行间谍活动。 这种新的复杂恶意软件被命名为“真实假象”（Authentic Antics），NCSC表示，与GRU有关的威胁组织APT28（又名Fancy Bear、Pawn Storm、Sednit、Sofacy和Iron Twilight）一直在负责部署该恶意软件。 NCSC的分析显示，“真实假象”是专门设计的，旨在通过伪装成合法活动，实现对微软云账户的持久端点访问。该恶意软件的设计投入了“大量心思”，以实现看起来像真实的微软Outlook活动的效果。 它会定期显示一个登录窗口，提示用户输入凭证，这些凭证随后会被恶意软件拦截，同时被拦截的还有用于访问微软服务的OAuth身份验证令牌。该恶意软件还会通过从受害者的账户向攻击者控制的电子邮件地址发送邮件来窃取受害者的数据，这些邮件不会出现在“已发送”文件夹中。 对该恶意软件的分析表明，它没有采用传统的命令与控制（C&C）机制，这种机制可能会增加其被检测到的可能性。 俄罗斯网络威胁持续存在 NCSC行动总监保罗·奇切斯特（Paul Chichester）评论道：“‘真实假象’恶意软件的使用，证明了俄罗斯GRU构成的网络威胁具有持续性和复杂性。多年来NCSC对GRU活动的调查表明，网络防御者不应轻视这种威胁，监控和保护行动对于防御系统至关重要。” “真实假象”恶意软件是在2023年发生一起网络事件后被发现的，该事件由微软和NCSC认证的网络事件响应服务提供商NCC Group进行了调查。 6月17日，乌克兰国家计算机应急响应小组（CERT-UA）识别出一种名为“LameHug”的新恶意软件，该机构表示，有中等把握认为该软件可能与APT28针对乌克兰安全和国防部门的网络攻击有关。 2025年5月，美国国家安全局与包括NCSC在内的盟友发布了一份联合网络安全咨询，强调了一场由俄罗斯国家支持、针对西方物流实体和科技公司的网络活动。该活动同样与APT28有关联。 英国制裁俄罗斯GRU军官 在英国政府分享“真实假象”恶意软件分析的同一天，英国政府还宣布对三个GRU单位（26165、29155和74455）以及18名GRU军官和特工实施制裁，原因是他们参与了全球范围内的网络和信息干扰行动，以支持俄罗斯更广泛的地缘政治和军事目标。 英国外交大臣戴维·拉米（David Lammy）表示：“克里姆林宫应该毫无疑问：我们看清了他们在阴影中的企图，我们不会容忍这种行为。这就是为什么我们要采取果断行动，制裁俄罗斯间谍。保护英国免受伤害是本政府‘变革计划’（Plan for Change）的根本。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯酒类零售连锁品牌WineLab的2000余家门店因母公司遭勒索软件攻击，已停业三天。作为俄罗斯最大酒类生产商之一的诺瓦贝夫集团（Novabev Group）旗下门店张贴告示称，关店系“技术问题”所致。 此次攻击瘫痪了诺瓦贝夫集团部分基础设施，导致WineLab收银系统及在线服务中断。公司确认攻击者索要赎金，但明确拒绝谈判。 “公司坚持拒绝与网络犯罪分子进行任何接触的立场，不会满足其要求。”诺瓦贝夫集团周三声明中表示。该公司补充称，目前尚无客户数据泄露迹象，调查仍在进行中。 攻击者身份尚未明确。尚无勒索组织宣称对事件负责，诺瓦贝夫集团也未公开归因攻击来源。该集团是俄罗斯主要烈酒生产分销商，旗下拥有白鲸（Beluga）和白伦卡亚（Belenkaya）等伏特加品牌。 据俄媒《生意人报》（Vedomosti）援引当地零售商消息，此次网络攻击已导致诺瓦贝夫集团产品发货中断至少两天。消费者报告称无法从门店或自助提货柜提取订单，客服表示将延长线上订单存储期限。 根据Yandex地图位置数据，WineLab在莫斯科、圣彼得堡及周边地区的主要门店目前处于关闭状态。诺瓦贝夫官网及移动应用仍处于离线状态。 《福布斯》俄罗斯版估算，每日停业可能造成2亿至3亿卢布（约260万至380万美元）收入损失。受访网络安全专家表示，俄罗斯大型零售连锁因网络攻击全面停运的情况“前所未见”。 诺瓦贝夫集团称，其内部IT团队正与外聘专家全天候协作恢复系统，并加强防御以应对未来威胁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯虚假信息组织Storm-1516近期在多国开展大规模身份伪造活动。研究人员发现，该组织冒用真实记者身份，在仿冒新闻网站发布虚假报道，已在法国、亚美尼亚、德国、摩尔多瓦和挪威形成系统性欺骗链条。该组织隶属克里姆林宫关联机构，自2023年起持续散布诋毁乌克兰及分裂欧洲的言论，此前曾干预德国、格鲁吉亚和美国大选。 据事实核查机构Gnida Project披露，Storm-1516在此次行动中盗用合法记者的姓名与肖像，通过伪造媒体平台散布不实信息。被冒用身份的记者在事件曝光前均不知情，部分受害者正采取法律行动。 典型案例显示： 法国核废料诬陷案：虚假媒体“Courrier France 24”发布报道，诬指法国核能公司Orano向亚美尼亚运送放射性废料，并称其向亚美尼亚总理帕希尼扬关联基金捐款。涉事企业与亚美尼亚官方均否认该指控。报道署名记者Romain Fiaschetti实为法国《Public》杂志娱乐专栏作者，其向媒体表示从未参与此类政治报道。 摩尔多瓦贪腐谣言：伪造网站“The EU Insider”刊登针对摩尔多瓦总统桑杜的虚假报道，谎称基希讷乌市长指控其挪用美国援助资金。报道冒用罗马尼亚媒体人Radu Dumitrescu身份发布。 德国总理猎熊丑闻：未署名文章宣称德国总理梅尔茨在加拿大狩猎时非法射杀北极熊家族，却恶意标注《多伦多星报》多名记者为作者。 挪威环境危机造假：该组织首次被证实针对挪威实施行动，通过虚构环保组织网站散布“尼特拉瓦河严重污染导致环境危机”的谣言，暗示原定6月在奥斯陆举办的互联网治理论坛（IGF）可能取消——而俄罗斯此前曾积极争夺该论坛主办权。 研究指出，尽管行动实际影响尚难量化，但该组织既往虚假叙事屡次获得网络广泛传播，甚至被公众人物无意间放大。法国当局5月报告明确认定，该团体已对法国及欧洲数字舆论环境构成重大威胁。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度尼西亚已将一名涉嫌运营Telegram数据交易频道的俄罗斯公民引渡回国。俄总检察长办公室披露，该频道出售的数据来自执法部门数据库。 据当地媒体报道，亚历山大·兹维列夫周五已被移交给俄方，从巴厘岛搭乘航班返回莫斯科。这名在2022年于印尼被捕的嫌疑人由此结束跨国逃亡。 俄罗斯指控兹维列夫在2018至2021年期间运营未具名的犯罪网络，通过出售俄罗斯内务部（MVD）、联邦安全局（FSB）及移动运营商的敏感个人信息非法牟利。 据称其Telegram频道的订阅者可购买俄罗斯公民的详细隐私信息。当局未透露频道名称及其当前运营状态。 俄方表示兹维列夫此前一直在逃，2022年3月被列入国际通缉名单，俄罗斯法院此前已对其作出缺席逮捕裁决。 印尼总检察长办公室法律信息中心主任哈里·西雷加尔周四称：“印尼政府决定将该人员移交俄罗斯进入法律程序。”他补充说明，鉴于兹维列夫的俄罗斯国籍，雅加达无意对其进行国内诉讼。嫌疑人被控违反俄罗斯刑法多项条款，涉及腐败、贿赂、滥用职权及非法披露信息等罪名。 本周稍早，法国当局应美国要求逮捕了俄罗斯职业篮球运动员丹尼尔·卡萨特金。美方据称怀疑其参与针对美国企业和联邦机构的勒索软件团伙。俄罗斯外交官表示目前尚未获准接触卡萨特金。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯职业篮球运动员丹尼尔·卡萨特金（Daniil Kasatkin）因涉嫌担任勒索软件团伙谈判代表，应美国要求于法国被捕。 卡萨特金是一名俄罗斯篮球运动员，2019年返回俄罗斯前曾短暂效力于宾夕法尼亚州立大学NCAA篮球队。在莫斯科MBA-MAI俱乐部效力的四个赛季中，他出战172场比赛后离队。 据法国媒体报道，卡萨特金在与未婚妻飞抵法国后，于6月21日在巴黎戴高乐机场被捕。此次逮捕基于美国发出的国际通缉令，指控其在勒索软件团伙中担任谈判者角色。 目前卡萨特金已被羁押，美国正寻求将其引渡以面临“共谋实施计算机欺诈”及“计算机欺诈共谋”罪名指控。 其律师坚称卡萨特金无罪，辩称涉案行为与其购买的二手电脑有关。“他买了一台二手电脑，完全是无辜的，他对此感到震惊，”律师弗雷德里克·贝洛特向媒体表示，“他完全不懂电脑，连应用程序都不会安装。那台电脑他从未动过，要么是被黑客入侵，要么是卖家冒充他人身份进行操作。” 虽然勒索软件团伙名称未公开，但报道称该团伙在2020至2022年间攻击超过900家企业，其中包括两家联邦机构。美国司法部过往对知名勒索软件团伙Conti的描述高度吻合——该团伙作为Ryuk的继任者在2020年出现，并于2022年因数据泄露事件关闭。不过此前Conti未曝光过入侵联邦机构的记录，尽管其攻击过州政府系统。 上月，法国警方还逮捕了四名涉嫌运营BreachForums黑客论坛的人员，其中包括使用IntelBroker和ShinyHunters化名的黑客。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月起，针对俄罗斯组织的定向钓鱼攻击使用虚假合同主题电子邮件传播Batavia间谍软件，这是一种旨在窃取内部文件的新型恶意软件。该攻击自2024年7月以来持续进行，始于伪装成合同或附件的恶意.vbe文件链接。该恶意软件包含一个VBA脚本和两个可执行文件，卡巴斯基已将其检测为Trojan.Batavia变种。 卡巴斯基发布的报告指出：“自2025年3月初以来，我们的系统记录到俄罗斯各机构员工检测到的类似文件（例如договор-2025-5.vbe、приложение.vbe和dogovor.vbe，中文译注：合同、附件）数量有所增加。定向攻击始于以签订合同为借口发送包含恶意链接的诱饵邮件。” 点击钓鱼邮件中的链接会下载VBE脚本，该脚本收集系统信息并从攻击者的域名检索恶意软件文件(WebView.exe)。该脚本检查操作系统版本以决定如何执行有效载荷，并将数据发送到命令与控制(C2)服务器。攻击使用针对每封电子邮件定制的参数来管理感染阶段并规避检测。 在攻击链的第二阶段，WebView.exe恶意软件（用Delphi编写）下载并显示虚假合同，然后开始监视受感染的系统。它收集系统日志、办公文档，并定期截取屏幕截图发送到新的C2服务器。为避免重复上传，它会对每个文件进行哈希处理。同时下载新的恶意软件阶段(javav.exe)并设置启动快捷方式，以便在系统重启时继续感染过程。 在攻击链的最后阶段，恶意软件javav.exe（用C++编写）扩展攻击范围，针对更多文件类型（如图像、电子邮件、演示文稿、存档），使用更新的感染ID(2hc1-…)将其传输到C2服务器。它现在可以更改C2地址，并通过computerdefaults.exe实现UAC绕过来下载/执行新有效载荷(windowsmsg.exe)。与C2的通信采用加密传输，并通过文件哈希避免重复上传。据卡巴斯基称，此阶段引入灵活性和持久性以促进进一步恶意活动。 研究人员注意到Batavia间谍软件活动的受害者是俄罗斯工业企业。卡巴斯基遥测数据显示，数十家机构的超过100名用户收到了钓鱼邮件。 报告总结道：“值得注意的是，此次攻击的初始感染媒介是诱饵邮件。这凸显了常态化员工培训和提高企业网络安全实践意识的重要性。”        消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据攻击者声称，俄罗斯军事技术公司NPO Mars的系统被窃取了数百GB敏感数据，其中可能包含国防相关信息。Cybernews研究团队调查的数据样本显示，部分文件更新至今年3月。 攻击者在知名数据泄露论坛发帖称，已从俄罗斯主要国防承包商NPO Mars获取250GB数据，其中包括俄海军使用的软件。 NPO Mars是“联邦科研生产中心”，为俄军提供自动化控制系统、舰艇作战信息与指挥系统、装甲运兵车、坦克等装备。2022年2月俄乌冲突爆发后，该公司遭美国、欧盟、加拿大、日本等多国制裁。 Cybernews团队分析攻击者提供的部分数据样本发现： 部分PDF扫描件来自2017-2018年； 多数技术手册为2024年更新； 部分文件显示2025年3月更新或创建。 但样本外数据的时效性尚不明确。 研究团队指出：“网络空间已成为关键战场，黑客行动主义者和国家支持的黑客会竭尽所能打击对手。此类泄露可能暴露敏感军事信息，而攻击可能始于针对政客、技术支持人员或普通员工的钓鱼行动。” 泄露的俄军数据详情： 数据样本包含大量PDF和技术手册，涉及NPO Mars为俄军开发的系统，部分文件名暗示为协议、证书等文件，其他文件使用军事技术术语命名。 攻击者制作宣传视频，声称获取俄海军多个系统权限，其中包括： SIGMA系统：据俄军事媒体TopWar报道，SIGMA-20385是负责“机动控制、反潜防御（ASD）与导弹武器管理、通信”的作战信息与指挥系统。 TRASSA系统：NPO Mars CEO Vladimir Maklaev 2016年向俄新社表示，SIGMA和TRASSA为俄海军巡逻舰、导弹舰、护卫舰、大型登陆舰和核动力导弹巡洋舰开发。 DIEZ系统：扫雷舰自动化控制系统。攻击者视频显示其试图修改俄海军军官接收的扫雷舰速度与坐标数据，并警告：“那艘不友好的潜艇可能不像系统显示的那样慢，甚至可能比你想象的更近。” 攻击者还声称访问了其他俄海军系统，但未提供证据。 NPO Mars成立于1961年（前身为莫斯科海洋研究所），现有员工超1100人。本文发布前已联系该公司置评，收到回复后将更新内容。     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国财政部周二宣布制裁俄罗斯企业Aeza集团，指控其为勒索软件团伙和暗网毒品交易提供技术基础设施。 Aeza集团是一家“防弹主机”（Bulletproof Hosting, BPH）服务商，为网络犯罪分子提供IP地址、服务器和域名租赁服务，用于传播恶意软件、运营暗网市场及实施其他欺诈与网络攻击活动。 此次制裁除Aeza集团外，还涉及两家关联公司及四名高管，包括首席执行官阿尔谢尼·亚历山德罗维奇·彭泽夫（Arsenii Aleksandrovich Penzev）。彭泽夫被指控长期经营多家BPH服务商及非法毒品交易平台。今年4月，俄罗斯当局以“组织犯罪集团”和“大规模贩毒”罪名逮捕了Aeza集团多名高管。 美国财政部反恐与金融情报代理副部长布拉德利·史密斯表示： “网络犯罪分子高度依赖Aeza集团等BPH服务商发动破坏性勒索攻击、窃取美国技术并贩卖毒品。此次制裁与英国国家犯罪局等多国联合实施，旨在摧毁支撑犯罪生态的关键节点。” Aeza集团总部位于圣彼得堡，被指控为BianLian勒索软件团伙及RedLine、Lumma、Meduza窃密木马提供托管服务，并协助攻击美国国防与科技企业。此外，其平台还长期支持俄罗斯暗网毒品市场BlackSprut。网络安全研究人员此前将Aeza集团与亲克里姆林宫的虚假信息行动Doppelgänger（自2022年起活跃于欧洲）相关联。 此次被制裁的关联实体包括英国公司Aeza International、Aeza Logistic和Cloud Solutions，以及高管尤里·博佐扬（Yurii Bozoyan）、技术总监弗拉基米尔·加斯特（Vladimir Gast）和部分股东伊戈尔·克尼亚泽夫（Igor Knyazev）。博佐扬与彭泽夫一同被捕，克尼亚泽夫则在两人受审期间继续运营相关网站。 全球打击犯罪基础设施 美国财政部强调，此次行动是执法部门瓦解有组织网络犯罪工具链的组成部分。俄罗斯境内存在多家BPH服务商，其中一家近期被曝针对俄罗斯媒体机构发动攻击。2025年2月，美国曾与澳大利亚、英国联合制裁俄罗斯BPH服务商Zservers及其运营者。 2023年10月，西班牙警方逮捕一名涉嫌运营BPH公司的嫌疑人，作为打击Evil Corp网络犯罪集团及LockBit勒索软件附属团伙行动的一部分。此前，美国司法部曾判处罗马尼亚人米哈伊·帕内斯库（Mihai Paunescu）三年监禁，因其参与运营BPH服务商PowerHost.ro；2021年，俄罗斯人亚历山大·格里希什金（Aleksandr Grichishkin）因运营BPH公司获刑五年；爱沙尼亚人帕维尔·斯塔西（Pavel Stassi）和立陶宛人亚历山大·肖罗杜莫夫（Aleksandr Shorodumov）则因运营针对美国目标的BPH组织（2009-2015年）分别被判两年以上监禁。     消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯互联网服务提供商（ISP）对受Cloudflare保护的网站实施访问限制，导致该国网络流量严重中断。美国互联网基础设施公司Cloudflare证实，自6月9日起实施的限流措施使俄罗斯用户无法正常访问依赖其平台的网站和服务。该公司内部数据显示，ISP将每次请求的数据传输量限制在仅16KB，导致多数网站功能瘫痪。 Cloudflare声明：“限流行为超出我方控制范围，目前无法以合法方式为俄罗斯用户恢复稳定高性能的访问服务。”俄罗斯联邦通信监管局（Roskomnadzor）数月来持续打压Cloudflare，德国Hetzner、美国DigitalOcean及法国OVH等其他外国云服务商也遭遇类似限制。该机构呼吁用户停用这些服务，转向本土托管提供商。 技术封锁手段包括： 深度包检测：通过注入虚假数据包中断连接，或直接阻断数据引发超时。 协议层限制：影响TCP/TLS协议的HTTP/1.1/2及QUIC协议的HTTP/3。 流量整形：针对境外服务器实施无差别限流，即使连接请求发自俄罗斯境内。 2024年11月，俄方曾因Cloudflare的加密客户端问候（ECH）技术能隐藏用户访问目标网站信息，以“规避政府审查”为由封禁数千家使用该服务的网站。此次限流后，俄罗斯境内Cloudflare流量骤降30%，但当局否认存在此类干扰行为。 企业影响与应对 小型电商企业受冲击最严重，可能面临流量大幅流失。俄罗斯本土服务目前仍无法完全替代Cloudflare的DDoS防护能力，迁移过程成本高昂且技术复杂。Cloudflare建议俄罗斯站点运营商联系当地机构要求解除限制，同时指出：“若您的网站使用Cloudflare防护，当前我们无法为俄罗斯用户恢复网络连接。” 地缘技术博弈 与多数西方科技公司不同，Cloudflare在2022年俄乌冲突后未完全退出俄罗斯市场，当时声明“俄罗斯需要更多而非更少的互联网访问”。但该公司终止了受制裁实体的服务，包括金融机构和影响活动相关客户。部分俄企因Cloudflare的美国背景主动停用其服务，但更多企业仍依赖其防护能力应对日益增长的DDoS攻击浪潮。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯乳制品生产商报告称，该国动物产品数字认证系统遭网络攻击后出现供应链中断。根据当地媒体报道，隶属于联邦兽医监督国家信息系统（VetIS）的Mercury平台因本周初遭受攻击而瘫痪，此为今年第三次同类事件，也是迄今最严重的一次。 系统瘫痪迫使生产商和供应商重新启用纸质兽医证书。这一转变引发物流混乱：多家地区分销中心拒绝接收货物，大型零售商Lenta、Yandex Lavka和Miratorg均遭遇供应链中断。 根据俄罗斯法律，所有涉及肉类、乳制品、蛋类等动物产品的企业必须在Mercury系统注册并签发电子兽医文件。缺少认证的情况下，加工厂依法不得接收原料奶——因数字认证是验证产品真实性与安全性的必备条件。虽然农场可临时使用纸质证书，但多数零售商依赖专属电子文档管理系统，无法接收纸质凭证，导致部分供应链陷入停滞。 乳业联盟（Soyuzmoloko）协会指出，部分零售商正拒绝接收无电子文件的产品。该协会警告，监管机构指引模糊已引发供应商混乱。此次故障还中断了与其他政府数字平台（含俄罗斯强制性产品标签系统）的数据交换。大规模生产企业受影响尤为严重，行业代表称现有应急预案无法应对长期中断。 兽医监管部门声明预计修复工作将持续至本周末。目前尚无组织宣称对此次攻击负责，也未归因于任何已知威胁组织。 去年12月，西伯利亚南部最大乳制品加工厂Semyonishna曾遭LockBit勒索软件变种攻击，系统被加密。当地媒体报道推测，该事件可能与工厂向乌克兰战场俄军提供支援有关联。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文