HackerNews 编译，转载请注明出处： 研究人员发现，俄罗斯正越来越多地利用吉尔吉斯斯坦快速增长的加密货币行业规避国际制裁，并为乌克兰战争输送资金。 区块链情报公司TRM Labs新报告显示，受制裁的俄罗斯实体多次使用在吉尔吉斯斯坦注册的交易所。这些虚拟资产服务提供商（VASP）大多以空壳公司形式运作，常在不同实体间重复使用相同住址、联系方式和创始人身份。 报告指出，部分吉尔吉斯注册的VASP既无可见业务运营，也无面向公众的用户平台。有些与物流公司共享电话号码，另一些则列名毫无商业或加密货币经验的创始人。 某些实体还与高风险俄罗斯加密交易所Garantex共享钱包基础设施和行为模式——该平台于2022年被美国制裁并下线。研究人员认为部分吉尔吉斯注册企业可能由原平台的同一批人操控。 自2022年俄罗斯全面入侵乌克兰以来，克里姆林宫日益依赖替代性金融网络资助战事并获取敏感技术。吉尔吉斯斯坦已成为莫斯科的重要物流和金融枢纽。据报道，半导体、无人机部件和反无人机设备等常被视为军民两用的商品，从中国等国家出口后经吉尔吉斯斯坦转运至俄罗斯。 吉尔吉斯斯坦的加密友好政策进一步助长了此类活动。该国2022年通过法律承认虚拟资产的合法地位，并为加密企业建立许可制度，将其纳入正式监管框架。 吉尔吉斯的加密漏洞是俄罗斯重构经济体系以抵御西方制裁的整体战略一环。克里姆林宫还在本土将规避制裁行为制度化：莫斯科知名高等经济学院近期开设硕士课程，专门教授学生如何应对西方贸易和金融限制，表明俄政府将构建制裁抵御型经济视为长期战略。 西方国家日益关注俄罗斯不断扩张的制裁规避体系。今年6月，美国当局指控一名纽约居住的俄罗斯公民利用其加密公司为受制裁俄银行转移敏感美国技术和资金。 TRM Labs研究人员强调：“寻求遏制俄罗斯制裁规避手段的各国政府及执法机构，需紧急与吉尔吉斯当局直接沟通合规事宜。若放任不管，俄罗斯可能在邻国复制相同模式。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场新的攻击活动已侵入了全球超过 3500 个网站，植入了 JavaScript 加密货币挖矿程序，标志着曾由 CoinHive 等推动的基于浏览器的加密劫持攻击卷土重来。 虽然此类服务在浏览器制造商采取措施禁止挖矿相关应用和插件后已关闭，但 c/side 的研究人员表示，他们在混淆过的 JavaScript 中发现了隐形挖矿程序的证据。该程序会评估设备的计算能力，并生成后台 Web Worker 线程来并行执行挖矿任务，且不引发任何警报。 更重要的是，该活动被发现利用 WebSocket 从外部服务器获取挖矿任务，以便根据设备能力动态调整挖矿强度，并相应地限制资源消耗以保持隐蔽。 安全研究员 Himanshu Anand 表示：“这是一个隐形挖矿程序，旨在通过保持在用户和安全工具的探测阈值以下来避免被发现。” 这种做法的最终结果是，用户在浏览被入侵网站时会不知不觉地挖掘加密货币，在不知情或未同意的情况下，他们的计算机就变成了隐蔽的加密货币生成机器。目前尚不清楚这些网站是如何被攻破以促成浏览器内挖矿的。 进一步分析已确定超过 3500 个网站被卷入这场大规模的非法加密挖矿活动中。托管该 JavaScript 挖矿程序的域名过去还与 Magecart 信用卡盗刷工具有关联，这表明攻击者试图使其攻击载荷和收入来源多样化。 使用相同域名来传送挖矿程序和信用卡/借记卡数据窃取脚本，表明威胁行为者有能力将 JavaScript 武器化，并针对毫无戒心的网站访问者发动投机性攻击。 c/side 表示：“攻击者现在优先考虑隐蔽性而非蛮力式的资源窃取，使用混淆、WebSocket 和基础设施重用以保持隐藏。目标不是瞬间耗尽设备资源，而是长期持续地汲取资源，如同数字吸血鬼。” 这一发现恰逢一起针对东亚电子商务网站的 Magecart 盗刷活动，该活动利用 OpenCart 内容管理系统（CMS），在结账时注入虚假支付表单，并从受害者那里收集包括银行信息在内的财务信息。窃取到的信息随后被外传到攻击者的服务器。 近几周，发现的客户端和网站定向攻击呈现出多种形式： 滥用与合法 Google OAuth 端点（“accounts.google[.]com/o/oauth2/revoke”）关联的回调参数的 JavaScript 嵌入代码，重定向至一个混淆的 JavaScript 攻击载荷，该载荷会创建指向攻击者控制域名的恶意 WebSocket 连接。 使用直接注入 WordPress 数据库（即 wp_options 和 wp_posts 表）的 Google Tag Manager (GTM) 脚本，以加载远程 JavaScript，将访问超过 200 个网站的访客重定向至垃圾广告域名。 破坏 WordPress 站点的 wp-settings.php 文件，使其直接从 ZIP 存档中引入恶意 PHP 脚本，该脚本连接到命令与控制（C2）服务器，并最终利用网站的搜索引擎排名注入垃圾内容，提升其可疑网站在搜索结果中的位置。 将恶意代码注入 WordPress 站点主题的页脚 PHP 脚本以实现浏览器重定向。 使用一个以受感染域名命名的虚假 WordPress 插件来逃避检测，并仅在检测到搜索引擎爬虫时启动，以提供旨在操控搜索引擎结果的垃圾内容。 在供应链攻击中，通过官方下载页面分发后门版本的 WordPress 插件 Gravity Forms（仅影响 2.9.11.1 和 2.9.12 版）。该后门插件会联系外部服务器获取额外攻击载荷，并添加一个管理员账户，使攻击者能完全控制网站。 Gravity Forms 开发团队 RocketGenius 表示：“如果安装，恶意代码修改将阻止更新该包的尝试，并试图联系外部服务器下载额外攻击载荷。” “如果该载荷成功执行，它将尝试添加一个管理员账户。这将打开一个后门，导致一系列其他可能的恶意操作，例如扩大远程访问、额外的未经授权的任意代码注入、操控现有管理员账户以及访问存储的 WordPress 数据。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的攻击活动，该活动利用Apache HTTP Server的已知安全漏洞传播名为Linuxsys的加密货币挖矿程序。 该漏洞编号为CVE-2021-41773（CVSS评分：7.5），是Apache HTTP Server 2.4.49版本中的一个高危路径遍历漏洞，可能导致远程代码执行。 “攻击者利用被攻陷的合法网站分发恶意软件，实现隐蔽投递并规避检测。”网络安全公司VulnCheck在分享给The Hacker News的报告中表示。 本月观察到的感染流程（源自印度尼西亚IP地址 103.193.177[.]152）旨在使用curl或wget从“repositorylinux[.]org”下载下一阶段有效载荷。该载荷是一个Shell脚本，负责从五个不同的合法网站下载Linuxsys加密货币挖矿程序，这表明攻击活动的幕后黑手可能已成功攻陷第三方基础设施以促进恶意软件分发。 “这种方法很巧妙，因为受害者连接的是拥有有效SSL证书的合法主机，降低了检测的可能性，”VulnCheck指出，“此外，这为下载站点（‘repositorylinux[.]org’）提供了一层隔离，因为恶意软件本身并不托管在那里。” 这些被攻陷的网站还托管着另一个名为“cron.sh”的Shell脚本，该脚本确保挖矿程序在系统重启时自动启动。该网络安全公司表示，还在被攻陷的网站上发现了两个Windows可执行文件，表明攻击者可能也在针对微软的桌面操作系统。 值得注意的是，此前传播Linuxsys挖矿程序的攻击曾利用过OSGeo GeoServer GeoTools中的一个严重安全漏洞（CVE-2024-36401，CVSS评分：9.8），Fortinet FortiGuard Labs在2024年9月记录了这一情况。 有趣的是，漏洞被利用后下载的Shell脚本是从“repositorylinux[.]com”获取的，其源代码中的注释使用的是印度尼西亚巽他语。该脚本早在2021年12月就已在野外被发现。 近年来被利用来传播此挖矿程序的其他漏洞还包括： CVE-2023-22527：Atlassian Confluence Data Center 和 Confluence Server 中的模板注入漏洞 CVE-2023-34960：Chamilo学习管理系统(LMS)中的命令注入漏洞 CVE-2023-38646：Metabase中的命令注入漏洞 CVE-2024-0012 和 CVE-2024-9474：Palo Alto Networks防火墙中的认证绕过和权限提升漏洞 “所有这些都表明攻击者正在进行一项长期活动，采用一致的技术手段，例如n-day（已知漏洞）利用、在已攻陷主机上托管内容以及在受害者机器上进行挖矿，”VulnCheck表示，“他们的部分成功源于精心的目标选择。他们似乎避开了低交互蜜罐，需要高交互环境才能观察到其活动。结合使用被攻陷主机进行恶意软件分发，这种方法在很大程度上帮助攻击者避免了审查。” Exchange服务器遭GhostContainer后门攻击 与此同时，卡巴斯基披露了一场针对亚洲政府实体的攻击活动细节。攻击者很可能利用了微软Exchange Server中一个N-day安全漏洞来部署一个名为GhostContainer的定制后门。怀疑攻击可能利用了Exchange Server中一个现已修复的远程代码执行漏洞（CVE-2020-0688，CVSS评分：8.8）。 这个“复杂的多功能后门”可以“通过下载额外模块动态扩展任意功能”，该俄罗斯公司表示，并补充说“该后门使攻击者能够完全控制Exchange服务器，允许他们执行一系列恶意活动。” 该恶意软件能够解析可执行shellcode的指令、下载文件、读取或删除文件、运行任意命令以及加载额外的.NET字节码。它还包含一个网络代理和隧道模块。 怀疑该活动可能是针对亚洲高科技公司等高价值组织的高级持续性威胁（APT）活动的一部分。 关于攻击者身份的信息不多，但他们被评估为技术高度娴熟，原因在于其对微软Exchange Server的深入理解以及将公开代码转化为高级间谍工具的能力。 “GhostContainer后门不会连接任何[命令与控制]基础设施，”卡巴斯基表示，“相反，攻击者从外部连接到被攻陷的服务器，他们的控制命令隐藏在正常的Exchange Web请求中。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币交易所BigONE披露，黑客在昨日的攻击中窃取了价值2700万美元的各类数字资产。该平台宣布，私钥和用户数据在此次入侵中未受影响，所有遭受损失的客户都将从可用储备金中获得全额赔偿。 公告中写道：“7月17日凌晨，BigONE检测到涉及平台部分资产的异常流动。经调查确认，这是第三方攻击我们热钱包的结果。” 该公司向用户保证，攻击方式已被识别并得到完全控制。BigONE已与安全公司SlowMist合作，追踪被盗资金并监控其在各条区块链上的转移情况。交易所表示：“BigONE将全额承担本次事件造成的所有损失。用户资产不会受到任何实质影响。” 几小时后，BigONE管理员宣布，在遭受网络攻击后，存款和交易服务已全面恢复，提款和场外交易功能也将很快重新启用（截至撰写时尚未恢复）。 此外，尚未有关于攻击者具体如何入侵交易所并窃取资金的详细信息公布，但SlowMist表示交易所是供应链攻击的受害者。 与此同时，区块链观测站Lookonchain报告称，黑客已开始洗钱活动，将被盗资产兑换为120枚比特币（BTC）、1272枚以太坊（ETH）、2625枚Solana（SOL）和2330万枚波场币（TRX）。 区块链犯罪调查员ZachXBT对此事件发表了评论，强调BigONE在处理大量源自杀猪盘和投资诈骗的非法收益方面扮演的角色，并表示此类黑客攻击可能有助于为该领域带来“一次自然的净化”。 加密货币盗窃创纪录之年 今日早些时候，Chainalysis发布了其2025年年中加密货币犯罪报告，指出截至目前被盗金额已超过21.7亿美元，超过了2024年的全年总额。 ByJet交易所15亿美元的黑客事件在创下这一破纪录数字中起到了关键作用，也使朝鲜黑客组织成为今年迄今为止的头号盗窃者。 Chainalysis强调了一个显著趋势，即黑客如今更专注于攻击个人钱包，今年所有被盗资金中有23.35%来自个人钱包。 该区块链情报公司还列举了暴力抢劫加密货币的案例，这类案件也随着比特币价格上涨而呈上升趋势。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： MITRE 推出了一个新的网络安全框架，旨在解决加密货币等数字金融系统中的漏洞。 该框架名为 “数字资产支付技术中的对抗性行动（AADAPT）框架”，为开发者、政策制定者和金融机构提供了一种结构化方法，用于识别、分析和缓解与数字资产支付相关的潜在风险。 MITRE 表示，7 月 14 日发布的 AADAPT 框架借鉴了来自现实世界攻击的见解，这些见解引自 150 多个来源，包括政府、行业和学术界。 AADAPT 框架明确了与数字资产支付技术相关的对抗性策略、技术和流程，包括共识算法和智能合约。与加密货币相关的网络威胁包括双花攻击、钓鱼骗局和勒索软件事件，这些威胁影响企业、政府和个人用户。 MITRE 指出，小型组织、地方政府和市政当局尤其脆弱，它们往往缺乏资源来加强自身的网络安全措施。AADAPT 框架旨在通过提供符合这一金融市场领域独特需求的实用指导和工具，来解决这些差距。 MITRE 网络技术副总裁温・马斯特斯表示，加密货币等数字支付资产注定会改变全球金融的未来，但其安全挑战不容忽视。借助 AADAPT，MITRE 正助力相关利益方采取强有力的安全措施，不仅保护其资产，还能建立整个生态系统的信任。 AADAPT 以 MITRE 的 ATT&CK 框架为蓝本，其策略和技术与 ATT&CK 框架相辅相成。 2025 年 7 月，网络安全公司 CertiK 发现，2025 年上半年，约 24.7 亿美元的加密货币通过诈骗、黑客攻击和漏洞利用被盗。这一激增源于 2 月针对加密货币交易所 Bybit 的一次黑客攻击，导致 14 亿美元的加密货币被盗。此次 Bybit 黑客攻击与朝鲜国家支持的 APT 组织 Lazarus 有关。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加密货币用户正成为一场持续进行的社会工程攻击的目标。该攻击利用伪造的初创公司，诱骗用户下载恶意软件，用以窃取Windows和macOS系统上的数字资产。 “这些恶意行动假冒人工智能、游戏和Web3公司，使用伪造的社交媒体账户以及托管在Notion和GitHub等合法平台上的项目文档。” Darktrace研究员塔拉·古尔德在一份提供给The Hacker News的报告中表示。 这个精心策划的社交媒体骗局已运作多时。在2024年12月，其前身版本曾利用虚假视频会议平台，通过在Telegram等通讯应用接触用户后，以讨论投资机会为借口诱骗受害者加入会议。 最终下载了所谓会议软件的用户，会遭到Realst等窃密木马的暗中感染。当时，该活动被Cado Security（已于今年早些时候被Darktrace收购）以其中一个虚假视频会议服务的名字命名为“Meeten”。不过，有迹象表明此类活动可能自2024年3月起就已开始，当时Jamf Threat Labs曾披露黑客使用“meethub[.]gg”域名分发Realst木马。 Darktrace的最新研究显示，该活动不仅仍在活跃构成威胁，还采用了更广泛的诱饵主题，涉及人工智能、游戏、Web3和社交媒体。 此外，攻击者还被观察到利用被攻陷的公司及员工（主要是经过验证的）X账户来接近潜在目标，为其虚假公司营造合法假象。 “他们利用软件公司常用的网站，如X、Medium、GitHub和Notion，”古尔德说，“每家公司都有外观专业的网站，包含员工信息、产品博客、白皮书和路线图。” 其中一个不存在的公司是Eternal Decay (@metaversedexay)，它声称是一款基于区块链的游戏，并在X上分享了合法图片的经过数码修改的版本，制造其曾参加各种会议的假象。最终目标是通过建立线上形象，使这些公司尽可能显得真实，从而提高感染成功率。 部分其他已识别的虚假公司列举如下（包括其关联的X账户）： BeeSync (X: @BeeSyncAI, @AIBeeSync) Buzzu (X: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp) Cloudsign (X: @cloudsignapp) Dexis (X: @DexisApp) KlastAI (X: 链接指向Pollens AI的X账户) Lunelior NexLoop (X: @nexloopspace) NexoraCore NexVoo (X: @Nexvoospace) Pollens AI (X: @pollensapp, @Pollens_app) Slax (X: @SlaxApp, @Slax_app, @slaxproject) Solune (X: @soluneapp) Swox (X: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox) Wasper (X: @wasperAI, @WasperSpace) YondaAI (X: @yondaspace) 攻击链始于这些由攻击者控制的账户通过X、Telegram或Discord向受害者发送信息，以支付加密货币为诱饵，敦促他们测试其软件。 如果目标同意测试，他们会被重定向到一个虚构网站。在该网站上，受害者需要输入“员工”提供的注册码才能下载软件：根据使用的操作系统，提供的是一个Windows的Electron应用程序或一个苹果的磁盘映像（DMG）文件。 在Windows系统上，打开恶意应用程序会向受害者显示一个Cloudflare验证页面，同时秘密扫描设备信息，随后下载并执行一个MSI安装程序。虽然此时加载的确切恶意程序性质尚不清楚，但据信在此阶段运行的是一个信息窃取程序。 而在macOS版本的攻击中，最终将部署“Atomic macOS Stealer” (AMOS)。这是一个已知的信息窃取木马，能够窃取文档以及网页浏览器和加密货币钱包中的数据，并将其外泄至外部服务器。 该DMG二进制文件还会负责获取一个shell脚本。该脚本利用一个启动代理（Launch Agent）在系统上建立持久化机制，确保应用在用户登录时自动启动。此外，该脚本还会检索并运行一个Objective-C/Swift二进制程序，用于记录应用程序使用时间和用户交互时间戳，并将这些信息发送到远程服务器。 Darktrace还指出，该活动在战术层面与名为”CrazyEvil”的流量分发（traffers）组织所策划的攻击存在相似之处。该组织以诱骗受害者安装StealC、AMOS和Angel Drainer等恶意软件而闻名。 “虽然尚不清楚这些活动[…]是否可归因于CrazyEvil或其下属团队，但其描述的技术本质上相似，”古尔德表示。“此活动突显了威胁行为者为使这些假公司看起来合法以窃取受害者加密货币所作出的努力，同时也反映了其使用的恶意软件在不断升级更新的规避版本。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司CTM360发布的最新报告显示，网络犯罪分子正在伪造CNN、BBC和CNBC等主流新闻网站，诱骗人们参与欺诈性加密货币投资计划。 这家总部位于巴林的网络安全公司研究人员表示，已识别出超过1.7万个此类伪造网站。这些网站发布虚假新闻报道，冒用国家领导人和央行行长等知名公众人物的名义，将其与“虚构的投资项目相关联，以此建立信任并引诱受害者参与”。 CTM360指出，该骗局覆盖50多个国家。诈骗者通过使用当地语言、地区名人和知名金融机构进行伪装，使网站更符合本地受众的认知以骗取信任。大部分受害者位于中东地区，但也发现了部分欧洲和美国受害者。 诈骗通常始于谷歌和Meta等平台投放的广告，这些广告将用户重定向至虚假新闻文章。点击文章后，用户会被导向名为Eclipse Earn、Solara或Vynex等欺诈性投资平台。研究人员称，这些平台承诺通过加密货币自动交易获取高额回报。 CTM360表示，这些平台经专业设计伪装成合法机构，配有虚假的交易面板、篡改的盈利数据和捏造的用户评价。 诈骗平台要求受害者注册并提交个人信息及身份证、护照等证件，随后诱导其存入约240美元的初始资金。然而这些平台并未进行真实交易，仅通过虚假的利润增长数据诱骗受害者持续注资。当用户试图提取所谓收益时，会遭遇一系列阻碍：包括被要求支付额外费用、满足新的最低余额要求，或经历漫长的验证流程。 虽然犯罪分子窃取的具体金额尚不明确，但研究人员指出，受害者的个人及财务数据通常会被转售至暗网，或用于未来的钓鱼攻击和欺诈活动。 冒用知名品牌是网络犯罪分子的惯用伎俩。今年7月上旬，研究人员曾曝光一个庞大的欺诈性零售网站网络，该网络通过仿冒苹果、PayPal、Nordstrom、爱马仕和迈克高仕等全球知名品牌，窃取在线购物者的支付数据。这项持续数月的活动涉及数千个钓鱼网站，它们复制正版网站的设计和产品列表，诱使用户输入信用卡信息。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去中心化交易所GMX表示，7月9日（周三）凌晨遭遇黑客攻击，价值超过4000万美元的加密货币被盗。 GMX允许用户交易多种加密货币，该平台在社交媒体发布声明称遭遇“漏洞攻击”，目前正调查事件原因。GMX补充说明，其平台此前已接受过“顶级安全专家的多次审计”。 多家区块链安全公司确认了此次盗窃，追踪到约4300万美元用户资金从平台流出。平台交易功能已被紧急禁用。 黑客在得手后迅速转移赃款，将被盗资产分批兑换为以太坊（ETH）及与美元挂钩的稳定币USDC和DAI。链上监测显示，黑客目前通过5个钱包持有约11,700枚ETH（价值3233万美元）及1049.5万枚FRAX，总价值约4280万美元。 GMX成立于2021年，宣称拥有71.4万用户，累计交易量达3050亿美元。 有网友在线批评加密货币公司未及时冻结涉及犯罪的地址，指出黑客曾短暂持有价值近3000万美元的USDC——该稳定币由加密巨头Circle发行——随后才进一步转移赃款。 GMX通过以太坊区块链向黑客发送消息，承认遭遇攻击，并提出若黑客在48小时内归还90%被盗资金，愿支付10%作为“赏金”。GMX承诺若资金归还将不提起诉讼——这是多家加密公司为促使黑客还赃曾提出的争议性法律主张。但此前联邦检察机关通常无视受害方意愿，坚持起诉加密黑客。 该公司与安全专家向关联平台提供了技术建议，指导其防范同类漏洞。 两周前，去中心化金融平台Resupply遭黑客入侵，1000万美元加密货币被盗。区块链安全公司TRM Labs统计显示，2025年上半年共发生75起确认的网络攻击，造成加密交易所及其他数字资产机构约21亿美元损失，较2022年同期创下的纪录增长10%。即使排除朝鲜黑客从迪拜交易所Bybit窃取15亿美元的极端案例，该公司监测到其中四个月的单月损失仍超过1亿美元。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲刑警组织周一宣布摧毁一个加密货币投资诈骗团伙，该团伙通过5000余名全球受害者洗钱4.6亿欧元（约合5.4亿美元）。此次行动由西班牙国民警卫队主导，爱沙尼亚、法国和美国执法机构协同参与，调查始于2023年。 2025年6月25日，五名主要嫌疑人在加那利群岛和马德里被捕。该犯罪网络通过在亚洲、非洲招募人员，诱骗求职者进入东南亚“诈骗园区”，以暴力胁迫其实施犯罪。据调查，诈骗集团总部设在香港，利用全球支付通道和多身份账户转移非法资金。 诈骗手法主要采用恋爱诱骗（俗称“杀猪盘”）：犯罪者通过交友软件建立信任，引导受害者使用虚假加密货币平台投资。后台通过伪造交易数据维持骗局，得手后立即启动分层洗钱流程，经多重账户转移资金以逃避追踪。美国司法部近期已针对越南、菲律宾同类骗局发起2.25亿美元加密货币追缴诉讼。 犯罪升级趋势显著： 技术滥用：诈骗集团利用生成式AI提升犯罪效率，合成身份（伪造数据+AI生成信息）租用银行账户洗钱。 全球协作：犯罪网络通过中国即时通讯平台广告租用美国银行账户（涉及美国银行、大通银行等），用于资金转移。 人口贩运：柬埔寨境内53个诈骗园区涉及人口贩卖、强迫劳动，年非法收入达125亿美元（相当于该国GDP的50%）。 执法挑战主要来自： 法律滞后：75%国家现有法律体系难以应对新型网络犯罪。 跨国协作：资金流向涉及香港、越南、菲律宾等地，跨境执法效率受限。 平台监管：Meta公司2024年初以来已清除700万个关联诈骗的Facebook账户。 印度驻柬埔寨使馆已发布警示，提醒公民警惕“高薪工作”骗局。联合国毒品和犯罪问题办公室指出，东南亚正成为全球网络诈骗与洗钱中心，其地下银行系统深度渗透全球金融网络。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Trend Micro研究人员苏尼尔·巴蒂与舒巴姆·辛格近期分析指出，攻击者正利用配置不当的Docker API访问容器环境，并通过Tor匿名网络隐匿行踪，在易受攻击环境中秘密部署加密货币挖矿程序。 攻击技术链分析 初始渗透 攻击始于IP地址198.199.72[.]27向目标机器发送请求，尝试获取所有容器列表。若未发现活跃容器，攻击者基于“alpine”Docker镜像创建新容器，并将物理/虚拟主机的根目录（“/”）以“/hostroot”名称挂载为容器卷——此操作使攻击者能访问并修改主机文件，导致容器逃逸风险。 隐匿通道建立 通过Base64编码的shell脚本在容器创建阶段植入Tor，连接至.onion域名（wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion）获取远程脚本。研究人员强调：“此举反映攻击者惯用策略——通过Tor隐藏命令控制(C&C)基础设施，规避检测并在云/容器环境投递恶意载荷。” 持久化与控制 部署“docker-init.sh”脚本修改SSH配置：启用root登录并向~/.ssh/authorized_keys添加攻击者密钥。同时安装masscan、libpcap、zstd、torsocks等工具，通过socks5h协议将所有流量及DNS解析路由至Tor增强匿名性。 加密货币挖矿 最终投递XMRig加密货币挖矿程序，包含预配置的矿池地址及攻击者钱包。该方案能规避检测并简化在受控环境中的部署流程，主要针对科技公司、金融服务及医疗机构。 行业安全态势关联 此攻击印证了针对配置缺陷云环境的加密劫持趋势持续蔓延。 云安全公司Wiz最新扫描显示：公共代码仓库的mcp.json、.env等配置文件中存在数百个有效密钥（含30余家企业的Fortune 100公司凭证），这些资源正成为攻击者“宝藏”。 研究人员警告：“Python笔记本等代码执行结果应视为敏感信息，其内容可能为攻击者提供关键侦察情报。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文