HackerNews 编译，转载请注明出处： 一场持续进行的钓鱼活动正针对法语企业环境，通过虚假简历投递加密货币挖矿程序和信息窃取工具。 Securonix研究人员Shikha Sangwan、Akshay Gaikwad和Aaron Beardslee在与The Hacker News分享的报告中指出：”该活动使用高度混淆的VBScript文件伪装成简历文档，通过钓鱼邮件投递。一旦执行，恶意软件即部署多功能工具包，集凭证窃取、数据外泄和门罗币挖矿于一体，实现收益最大化。” 这家网络安全公司将此活动命名为FAUX#ELEVATE。该活动的特点是滥用合法服务和基础设施：使用Dropbox存放载荷、摩洛哥WordPress站点托管C2配置、mail[.]ru SMTP基础设施外泄窃取的浏览器凭证和桌面文件。 这是典型的”离地生存”式攻击，展示了攻击者如何欺骗防御机制、悄无声息地渗透目标系统。 攻击链分析 初始投递文件为Visual Basic脚本（VBScript），打开时显示法语错误信息，诱使收件人以为文件损坏。实则高度混淆的脚本在后台运行一系列检查以规避沙箱，并进入持久的用户账户控制（UAC）循环，提示用户以管理员权限运行。 值得注意的是，脚本共224,471行中仅266行为实际可执行代码，其余均为填充的随机英文句子垃圾注释，将文件膨胀至9.7MB。 研究人员表示：”恶意软件还利用WMI（Windows管理规范）实施域加入检测，确保载荷仅在企业机器上投递，家用独立系统完全被排除。” 投递程序获取管理员权限后，立即禁用安全控制并掩盖痕迹：为所有主驱动器盘符（C至I）配置Microsoft Defender排除路径，通过修改Windows注册表禁用UAC，并自我删除。 随后从Dropbox获取两个受密码保护的7-Zip压缩包： gmail2.7z：包含数据窃取和加密货币挖矿的可执行文件 gmail_ma.7z：包含持久化和清理工具 凭证窃取组件利用ChromElevator项目，绕过应用绑定加密（ABE）保护从Chromium内核浏览器提取敏感数据。其他工具包括： mozilla.vbs：窃取Mozilla Firefox配置文件和凭证的VBScript walls.vbs：外泄桌面文件的VBScript载荷 mservice.exe：XMRig加密货币挖矿程序，从被入侵的摩洛哥WordPress站点获取挖矿配置后启动 WinRing0x64.sys：合法Windows内核驱动，用于解锁CPU完整挖矿性能 RuntimeHost.exe：持久化木马组件，修改Windows防火墙规则并定期与C2服务器通信 浏览器数据通过两个mail[.]ru发件账户（”olga.aitsaid@mail.ru“和”3pw5nd9neeyn@mail.ru“，共享相同密码）经SMTP外泄至威胁行为体控制的另一邮箱（”vladimirprolitovitch@duck.com“）。 凭证窃取和外泄完成后，攻击链立即清理所有投递工具以最小化取证痕迹，仅保留挖矿程序和木马组件。 Securonix总结：”FAUX#ELEVATE活动展示了一场组织严密的多阶段攻击行动，将多种技术整合为单一感染链。对企业安全团队而言，该活动尤为危险之处在于执行速度——从初始VBS执行到凭证外泄，完整感染链仅需约25秒；以及对企业域加入机器的选择性瞄准，确保每台被入侵主机都能通过企业凭证窃取和持久化资源劫持提供最大价值。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）表示，全美多地出现受害者，遭一场网络钓鱼活动侵害。犯罪分子冒充政府官员，以土地使用许可为由索要欺诈性费用。 联邦调查局在周一发布的公告中称，正在申请相关许可的个人和企业成为钓鱼邮件的攻击目标。这些邮件通常包含详细、准确的信息，“包括房产地址、案件编号，以及市县官员的真实姓名”。 网络犯罪分子冒充市政官员或规划委员会成员，以欺诈发票为由，要求受害者通过电汇或加密货币支付款项。 联邦调查局提醒民众在回复前务必核实邮件地址，指出已发现多封恶意邮件使用 @usa.com 地址，而非政府官方的 .gov 域名。 犯罪分子利用公开可获取的许可信息，使钓鱼邮件看起来真实可信。 许多邮件使用市政信头，措辞专业，看上去如同真实的规划文件。部分钓鱼邮件详细提及审批流程、规划委员会程序、合规要求及相关条例。 多数邮件要求在线支付，并以威胁口吻制造紧迫感。联邦调查局给出的建议是：务必查询当地县或市政府官网，拨打网站公布的电话核实任何收费信息。 此类欺诈邮件是近期针对美国受害者的新型诈骗手段之一。2024 年，网络犯罪分子从美国人手中窃取超过 120 亿美元。美国近期宣布多项措施，不仅旨在捣毁背后的犯罪组织，还要追回赃款并返还给受害者。 人工智能公司也发出警告，称网络犯罪分子正利用其工具，让非英语母语的诈骗者能更轻松地撰写通顺、逼真的钓鱼邮件。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客通过微软 Teams 联系金融和医疗行业的员工，诱骗他们通过快速助手（Quick Assist）授予远程访问权限，并部署一款名为 A0Backdoor 的新型恶意软件。 攻击者依靠社会工程学获取员工信任：首先向受害者收件箱发送大量垃圾邮件，随后通过 Teams 联系受害者，伪装成公司 IT 人员，声称可以帮助处理这些垃圾消息。 为获取目标设备的访问权限，威胁行为者诱导用户启动快速助手远程会话，并借此部署一套恶意工具集，其中包括托管在个人微软云存储账户中、经过数字签名的 MSI 安装程序。 网络安全公司 BlueVoyant 的研究人员表示，这些恶意 MSI 文件伪装成微软 Teams 组件以及 CrossDeviceService—— 后者是 Phone Link 应用所使用的一款合法 Windows 工具。 用于安装恶意 CrossDeviceService.exe 的命令行参数来源：BlueVoyant 攻击者利用合法微软二进制文件实施 DLL 侧载攻击，部署一个包含压缩或加密数据的恶意库文件（hostfxr.dll）。该库被加载到内存后，会将数据解密为 shellcode 并移交执行权。 研究人员称，该恶意库还使用 CreateThread 函数来阻碍分析。BlueVoyant 解释道，大量创建线程可能导致调试器崩溃，但在正常执行环境下不会产生显著影响。 该 shellcode 会执行沙箱检测，随后生成一个基于 SHA-256 的密钥，并用该密钥提取经 AES 算法加密的 A0Backdoor。 shellcode 中的加密载荷来源：BlueVoyant 该恶意软件将自身重定向到新的内存区域，解密核心功能代码，并通过调用 Windows API（如 DeviceIoControl、GetUserNameExW、GetComputerNameW）收集主机信息并生成设备指纹。 与命令与控制服务器（C2）的通信隐藏在 DNS 流量中：恶意软件向公共递归解析器发送 DNS MX 查询，在高熵子域名中携带编码后的元数据。DNS 服务器以包含编码指令数据的 MX 记录进行回应。 捕获到的 DNS 通信流量来源：BlueVoyant BlueVoyant 解释道：“恶意软件提取并解码最左侧的 DNS 标签，以恢复指令或配置数据，随后执行相应操作。” “使用 DNS MX 记录可以让流量混入正常通信中，并绕过专门针对基于 TXT 记录的 DNS 隧道的检测规则，而这类隧道通常会被更频繁地监控。” BlueVoyant 表示，此次攻击活动的两个目标分别是加拿大的一家金融机构和一家全球性医疗组织。 研究人员以中高可信度判断，该攻击活动是与 BlackBasta 勒索软件团伙相关战术、技术与流程（TTP）的演进版本。BlackBasta 团伙在内部聊天记录泄露后已宣告解散。 BlueVoyant 指出，尽管两者存在大量重合之处，但本次攻击中使用的签名 MSI 文件、恶意 DLL、A0Backdoor 载荷以及基于 DNS MX 的 C2 通信均为新增特征。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者正在钓鱼攻击活动中滥用专用顶级域名 .arpa 与 IPv6 反向 DNS，从而更轻易地绕过域名信誉检测与邮件安全网关。 .arpa 是保留给互联网基础设施使用的特殊顶级域名，而非用于普通网站。它主要用于反向 DNS 解析，即让系统将 IP 地址映射回对应的主机名。 IPv4 反向解析使用 in-addr.arpa 域名，而 IPv6 使用 ip6.arpa。在这类解析中，DNS 会查询由 IP 地址反向排列并附加在上述域名后的主机名。 例如，www.google.com 对应的 IP 地址为 192.178.50.36（IPv4）与 2607:f8b0:4008:802::2004（IPv6）。使用 dig 工具查询 Google 的 192.178.50.36 这一 IP 时，会解析到一个 in-addr.arpa 主机名，并最终指向一个常规主机名。 查询 Google 的 IPv6 地址 2607:f8b0:4008:802::2004 可以看到，它首先解析到一个 ip6.arpa 主机名，然后再解析到一个常规主机名，如下所示。 钓鱼活动对 .arpa 域名的滥用 Infoblox 观测到的一起钓鱼攻击活动，利用了 ip6.arpa 反向 DNS 顶级域名。该域名通常通过 PTR 记录将 IPv6 地址映射回主机名。 然而，攻击者发现，如果他们申请到属于自己的 IPv6 地址段，就可以滥用该 IP 段对应的反向 DNS 区域，为钓鱼网站配置额外的 DNS 记录。 在正常的 DNS 功能中，反向 DNS 域名仅用于 PTR 记录，使系统能够查询与某个 IP 地址关联的主机名。 但攻击者发现，一旦控制了某段 IPv6 地址对应的 DNS 区域，部分 DNS 管理平台允许他们配置其他类型的记录，这些记录可被滥用于钓鱼攻击。 Infoblox 解释称：“我们发现威胁行为者利用 Hurricane Electric 与 Cloudflare 创建这类记录 —— 两者均拥有良好信誉，攻击者正是利用了这一点 —— 并且我们确认其他一些 DNS 服务商也允许此类配置。” “我们的测试并非全覆盖，但我们已向发现存在安全漏洞的服务商进行了通报。图 2 展示了威胁行为者创建钓鱼邮件中所用域名的流程。” 为搭建相关基础设施，攻击者首先通过 IPv6 隧道服务获取一段 IPv6 地址。 Infoblox 关于 .arpa 顶级域在钓鱼邮件中如何被滥用的分析综述 (来源：Infoblox) 在获得地址段的控制权后，攻击者利用该 IPv6 地址段生成反向 DNS 主机名，并使用随机生成的子域名，使其难以被检测或拦截。 攻击者并未按预期配置 PTR 记录，而是创建 A 记录，将这些反向 DNS 域名指向承载钓鱼网站的基础设施。 该攻击活动中的钓鱼邮件使用奖品、调查奖励或账户通知等诱饵。这些诱饵以图片形式嵌入邮件，图片链接指向 IPv6 反向 DNS 记录，例如 d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa，而非常规主机名，因此目标用户不会看到奇怪的 arpa 主机名。 当受害者点击钓鱼邮件中的图片时，设备会通过 DNS 服务商解析由攻击者控制的反向 DNS 服务器。 使用.arpa 主机名展示图片和链接的 HTML 代码 (来源：Infoblox) 在部分案例中，权威域名服务器由 Cloudflare 托管，反向 DNS 域名解析到 Cloudflare IP 地址，从而隐藏后端钓鱼基础设施的真实位置。 点击图片后，受害者会经过流量分发系统（TDS）跳转，该系统通常根据设备类型、IP 地址、网页来源等条件判断访客是否为有效目标。若通过验证，则跳转到钓鱼网站；否则跳转到合法网站。 Infoblox 表示，这类钓鱼链接生命周期很短，仅活跃数天。链接失效后，会跳转到域名错误页面或其他合法网站。 研究人员认为，此举是为了增加安全研究人员分析和调查钓鱼攻击的难度。 此外，由于 .arpa 域名是为互联网基础设施保留的，它不包含普通注册域名所具备的信息，例如 WHOIS 信息、域名年龄、联系方式等。这使得邮件网关与安全工具更难检测恶意域名。 研究人员还观测到，该钓鱼活动同时使用了其他技术，例如劫持悬空 CNAME 记录与子域名影子化技术，使攻击者能够通过与合法机构关联的子域名投放钓鱼内容。 Infoblox 解释称：“我们发现超过 100 个案例中，威胁行为者劫持了知名政府机构、大学、电信公司、媒体机构和零售商的 CNAME 记录。” 通过将安全工具所信任的反向 DNS 功能武器化，攻击者可以生成能够绕过传统检测手段的钓鱼 URL。 与往常一样，防范此类钓鱼攻击的最佳方式是避免点击邮件中意外出现的链接，而是直接通过官方网站访问相关服务。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LastPass 警告出现钓鱼攻击，攻击者利用伪造的未授权访问或密码修改安全警报，窃取用户主密码。 LastPass 向用户发出警告，新型钓鱼攻击使用伪造安全警报，声称发生未授权访问或主密码被修改。这些邮件伪造 LastPass 发件人显示名，试图诱骗收件人泄露主密码，导致账户被盗。 LastPass TIME 团队已向客户发出警报，该活跃钓鱼攻击约始于 2026 年 3 月 1 日。攻击者使用多个邮箱地址、多种邮件标题发送邮件，伪装成关于账户未授权访问的内部转发消息，以此欺骗用户。 LastPass 警告，攻击者会伪造邮件对话记录，制造有人试图导出密码库、恢复账户或注册新设备的假象。 攻击者通过伪造显示名冒充 LastPass，同时隐藏真实的、无关的发件人邮箱地址。邮件诱导用户点击链接，跳转到 verify-lastpass [.] com 伪造 SSO 页面，窃取凭证。 LastPass 发布的警报称：“攻击者利用多数邮件客户端（尤其是移动端）仅显示发件人名称、不展开就隐藏真实地址的特点。邮件要求目标用户通过链接执行操作（如报告可疑行为、断开并锁定密码库、吊销设备等）；这些链接会将用户导向 https [:]//verify-lastpass [.] com 伪造 SSO 登录页面，用于窃取用户凭证。” LastPass 提醒用户，官方绝不会索要主密码，并正与合作伙伴关停钓鱼网站。建议用户保持警惕，并将可疑的仿 LastPass 邮件上报至 abuse@lastpass.com，共同保护社区安全。 公告中提供了失陷指标（IoC），包括恶意 URL 及相关 IP 地址。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，臭名昭著的网络犯罪集团 Scattered LAPSUS$ Hunters（SLH）正提供金钱奖励，招募女性实施社会工程学攻击。 Dataminr 在一份新的威胁简报中表示，该集团计划雇佣她们参与针对 IT 服务台的语音钓鱼活动。 据称该集团为每通电话预先支付 500 至 1000 美元不等的报酬，并为她们提供实施攻击所需的提前写好的话术脚本。 该威胁情报公司表示：“SLH 通过专门招募女性实施语音钓鱼攻击，使其社会工程学人员构成多元化，此举可能旨在提高冒充服务台人员的成功率。” SLH 是由 LAPSUS$、Scattered Spider 和 ShinyHunters 组成的知名网络犯罪超级集团，该组织有实施高级社会工程学攻击的记录，通过多因素认证弹窗轰炸、SIM 卡替换等技术绕过多因素认证（MFA）。 该集团的作案手法还包括瞄准服务台和呼叫中心，冒充员工说服相关人员重置密码或安装可授予其远程访问权限的远程监控与管理（RMM）工具，从而入侵企业。 据观察，Scattered Spider 在获取初始访问权限后，会横向渗透至虚拟化环境、提升权限，并窃取企业敏感数据。 部分此类攻击还会进一步部署勒索软件。 这类攻击的另一特点是使用合法服务和住宅代理网络（如 Luminati、OxyLabs）隐藏身份并规避检测。 Scattered Spider 成员使用过 Ngrok、Teleport、Pinggy 等各类隧道工具，以及 file.io、gofile.io、mega.nz、transfer.sh 等免费文件共享服务。 SLH 在 Telegram 上招募女性的帖子 帕洛阿尔托网络公司 Unit 42 团队在本月早些时候发布的一份报告中，将以 Muddled Libra 为代号追踪的 Scattered Spider 描述为 “高度擅长利用人类心理”，该组织通过冒充员工尝试重置密码和多因素认证（MFA）。 Scattered Spider 攻击链 在该网络安全公司 2025 年 9 月调查的至少一起案件中，Scattered Spider 通过致电 IT 服务台获取特权凭证后，创建并使用了虚拟机（VM），随后利用其进行侦察（如 Active Directory 枚举），并尝试窃取 Outlook 邮箱文件以及从目标 Snowflake 数据库下载的数据。 Unit 42 表示：“该威胁行为者在专注于身份入侵和社会工程学攻击的同时，利用合法工具和现有基础设施隐藏行踪。”“他们隐秘运作并维持持久化控制。” 该网络安全公司还指出，Scattered Spider 长期针对 Microsoft Azure 环境，利用 Graph API 获取 Azure 云资源访问权限。 该组织还使用 ADRecon 等云枚举工具进行 Active Directory 侦察。 由于社会工程学已成为该网络犯罪集团的主要入侵入口，建议企业保持警惕，对 IT 服务台及支持人员开展培训，警惕提前编写的话术和熟练的语音冒充行为；执行严格的身份验证；收紧 MFA 策略，不再使用基于短信的认证方式；并审计服务台交互后的新用户创建或管理员权限提升日志。 Dataminr 表示：“此次招募行动标志着 SLH 的战术经过精心策划后发生了演变。” “通过专门寻找女性声音，该集团可能旨在绕过 IT 服务台人员受训识别的‘传统’攻击者特征，从而提升其冒充行为的成功率。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场以求职为诱饵针对软件开发人员的协同攻击活动，正利用伪装成合法 Next.js 项目和技术评估材料（包括招聘编码测试）的恶意代码仓库实施攻击。 攻击者的目标是在开发者设备上实现远程代码执行（RCE）、窃取敏感数据，并在受入侵系统中植入额外的有效载荷。 多重执行触发机制 Next.js 是一款用于构建 Web 应用的热门 JavaScript 框架，它基于 React 运行，并使用 Node.js 作为后端。 微软防御团队表示，攻击者创建了伪造的基于 Next.js 构建的 Web 应用项目，并将其伪装成编码项目，在求职面试或技术评估环节分享给开发者。 研究人员最初发现了一个托管在 Bitbucket（基于 Git 的云端代码托管与协作服务）上的代码仓库。但随后发现了多个具有相同代码结构、加载器逻辑和命名模式的代码仓库。 当目标开发者按照标准流程克隆该仓库并在本地打开时，会触发恶意 JavaScript 代码，该代码在启动应用时自动执行。 该脚本从攻击者的服务器下载额外的恶意代码（一个 JavaScript 后门），并通过正在运行的 Node.js 进程直接在内存中执行，从而实现对设备的远程代码执行。 攻击链概述（来源：微软） 微软解释称，为提高感染率，攻击者在恶意代码仓库中嵌入了多重执行触发机制。具体总结如下： VS Code 触发机制 —— 配置了 runOn: “folderOpen” 的 .vscode/tasks.json 文件，会在项目文件夹被打开（且被信任）时立即执行一个 Node 脚本。 开发服务器触发机制 —— 当开发者运行 npm run dev 命令时，一个被植入木马的资源（如修改后的 JS 库）会解码隐藏的 URL，从远程服务器获取加载器并在内存中执行。 后端启动触发机制 —— 服务器启动时，一个后端模块会从 .env 文件中解码 base64 格式的端点地址，将 process.env 信息发送给攻击者，接收响应的 JavaScript 代码并通过 new Function () 执行。 感染过程会释放一个 JavaScript 有效载荷（第一阶段），该载荷会收集主机信息并向命令与控制（C2）端点注册，按固定时间间隔轮询服务器。 随后感染会升级为任务控制器（第二阶段），连接至另一个独立的 C2 服务器，检查待执行任务，在内存中执行下发的 JavaScript 代码，并跟踪衍生的进程。该有效载荷还支持文件枚举、目录浏览和分阶段文件窃取。 第二阶段的服务器轮询功能（来源：微软） 微软发现，此次攻击活动涉及多个具有相同命名规则、加载器结构和分级基础设施的代码仓库，表明这是一场协同攻击，而非单次攻击行为。 除技术分析外，研究人员未披露关于攻击者或攻击规模的任何细节。 这家科技巨头建议，开发者应将日常标准工作流程视为真正的高风险攻击面，并采取相应的防范措施。 建议的缓解措施包括启用 VS Code 工作区信任 / 受限模式、使用攻击面减少（ASR）规则，以及通过 Entra ID Protection 监控高风险登录行为。 应尽量减少存储在开发者终端上的敏感信息，并尽可能使用权限最小化的短期令牌。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场冒充加密货币经纪商 Bitpanda 的精密钓鱼攻击活动。 Cofense 在一份新通告中详细介绍了该行动，该行动结合了凭证窃取与大规模个人数据收集，使用与合法平台几乎完全一致的仿冒页面欺骗用户。 随着加密货币的普及，犯罪分子的兴趣也随之增加。 Cofense 分析师表示，此次最新攻击活动超越了常规的登录信息窃取，通过引导受害者经历分步式伪造多因素认证（MFA）流程，专门收集多种形式的个人可识别信息。 Cofense 解释称，观察到的攻击始于一封格式模仿 Bitpanda 官方通知的邮件，包含熟悉的品牌标识与布局。 邮件告知收件人，更新后的安全标准要求其重新确认信息，否则账户可能被封禁。 该警告营造了紧迫感。这也是一种常见的恐吓手段。 一个 “开始更新” 按钮会将用户导向欺诈网站。 尽管登录页面高度模仿真实的 Bitpanda 登录界面，甚至通过二维码链接到合法应用下载页面，但仔细检查会发现这是一个伪造域名。 据报告，该恶意域名在分析前几天才刚刚注册。 多步骤数据收集 输入凭证后，受害者会被引导进入更多验证页面，要求提供以下信息： ·     姓名 ·    电话号码 ·    居住地址 ·    出生日期 每一步都被包装成多因素认证流程的一部分。 收集到的信息可使攻击者重置密码、提交伪造的支持工单，或访问其他使用个人数据进行验证的账户。 填写完表单后，用户会看到一条验证成功的确认信息，随后被重定向至真实的 Bitpanda 登录页面。 如何防御此类攻击 “恶意攻击活动可分为大范围散布与高度定向两类。本例属于后者，其页面高度仿真真实服务，使用伪造域名，并且措辞让受害者产生虚假的安全感。它不仅窃取登录凭证，还收集用户敏感信息。”Cofense 写道。 “此类攻击活动可通过专门检测并隔离绕过安全电子邮件网关（SEG）威胁的工具进行防范。” 用户应将鼠标悬停在链接上检查目标网址，确认发件人地址与公司官方域名一致，并对威胁不立即操作就封禁账户的邮件保持警惕。 通过收藏夹或手动输入地址直接访问经纪平台，而非点击邮件内嵌链接，也能降低风险。 即使是域名或格式上的微小不一致，也可能表明这是欺诈网站。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现并摧毁了由俄罗斯网络犯罪分子运营、针对美国和欧洲货运公司的钓鱼攻击基础设施。 在五个月时间里，这个名为 Diesel Vortex 的组织从物流平台账户窃取了超过 1600 套登录凭证，使攻击者能够截停、改道货运货物并实施支票欺诈。 域名保护平台 Have I Been Squatted 的研究人员发现了一个暴露的 .git 目录，揭露了该行动的详细内幕，包括网络犯罪分子之间的通信消息。 泄露的代码库显示，一个钓鱼即服务平台正在开发中，计划以 “MC Profit Always” 为名向客户推广，该名称很可能指代 “机动车承运人”。 Diesel Vortex 网络犯罪分子搭建了钓鱼基础设施，针对支撑货运与物流行业的平台用户，例如货源平台（货主、经纪人和承运人对接的市场）、车队管理门户以及燃油卡系统。他们冒充承运人和经纪人，成功进入货运系统。聊天记录显示他们从事 “双重经纪” 行为：使用窃取的承运人身份预订货源，再将货物转派给其他承运人。 研究人员找到了该组织的架构图，显示这是一个复杂运作的团伙，设有呼叫中心、邮件支持团队，以及负责与司机和其他物流联系人对接的人员。 Have I Been Squatted 研究人员写道：“这份架构图进一步证实了代码所揭示的事实：这并非一次机会主义攻击，而是有预谋、结构化的犯罪企业，拥有明确分工、营收目标和长期发展策略。” 该公司与网络威胁研究机构 Ctrl-Alt-Int3l 合作，后者在钓鱼面板源代码中发现，有一个域名通过俄罗斯服务商注册，并关联到一个俄罗斯注册的邮箱地址。 该邮箱通过企业记录关联到多家从事仓储、运输和批发贸易的俄罗斯公司。Recorded Future News 曾向该邮箱发送置评请求，截至发稿尚未收到回复。 除明确关联俄罗斯外，讲亚美尼亚语的操作人员也参与了该行动，其中一名犯罪分子告知同伙自己位于埃里温。 在一段聊天记录中，该组织一名成员用亚美尼亚语询问是否持有承保 “25 万货物” 的承运人凭证，即可承运高价值货物的保险资质。 据研究人员介绍，Google Threat Intelligence Group、Cloudflare、GitLab、IPInfo 和 Ping Identity 均参与了此次基础设施取缔行动。 近年来，受行业数字化程度不断提高的推动，货物盗窃事件激增，年度损失估计约为 350 亿美元。11 月，Proofpoint 研究人员记录了一起与有组织犯罪相关的黑客行动，使用远程监控工具针对卡车运输和物流公司。 上月，美国众议院司法委员会推进了《2025 年打击有组织零售犯罪法案》，该法案旨在建立联邦级协同机制应对货物盗窃。该法案还将对非法收益洗钱及盗窃货物销售行为增设新的刑事处罚。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，一个与俄罗斯相关联的威胁行为者针对一家欧洲金融机构发起社会工程攻击，目的可能是情报收集或金融盗窃，这表明该威胁行为者可能将攻击范围从乌克兰扩大到支持该国的相关机构。 此次活动针对一家参与地区发展与重建项目的未具名机构，已被归因于编号为 UAC-0050（又称 DaVinci Group）的网络犯罪组织。BlueVoyant 将该威胁集群命名为 Mercenary Akula。该攻击于本月早些时候被发现。 研究人员 Patrick McHale 和 Joshua Green 在提交给 The Hacker News 的报告中表示：“此次攻击伪造了乌克兰司法域名，发送包含远程访问有效载荷链接的邮件。” “攻击目标是一名负责采购事务的高级法律与政策顾问，该职位对机构运营和财务机制拥有高权限了解。” 攻击起点为鱼叉式钓鱼邮件，以法律相关内容为主题，引导收件人下载存储在 PixelDrain 上的压缩文件，该威胁行为者利用此文件共享服务绕过基于信誉的安全管控。 该 ZIP 文件用于启动多层级感染链。ZIP 文件内包含一个 RAR 压缩包，其中有加密的 7-Zip 文件，内含可执行程序，通过被广泛滥用的双后缀技巧（*.pdf.exe）伪装成 PDF 文档。 程序运行后会部署 Remote Manipulator System（RMS）的 MSI 安装包，这是一款俄罗斯远程桌面软件，可实现远程控制、桌面共享和文件传输。 研究人员指出：“使用此类‘ Living‑off‑the‑Land ’工具可为攻击者提供持久、隐蔽的访问权限，同时通常能规避传统杀毒软件检测。” 使用 RMS 符合 UAC-0050 以往的作案手法，该威胁行为者在针对乌克兰的攻击中曾投放 LiteManager 等合法远程访问软件以及 RemcosRAT 等远程访问木马。 乌克兰计算机应急响应小组（CERT-UA）将 UAC-0050 定性为与俄罗斯执法机构相关的雇佣兵组织，该组织以 Fire Cells 为代号开展数据收集、金融盗窃、信息战与心理战行动。 BlueVoyant 表示：“此次攻击体现了 Mercenary Akula 成熟且固定的攻击特征，同时也出现了显著变化。” “首先，他们的攻击目标此前主要集中在乌克兰境内机构，尤其是会计和财务人员。” “但此次事件表明，该组织可能开始试探西欧地区支持乌克兰的机构。” 据 The Record 报道，此次披露发布之际，乌克兰表示俄罗斯针对其能源基础设施的网络攻击正越来越多地聚焦于情报收集，为导弹打击提供指引，而非直接破坏设施运行。 网络安全公司 CrowdStrike 在其年度《全球威胁报告》中表示，预计与俄罗斯相关的对手将继续开展激进行动，目标是从乌克兰目标和北约成员国处收集情报。 这其中包括 APT29（又称 Cozy Bear、Midnight Blizzard）在鱼叉式钓鱼攻击中 “系统性” 利用信任关系、机构信誉与平台合法性，针对美国非政府组织及一家美国法律机构，以非法获取受害者的微软账号权限。 CrowdStrike 表示：“Cozy Bear 成功入侵或冒充与目标用户存在信任职业关系的人员。” “被冒充的人员包括国际非政府组织分支机构及亲乌克兰组织的员工。” “攻击者投入大量资源完善伪装，使用入侵人员的合法邮箱账号及临时通信渠道增强真实性。”       消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文