HackerNews 编译，转载请注明出处：  据区块链安全公司 Elliptic 披露，基于 Telegram 运作的东南亚大型非法交易平台 Tudou Guarantee 似乎正在停止其核心业务运作。研究人员发现，该平台在其公开群组中已停止交易活动，此前累计处理的交易金额超过 120 亿美元。不过，由于平台的其他服务仍在运行，其是否会彻底关闭仍有待观察。 Elliptic 在报告中指出：“自成立以来，Tudou（意为‘土豆’）已处理超过 120 亿美元的交易，使其成为有史以来第三大非法交易市场。Tudou Guarantee 的其他业务板块（如博彩业务）仍在运作，因此目前尚无法确定这是否意味着全面关停的开始，还是仅从诈骗相关活动中转型退出。” Tudou Guarantee 的迅速扩张，与此前另一大型非法市场 Huione Guarantee 的关闭密切相关。2025 年 5 月，Telegram 关闭了交易规模高达 270 亿美元 的 Huione 平台，促使大量商家转移至 Tudou。此后，Tudou 的用户数量迅速翻倍，交易规模激增，许多卖家继续提供被盗数据、洗钱和诈骗相关服务。事实上，Huione 早在 2024 年就已收购 Tudou 30% 的股份，为其成为“接班人”铺平了道路。 在 Tudou 平台上，商家几乎可以出售运行网络诈骗所需的一切要素，包括：洗钱服务、被盗个人数据、成套诈骗平台和钓鱼网站。此外，平台还兜售换脸技术、AI 语音克隆和深度伪造工具，用于欺骗受害者。Tudou 提供的担保（托管）服务在买卖双方之间建立信任，助推了一个庞大的犯罪生态系统。 Tudou 的停摆与 Prince Group 的瓦解密切相关。2025 年 10 月，美国和英国对 Prince Group 及其董事长 陈志（Chen Zhi） 实施制裁，指控其在柬埔寨经营诈骗园区并使用强迫劳动。随后，执法行动显著升级。2026 年 1 月 6 日，柬埔寨与中国执法部门联合行动，将陈志逮捕并引渡至中国。不久之后，Elliptic 监测到 Tudou 主要加密货币钱包的活动量急剧下降，表明此次逮捕对其运营产生了直接冲击。 报告最后指出：“Tudou 的关闭对东南亚诈骗经济体系是一次重大打击，但历史经验表明，这一真空不会长期存在。对调查人员而言，根本性的优势仍然存在：这些大型诈骗平台上的每一笔加密资产交易，都会在区块链上留下永久记录。正是这种透明性，使 Elliptic 能够追踪 Tudou 经手的 120 亿美元资金流向，也将继续帮助我们以及政府调查机构追踪这些活动下一步的迁移去向。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以牟利为目的的 “黄金工厂”（GoldFactory）网络犯罪团伙近期以伪装政府服务机构的方式，向印度尼西亚、泰国和越南的移动用户发起新一轮攻击。 总部位于新加坡的数字风险防护企业 IB 集团在周三发布的技术报告中指出，该攻击活动始于 2024 年 10 月，犯罪团伙通过传播植入安卓恶意软件的篡改版银行应用实施攻击。 据悉，“黄金工厂” 早在 2023 年 6 月就已开始活动，该团伙于去年年初逐渐进入公众视野。当时 IB 集团披露，该团伙开发了 “掘金铲”（GoldPickaxe）、“淘金者”（GoldDigger）及 “增强版淘金者”（GoldDiggerPlus）等多款定制恶意软件，同时针对安卓与苹果移动设备发动攻击。 此轮攻击最早在泰国被发现，2024 年末至 2025 年初蔓延至越南，2025 年年中起又波及印度尼西亚。 IB 集团表示，已排查出 300 多个不同版本的篡改版银行应用样本，仅在印度尼西亚就造成近 2200 起设备感染事件。经进一步调查，该团伙相关的恶意攻击载体超 3000 个，导致的感染案例不少于 1.1 万起，其中约 63% 的篡改版银行应用面向印度尼西亚市场。 该攻击流程其实很简单：犯罪团伙先伪装成政府机构或当地知名可靠品牌，接着致电潜在受害用户实施诈骗，诱导他们点击在 zalo（越南主流即时通讯软件）等通讯应用中发送的链接，进而安装恶意软件。 IB 集团记录的一起案例显示，诈骗分子冒充越南国家电力集团，以逾期未缴电费将立即断电为由催促受害用户缴费。通话过程中，诈骗分子还要求受害用户添加其 zalo 好友，以便接收用于下载应用并绑定账户的链接。 这些链接会将受害用户导向仿冒谷歌应用商店页面的虚假诱导界面，进而植入 “巨型芽”“移动监控木马”“雷莫” 等远程控制木马。其中 “雷莫” 木马于今年早些时候被发现，其攻击手法与 “黄金工厂” 如出一辙。这些植入程序会为核心恶意程序的安装铺路，核心程序会恶意滥用安卓系统的辅助功能，以实现对设备的远程操控。 安德烈・波洛夫金、沙明・洛、阮氏秋源与帕维尔・瑙莫夫等研究人员指出：“这类恶意软件以正规手机银行应用为基础，仅向应用的部分模块注入恶意代码，因此正规应用的正常功能得以保留。不同攻击目标所植入的恶意模块功能或许存在差异，但核心目的均是绕过原应用的安全防护机制。” 具体来说，该恶意软件通过劫持应用程序逻辑来启动恶意代码。研究人员根据篡改版应用中用于运行时劫持的框架，发现了三类不同的恶意程序组件，分别是 “弗瑞劫持器”“天空劫持器” 和 “派恩劫持器”。尽管它们存在差异，但核心功能高度重合，均可实现以下操作： 隐藏已开启辅助功能的应用列表 规避屏幕录制检测 伪造安卓应用的数字签名 隐藏应用安装来源 配置自定义完整性令牌验证程序 窃取用户账户余额信息 其中，“天空劫持器” 借助开源的多平台挂钩框架实现代码劫持功能；“弗瑞劫持器” 会向正规银行应用中注入弗瑞动态插桩工具；而 “派恩劫持器” 顾名思义，采用的是基于 Java 语言开发的派恩挂钩框架。 IB 集团在分析 “黄金工厂” 搭建的恶意攻击架构时，还发现了一款名为 “巨型花” 的安卓恶意软件测试版，这款软件很可能是 “巨型芽” 的升级版。 该恶意软件支持约 48 条操控指令，具体功能包括通过网页实时通信技术实现设备屏幕画面与运行状态的实时传输；滥用系统辅助功能记录键盘输入内容、读取界面信息并模拟手势操作；弹出仿冒系统更新、验证码输入及账户注册的虚假界面以窃取个人信息；借助内置文本识别算法提取身份证等证件图片中的信息。目前该软件还在开发二维码扫描功能，用于识别越南身份证上的二维码，其目的很可能是更便捷地获取证件信息。 值得注意的是，“黄金工厂” 已停用其定制开发的苹果设备恶意程序，转而采用一种特殊攻击方式 —— 指示受害用户向亲友借用安卓设备继续操作以完成诈骗。目前其变更攻击方式的具体原因尚不清楚，但外界普遍认为，这与苹果系统更为严格的安全防护机制及应用商店审核制度密切相关。 研究人员表示：“该团伙早期攻击主要以恶意利用客户身份验证流程为目标，而近期则转为直接篡改正规银行应用实施诈骗。他们借助弗瑞、多平台挂钩、派恩等正规框架篡改可信银行应用，这种攻击手段技术成熟且成本低廉，既能避开传统安全检测，还能助力犯罪团伙快速扩大攻击规模。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 斯里兰卡、孟加拉国与巴基斯坦的高级别政府机构近期成为APT组织SideWinder新一轮攻击的重点目标。 研究人员发现，攻击者采用鱼叉式钓鱼邮件结合地理围栏技术，确保仅特定国家的目标会收到恶意载荷。攻击链通过诱饵文档激活感染流程，最终部署名为StealerBot的恶意软件，该作案手法与此前披露的SideWinder活动特征一致。 此次攻击瞄准南亚多国关键部门，包括孟加拉国电信监管委员会、国防部与财政部，巴基斯坦本土技术发展局，以及斯里兰卡外债管理局、国防部与中央银行。攻击者利用微软Office中历史悠久的远程代码执行漏洞（CVE-2017-0199与CVE-2017-11882）作为初始攻击媒介，部署具备持久化访问能力的恶意程序。 恶意文档被打开时触发CVE-2017-0199漏洞，通过DLL侧载技术释放后续载荷安装StealerBot。攻击者采用地理围栏技术增强隐蔽性：若受害者IP地址不符合预设国家范围，系统仅返回空白RTF文件作为诱饵。实际恶意RTF文件利用公式编辑器漏洞CVE-2017-11882触发内存破坏，执行基于shellcode的加载器运行StealerBot。 StealerBot是基于.NET开发的模块化植入程序，能够投放额外恶意组件、启动反向shell，并从受控主机窃取屏幕截图、键盘记录、密码、文件等敏感数据。分析指出，该组织展现出持续的活跃度与精准控制能力——恶意载荷仅在限定时间内分发给经过严格筛选的目标，反映出其组织架构的延续性与攻击意图的持久性。 攻击活动中，SideWinder延续了其标志性战术：频繁更新工具集以规避安全检测，通常在安全解决方案识别其工具后5小时内生成新变种。若遭遇行为检测，则迅速调整持久化维持与组件加载技术，并修改恶意文件路径及名称。尽管主要依赖旧版Office漏洞实施攻击，但其对目标选择的高度精准性与攻击流程的严密控制，仍使其成为南亚地区最具威胁的APT组织之一。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）近日披露，自2024年6月起，一个名为Earth Kurma的高级持续性威胁（APT）组织对东南亚多国政府及电信行业发起复杂攻击。该组织使用定制化恶意软件、内核级Rootkit及云存储服务实施间谍活动，已造成高业务风险。主要受害国家包括菲律宾、越南、泰国和马来西亚。 安全研究人员Nick Dai和Sunny Lu在上周发布的分析中表示：“由于针对性间谍活动、凭证窃取、通过内核级Rootkit建立的持久驻留，以及通过可信云平台进行数据外泄，此次攻击活动构成较高的业务风险。” 该威胁组织的活动可追溯至2020年11月。其入侵主要依赖Dropbox和Microsoft OneDrive等服务，使用TESDAT和SIMPOBOXSPY等工具窃取敏感数据。 其武器库中还包括KRNRAT和Moriya等Rootkit。后者此前曾被观察到用于针对亚洲和非洲知名组织的攻击，属于代号TunnelSnake的间谍行动。 趋势科技称，攻击中使用的SIMPOBOXSPY和数据外泄脚本与另一个代号ToddyCat的APT组织存在相似性，但尚未明确归属关系。 目前尚不清楚攻击者如何初始侵入目标环境。其利用初始驻留点扫描网络并通过NBTSCAN、Ladon、FRPC、WMIHACKER和ICMPinger等工具横向移动，同时部署名为KMLOG的键盘记录器窃取凭证。 攻击者通过三种加载器（DUNLOADER、TESDAT和DMLOADER）实现主机持久化。这些加载器能将后续载荷加载到内存并执行，包括Cobalt Strike Beacons、KRNRAT和Moriya等Rootkit，以及数据窃取恶意软件。 此类攻击的独特之处在于使用“利用现成工具技术（LotL）”部署Rootkit。黑客利用合法系统工具（例如syssetup.dll）而非易检测的恶意软件实现攻击。 Moriya被设计用于检查传入的TCP数据包是否包含恶意载荷，并将Shellcode注入新创建的svchost.exe进程。KRNRAT则整合了五个开源项目功能，可操控进程、隐藏文件、执行Shellcode、隐藏流量，并与命令控制（C2）服务器通信。 与Moriya类似，KRNRAT会加载用户模式代理（Rootkit）并将其注入svchost.exe。该代理作为后门从C2服务器获取后续攻击载荷。 研究人员指出：“在数据外泄前，加载器TESDAT通过执行多个命令收集特定扩展名的文档（如.pdf、.doc、.docx、.xls、.xlsx、.ppt、.pptx），将其放入新建的‘tmp’文件夹，并使用指定密码通过WinRAR压缩。” 专用工具SIMPOBOXSPY可将压缩文件通过访问令牌上传至Dropbox。卡巴斯基2023年10月报告称，此类通用Dropbox上传器“可能并非ToddyCat专用”。 另一工具ODRIZ通过指定OneDrive刷新令牌作为输入参数，将数据上传至OneDrive。 趋势科技强调：“Earth Kurma仍高度活跃，持续针对东南亚国家。其具备适应受害者环境的能力，并能保持隐蔽存在。他们可复用历史攻击活动的代码库定制工具，甚至利用受害者基础设施达成目标。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联合国警告称，网络诈骗活动正以工业化规模在东南亚及更广区域扩张。 联合国毒品和犯罪问题办公室（UNODC）新报告《拐点：东南亚诈骗中心、地下银行与非法在线市场的全球影响》披露了相关发现。 报告指出，诈骗中心由“复杂的跨国集团与洗钱者、人口贩子、数据中介及日益增多的专业服务提供商组成的犯罪集团驱动”。 这些组织倾向聚集在缅甸与柬埔寨等“脆弱”边境地区，大型整合集团正取代分散诈骗团伙，建设“工业科技园区、赌场及酒店”。 UNODC表示，此类集团利用腐败官员“进一步渗透东南亚许多偏远、脆弱及防护薄弱的地区，并日益向其他区域扩张”，年获利达数百亿美元。 报告警告称：“当前越来越明显的是，东南亚已发生可能无法逆转的溢出效应，犯罪集团可自由选择司法管辖区、转移业务与资产，导致局势迅速超出政府管控能力。” 据称，数十万被贩运受害者与“谋划者”共同推动产业扩张，通过犯罪市场、赌博平台、无证支付处理商、加密通信平台、稳定币及区块链网络等在线服务牟利。UNODC指出，生成式人工智能（GenAI）被滥用于诈骗的案例正日益增多。 联合国补充声明，2023年这些亚洲犯罪集团在本土通过网络诈骗获利约370亿美元，同时将业务扩展至非洲、南美、南亚及太平洋岛屿等遥远地区。报告呼吁采取多管齐下应对措施，包括提高政治意识、强化监管框架、加强跨机构与区域合作、提升执法部门技术能力。 UNODC东南亚及太平洋地区代理代表Benedikt Hofmann认为，犯罪集团扩张旨在对冲未来风险与干扰。“它像癌症般扩散，”Hofmann强调，“当局在某区域打击，但其根源永不消失；它们只是转移。这导致该区域实质上成为由复杂集团自由利用漏洞的相关联组织，从而危及国家主权，扭曲政策制定流程及其他政府体系。”     消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

近日，网络安全公司Group-IB的研究人员周四表示，一项黑客活动针对亚太地区和欧洲地区的一系列组织，主要为窃取公司数据和其他高价值机密的复杂活动. Group-IB 研究人员 Andrey Polovinkin 和 Albert Priego 在详细分析中表示，所谓的“深粉红色”活动在 2022 年下半年激增，迄今为止，已经造成七次成功的攻击。根据研究人员的分析，它的主要目标似乎是企业间谍活动、文件盗窃、从受感染设备的麦克风中捕获声音以及从信使中泄露数据。 研究人员没有将该活动归因于任何团体，“这使得 Dark Pink 很可能是一个全新的高级持续威胁团体，”研究人员说。但另一家安全公司在1 月 5 日发布的分析中将该活动与“疑似东南亚”联系起来。 亚太地区是各种正在进行的与国家结盟的网络活动的发源地，代表着广泛的相互竞争的利益和议程。Group-IB 分析的已知 Dark Pink 攻击始于 2022 年 6 月在越南对一个未具名宗教组织的攻击。但该组织很可能至少可以追溯到 2021 年 5 月，也就是攻击者使用的 Github 帐户变得活跃的时候。其他已知的受害者包括一个越南非营利组织、一个印度尼西亚政府组织、菲律宾和马来西亚的两个军事机构以及柬埔寨、印度尼西亚和波斯尼亚和黑塞哥维那的政府机构。 研究人员指出，已经通知了潜在的受害者，而且可能还有更多的受害者尚未被发现。 攻击始于可能专门为每个目标设计的鱼叉式网络钓鱼电子邮件。至少在一个案例中，攻击者伪装成公共关系和传播实习生职位的申请人，建议他们扫描求职板以锁定受害者。美国政府在 5 月份警告说，朝鲜黑客使用类似的方法是众所周知的，既可以为朝鲜政府创收，也可以访问企业网络。 电子邮件中的缩短链接包括恶意和无害的文档，这些文档传递用于进一步操作的恶意软件。 研究人员表示，攻击者可以通过三种方式泄露数据：通过 Telegram 发送、将文件传输到 Dropbox 以及通过电子邮件。 研究人员指出，电子邮件方法“特别令人惊讶”。使用电子邮件地址包括 blackpink.301@outlook[.]com和blackred.113@outlook[.]com 等。根据研究人员收集的数据，电子邮件的正文简单地写着“hello badboy”，而主题行是特定设备的名称。 最终，调查结果表明，攻击者技术的创新可能会产生深远的影响。Dark Pink 背后的威胁行为者能够在他们定制工具包的帮助下，突破亚太地区和欧洲地区一系列国家的政府和军事机构的防御。 Dark Pink 的活动再次强调了鱼叉式网络钓鱼活动对组织构成的巨大危险，因为即使是非常先进的威胁行为者也会使用这种媒介来访问网络，建议组织继续教育其人员如何检测这些类型的电子邮件。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/3n6Z-h5tQnrWOLqltrYL7w 封面来源于网络，如有侵权请联系删除