HackerNews 编译，转载请注明出处： 美国国务院通过“正义赏金”计划悬赏最高1000万美元，征集有关俄罗斯联邦安全局（FSB）官员帕维尔·亚历山德罗维奇·阿库洛夫（Pavel Aleksandrovich Akulov）、米哈伊尔·米哈伊洛维奇·加夫里洛夫（Mikhail Mikhailovich Gavrilov）和马拉特·瓦列里耶维奇·秋科夫（Marat Valeryevich Tyukov）的情报。这三人被指控入侵美国关键基础设施及全球超过500家能源企业。 指控称，这些FSB官员试图获取并维持“对美国及国际数百家能源企业的未授权持久访问权限，使俄罗斯政府能够破坏这些关键设施”。其攻击范围涵盖135个国家超过380家能源企业，包括石油天然气公司、电力电网运营商、核电站、可再生能源企业以及工程技术服务商。 这三名官员均隶属于FSB第16中心（又名“Dragonfly”、“Berzerk Bear”、“Energetic Bear”和“Crouching Yeti”）。美国司法部早在2021年8月就已对他们提起指控。 两阶段攻击行动 2012至2017年间，Dragonfly APT（高级持续性威胁）组织针对能源行业的工业控制系统（ICS）和监控与数据采集系统（SCADA）发起多轮攻击： 第一阶段（2012-2014）：行动代号“Dragonfly”或“Havex”，采用供应链攻击手段入侵OT网络系统制造商和软件供应商，部署“Havex”恶意植入程序。通过鱼叉式钓鱼和水坑攻击，在美国及海外超过17,000台设备上安装恶意软件，其中包括电力能源企业使用的ICS/SCADA控制器。 第二阶段（2014-2017）：升级为“Dragonfly 2.0”，集中针对500余家欧美能源企业和政府机构（包括美国核管理委员会）的3,300多名ICS/SCADA系统工程师发起定向攻击。 新型攻击手段曝光 2025年8月，FBI警告称俄罗斯关联黑客组织“Static Tundra”正在利用Cisco Smart Install（SMI）中未修复的漏洞（CVE-2018-0171，CVSS评分9.8）和简单网络管理协议（SNMP），攻击全球范围内的老旧网络设备。该漏洞允许攻击者远程执行任意代码或导致设备重启。 Static Tundra与FSB第16中心存在关联，十年来持续通过以下手段实施网络间谍活动： 利用过时协议（SMI、SNMP v1/v2） 部署定制化工具如Cisco “SYNful Knock”恶意固件 建立GRE隧道实现隐蔽通信 窃取数千台美国关键基础设施设备的配置数据 思科Talos团队报告显示，该组织主要针对北美、亚洲、非洲和欧洲的电信、高等教育和制造领域机构，受害者选择标准取决于其对俄罗斯政府的战略价值。 SYNful Knock作为模块化路由器后门，自2015年被Mandiant首次披露以来，持续为攻击者提供持久化访问和情报收集能力。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁组织EncryptHub持续利用已修复的Microsoft Windows安全漏洞（CVE-2025-26633，又名MSC EvilTwin）投放恶意负载。Trustwave SpiderLabs观察到，该组织近期攻击活动将社会工程学与Microsoft管理控制台（MMC）框架漏洞利用结合，通过恶意Microsoft控制台（.msc）文件触发感染流程。 “这些活动属于广泛持续恶意攻击浪潮的一部分，其通过结合社会工程与技术漏洞利用来绕过防御体系、控制内部环境”，Trustwave研究人员Nathaniel Morales和Nikita Kazymirskyi表示。 EncryptHub（亦被追踪为LARVA-208和Water Gamayun）是俄罗斯黑客组织，2024年中崭露头角。这个以经济利益驱动的组织行动迅速，惯用虚假职位邀约、作品集审核甚至篡改Steam游戏等手段向目标投放窃密木马。 该组织滥用CVE-2025-26633漏洞的行为早在2025年3月已被趋势科技记录，当时攻击投放了名为SilentPrism和DarkWisp的两个后门程序。最新攻击链中，攻击者伪装成IT部门人员，通过Microsoft Teams向目标发送远程连接请求，意图部署PowerShell命令执行后续负载。 攻击过程投放了两个同名MSC文件（一个良性、一个恶意），当用户启动良性文件时会触发漏洞，最终执行恶意MSC文件。该MSC文件从外部服务器获取并执行另一PowerShell脚本，该脚本会收集系统信息、建立主机持久化机制，并与EncryptHub命令与控制（C2）服务器通信以接收运行恶意负载（包括名为Fickle Stealer的窃密木马）。 “该脚本接收攻击者AES加密指令，解密后在受感染机器直接运行负载”，研究人员指出。攻击过程中还部署了代号SilentCrystal的Go语言加载器——其滥用Brave浏览器关联的合法平台“Brave支持服务”托管后续恶意软件（内含两个用于漏洞武器化的MSC文件的ZIP压缩包）。此举特殊性在于：Brave支持平台对新用户附件上传有限制，表明攻击者可能非法获取了具备上传权限的账户。 其他部署工具包括： Golang后门程序：支持客户端/服务器双模式，通过SOCKS5代理隧道协议向C2服务器发送系统元数据并建立C2基础设施 视频会议诱饵：新建虚假平台RivaTalk欺骗受害者下载MSI安装包。运行安装包将释放多个文件： 赛门铁克合法早期反恶意软件启动程序（ELAM）二进制文件 用于侧加载恶意DLL的文件（该DLL进而启动PowerShell命令下载运行另一脚本） 该脚本设计用于收集系统信息并外传至C2服务器，同时等待解密执行加密PowerShell指令，使攻击者获得系统完全控制权。恶意软件还显示虚假“系统配置”弹窗作为伪装，同时在后台生成虚假浏览器流量（通过向热门网站发送HTTP请求），以掩盖C2通信流量。 Trustwave总结：“EncryptHub威胁组织代表资源充足、适应性强的对手，其结合社会工程学、滥用可信平台及系统漏洞利用的手段，凸显了分层防御策略、持续威胁情报和用户意识培训的重要性。”         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家揭露了一波新的利用Microsoft 365的OAuth工作流程进行精准钓鱼攻击的活动。 自2025年3月以来，Volexity观察到这些活动涉及与俄罗斯有关联的威胁行为者，他们冒充欧洲外交官和乌克兰官员。 这些电子邮件试图诱使人权工作者和非政府组织（NGO）工作人员交出能授予访问其Microsoft账户权限的身份验证代码。 攻击背后的复杂社会工程 被Volexity追踪为UTA0352和UTA0355的威胁行为者，采用了高度个性化的策略来操控目标。受害者通常会通过Signal或WhatsApp收到看似来自欧洲官员的外联信息，提议就与乌克兰相关的事务举行会议。 这些对话最终会引导受害者收到攻击者发送的Microsoft OAuth登录链接，并被要求提供用户在身份验证后看到的一个代码。 这些钓鱼链接会将用户重定向至合法的Microsoft登录页面。然而，一旦受害者（通常通过同一即时通讯平台）返回所显示的代码，攻击者就会用它来生成一个访问令牌，从而解锁受害者的Microsoft 365数据。 在其中一个案例中，UTA0352引导目标访问一个在线托管的Visual Studio Code版本。在那里，受害者在不知情的情况下触发了OAuth流程，并被提示发回授权代码。这些代码有效期长达60天，授予了访问用户Microsoft Graph数据的权限，实际上暴露了其电子邮件和文件。 在另一次活动中，Volexity发现UTA0355使用一个被入侵的乌克兰政府电子邮件账户发送虚构会议的邀请函。后续通过即时通讯应用发送的信息要求用户通过Microsoft URL进行身份验证。 一旦完成身份验证，攻击者就会将一个新设备注册到用户的Entra ID（原Azure AD）中，通过社会工程绕过安全设置并下载电子邮件数据。 关键入侵迹象 Volexity强调了几点组织可以监控的潜在入侵迹象，包括： 使用Visual Studio Code客户端ID进行的OAuth登录活动 重定向到insiders.vscode.dev或vscode-redirect.azurewebsites.net的URL 新注册的、链接到代理IP地址的设备 异常的双重身份验证审批请求 与用户典型电子邮件客户端不匹配的应用程序ID 根据该安全公司的分析，这些活动专门针对与乌克兰有联系的非政府组织、智库和个体。 “基于此，以及2025年2月观察到的类似战术，Volexity以中等可信度评估认为UTA0352和UTA0355均为俄罗斯威胁行为者。”报告指出。 该公司还警告称，由于这些策略完全依赖微软可信赖的基础设施和第一方应用程序，传统的安全控制措施可能效果不佳。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国务院于7月8日（周二）警告称，俄罗斯威胁行为体涉嫌利用人工智能（AI）深度伪造技术冒充美国国务卿马可·鲁比奥（Marco Rubio），并利用生成的虚假内容联系了至少五名外长及美国官员。 据《华盛顿邮报》周二率先报道，鲁比奥国务卿是最新一位卷入AI深度伪造冒充骗局的高级政府官员。报道称，一名未知恶意行为者于6月中旬，使用多个AI生成的鲁比奥深度伪造内容联系了至少三名外长、一名美国州长及一名国会议员。 美国国务院在一份标注日期为7月3日的电报中指出：“该行为体对国务院的命名规则和内部文件有深入了解。”这些官员的姓名未被披露，但国务院发给所有外交机构的官方电报提到，冒充者使用了加密通讯应用Signal联系部分官员。该应用在今年3月曾引发争议，因特朗普内阁成员利用其讨论打击也门胡塞武装的计划，并不慎将一名知名记者拉入私人聊天群组。 此次事件发生在美国联邦调查局（FBI）5月发布警告之后。FBI当时提醒称，网络犯罪分子正利用AI生成的语音和短信冒充美国高级官员（即“语音钓鱼”和“短信钓鱼”），针对美国现任及前任政府官员进行攻击。报道称，其中两名官员收到了伪造的鲁比奥语音邮件，另一人则收到冒充者发来的短信，直接邀请其在Signal上交流。 电报中写道：“该行为体可能旨在利用AI生成的文本和语音信息操纵目标对象，以获取信息或账户权限。”据称，欺诈性文本和语音信息还模仿了鲁比奥的声音和写作风格。 安全公司SecurityScorecard的首席信息安全官史蒂夫·科布（Steve Cobb）表示，此次最新的AI深度伪造骗局再次提醒人们该技术已变得多么先进。“这并非威胁行为体首次冒充政府官员，也绝不会是最后一次。此类活动通常采用多管齐下的方式，从看似合法的电子邮件账户发送钓鱼攻击开始，逐步升级到利用AI生成深度伪造语音邮件。”科布解释道。 FBI还警告称，若恶意行为者获取了美国官员的个人或政府账户权限，他们可利用先前通信中找到的信息，进一步针对其他官员、受害者联系人及合作伙伴发动定向攻击。除针对鲁比奥的深度伪造外，其办公室报告称，其他国务院人员也遭遇了电子邮件冒充。 未构成直接威胁 国务院指出，这些AI伪造内容并未对机构构成直接网络威胁，但警告称“若目标对象被攻破，与第三方共享的任何信息都可能暴露”。电报还提及了另一起深度伪造攻击：据路透社报道，4月一名疑似与俄罗斯有关的黑客发动了钓鱼活动，目标包括智库、东欧活动人士、持不同政见者以及国务院前官员。 科布表示：“这些行动被怀疑与俄罗斯行为体有关并不完全意外，因为东欧地区仍是恶意网络活动的中心。”电报称，该可疑黑客使用了伪造的“@state.gov”邮箱地址，并在钓鱼邮件中盗用国务院外交技术局的标识和品牌，“该行为体对部门的命名规则和内部文件展现出深入了解”。国务院表示将“进行彻底调查，并持续实施防护措施以防止未来发生类似事件”。 具有讽刺意味的是，这并非鲁比奥首次成为网络犯罪分子利用AI深度伪造的目标。此前今年3月，一段视频在网上流传，显示鲁比奥声称计划切断乌克兰的“星链”服务。该视频后被乌克兰官员证实为伪造。今年5月，白宫幕僚长苏西·怀尔斯（Susie Wiles）也遭遇了AI语音克隆软件的冒充。 “保持警惕” 科布强调，避免成为此类骗局的受害者，关键在于保持警惕。“最重要的一步已经完成：这些活动已向FBI互联网犯罪投诉中心（IC3）报告，该中心将成为未来此类事件核实信息的主要来源。”他补充道，要核实联系人的真实性，人们应寻求二次验证。“这包括拨打已知可信的电话号码、通过经过验证的社交媒体账户联系对方，或联系与您试图核实对象有私交的人士。”科布建议，“我们需要在互动中形成默认的合理怀疑心态，并将‘信任但核实’作为标准做法。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 具有俄罗斯背景的黑客组织正利用谷歌“应用密码”功能实施钓鱼攻击，这是一种旨在窃取受害者邮箱访问权限的新型社会工程学手段。 谷歌威胁情报小组与公民实验室披露了这场高度定向攻击的细节，称攻击者主要伪装成美国国务院官员。研究员表示：“2025年4月至6月初期间，该组织持续针对知名学者及俄罗斯批评人士，通过长期建立信任关系与定制化话术，诱使目标创建16位应用密码(ASP)。受害者一旦分享密码，攻击者即可长期访问其邮箱。” 谷歌将攻击归因于UNC6293组织，该团伙疑与俄罗斯背景的APT29黑客集团（又名蓝徽章/舒适熊）相关。与传统制造紧迫感的钓鱼不同，攻击者耗费数周培养信任：他们发送伪装成会议邀请的钓鱼邮件，在抄送栏伪造至少四个“@state.gov”邮箱以增强可信度。公民实验室指出：“受害者可能认为‘若有问题，国务院人员会提醒我’。而攻击者显然掌握国务院邮件服务器不验证地址有效性的漏洞。” 攻击者以“保障内外部安全通讯”为由，诱骗受害者生成应用密码（注：该功能可使低安全性设备绕过双重认证访问谷歌账户）。在目标同意会面后，向其发送伪造的国务院云平台访问指南PDF。谷歌威胁情报组确认，攻击者借此建立邮件客户端持久访问权限，终极目标是监控受害者往来邮件。 谷歌表示还监测到以乌克兰为主题的同类攻击，攻击者主要使用住宅代理和云服务器隐藏行踪，谷歌已采取防护措施。UNC6293与APT29的关联基于其自年初实施的一系列创新攻击：包括利用设备验证码和入网验证钓鱼窃取Microsoft 365账户。微软上月披露，自2025年4月以来，俄罗斯背景黑客通过虚假会议链接诱导受害者发送OAuth授权码。该恶意链接会返回设备注册令牌，使黑客设备获得目标组织网络访问权限。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据微软报告，与俄罗斯有关的威胁组织Seashell Blizzard已指派其一个分支获取面向互联网的基础设施的初始访问权，并在目标组织中建立长期驻留。 Seashell Blizzard也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear，自 2009 年以来一直活跃，据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。 该威胁组织以从事间谍活动、信息行动和网络破坏而闻名，例如破坏性的 KillDisk (2015)、MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和 Prestige (2022) 攻击。 Seashell Blizzard针对关键基础设施发起攻击，包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统，并已在军事行动中得到利用，尤其是在乌克兰。 微软在周三的一份报告中指出：“自 2023 年 4 月以来，Seashell Blizzard已加大了对该地区军事社区的攻击力度，可能是为了获取战术情报。他们持续瞄准乌克兰，这表明Seashell Blizzard的任务是获取并保留对高优先级目标的访问权，为俄罗斯军事和政府提供一系列未来行动选项。” 在过去四年中，Seashell Blizzard内部的一个小组一直致力于一项广泛的初始访问行动，称为“BadPilot 活动”，目的是在高价值目标中建立持久性，以支持定制的网络操作。 微软解释说：“Seashell Blizzard内部的这个小组至少从 2021 年就开始活跃，他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动，有时会导致严重的区域网络入侵。” 微软表示，该子组织的活动使Seashell Blizzard能够接触多个领域的全球目标（包括国际政府），从而横向扩大业务规模。 去年，该小组扩大了其目标列表，包括美国和英国的组织，主要通过利用 ConnectWise ScreenConnect (CVE-2024-1709) 和 Fortinet FortiClient EMS (CVE-2023-48788) 的漏洞。 微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改，以被动收集网络凭据，并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。 微软指出：“鉴于Seashell Blizzard是俄罗斯在乌克兰的网络先锋，微软威胁情报评估认为，这个访问小组将继续创新新的扩展技术，入侵乌克兰和全球网络，以支持俄罗斯的战争目标和不断变化的国家优先事项。”   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 EclecticIQ 威胁分析师披露，俄罗斯军事网络间谍组织 Sandworm 正在针对乌克兰的 Windows 用户，通过恶意的微软密钥管理服务（KMS）激活工具和伪装的 Windows 更新进行攻击。这些攻击可能始于 2023 年末，基于重叠的基础设施、一致的战术、技术与程序（TTPs）以及频繁使用的 ProtonMail 账号注册攻击域名，被 EclecticIQ 确认为与 Sandworm 黑客相关。 攻击者还利用 BACKORDER 加载器部署 DarkCrystal RAT（DcRAT）恶意软件（此前 Sandworm 攻击中也曾使用），并且调试符号引用了俄语构建环境，进一步证实了研究人员对俄罗斯军事黑客参与其中的信心。 EclecticIQ 识别出七个与同一恶意活动集群相关的恶意软件分发活动，每个活动都使用类似的诱饵和 TTPs。最近一次是在 2025 年 1 月 12 日，分析师观察到攻击者利用拼写错误的域名，通过 DcRAT 远程访问木马进行数据泄露攻击。 一旦在受害者的设备上部署，假冒的 KMS 激活工具会显示一个伪造的 Windows 激活界面，在后台安装恶意软件加载器，并禁用 Windows Defender，随后传递最终的 RAT 负载。 这些攻击的最终目的是从受感染的计算机中收集敏感信息，并将其发送到攻击者控制的服务器。恶意软件会窃取键盘输入、浏览器 Cookie、浏览历史记录、保存的凭据、FTP 凭据、系统信息和屏幕截图。 Sandworm 使用恶意 Windows 激活工具的动机可能是由于乌克兰广泛使用盗版软件，这为攻击者提供了巨大的攻击面，甚至影响到该国的政府机构。EclecticIQ 表示：“许多用户，包括企业和关键实体，都从不可信的来源转向使用盗版软件，这为 Sandworm（APT44）等对手提供了将恶意软件嵌入广泛使用程序的绝佳机会。”这种策略使得大规模间谍活动、数据盗窃和网络入侵成为可能，直接威胁到乌克兰的国家安全、关键基础设施和私营部门的韧性。 Sandworm（也被追踪为 UAC-0113、APT44 和 Seashell Blizzard）是一个自 2009 年以来一直活跃的黑客组织，隶属于俄罗斯军事情报局（GRU）的第 74455 军事单位，主要针对乌克兰发动破坏性和破坏性攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Trend Micro安全研究员Peter Girnus称，7-Zip归档工具中的一个最近修补的安全漏洞（CVE-2025-0411，CVSS评分为7.0）被野外利用来传递SmokeLoader恶意软件。该漏洞允许远程攻击者绕过网络标记（MotW）保护，并以当前用户的身份执行任意代码。7-Zip在2024年11月发布的24.09版本中解决了这个问题。 “俄罗斯网络犯罪集团通过鱼叉式网络钓鱼活动积极利用该漏洞，使用同形异义攻击来伪造文档扩展名，欺骗用户和Windows操作系统执行恶意文件。”Girnus说。 据怀疑，CVE-2025-0411可能被武器化，用于针对乌克兰的政府和非政府组织，作为俄乌冲突背景下的网络间谍活动的一部分。 MotW是微软在Windows中实现的一项安全功能，旨在防止从互联网下载的文件在未通过Microsoft Defender SmartScreen进一步检查的情况下自动执行。 CVE-2025-0411通过使用7-Zip进行双重归档来绕过MotW，即创建一个归档文件，然后再创建一个该归档文件的归档文件，以隐藏恶意负载。 “CVE-2025-0411的根本原因是，在24.09版本之前，7-Zip没有正确地将MotW保护传播到双重封装的归档内容，”Girnus解释说。“这允许威胁行为者创建包含恶意脚本或可执行文件的归档文件，这些文件不会受到MotW保护，使Windows用户容易受到攻击。” 利用该漏洞的零日攻击最早在2024年9月25日被检测到，感染序列导致了SmokeLoader，这是一种多次用于针对乌克兰的加载器恶意软件。 起点是一封包含特制归档文件的网络钓鱼电子邮件，该文件使用同形异义攻击将内部ZIP归档文件伪装成Microsoft Word文档文件，从而触发漏洞。 据Trend Micro称，这些网络钓鱼邮件是从与乌克兰政府机构和商业账户相关的电子邮件地址发送的，目标是市政组织和企业，这表明这些账户之前已被攻陷。 “这些被攻陷的电子邮件账户为发送给目标的邮件增添了真实性，操纵潜在受害者信任内容及其发件人，”Girnus指出。 这种方法导致执行ZIP归档文件中的互联网快捷方式（.URL）文件，该文件指向攻击者控制的服务器，该服务器托管了另一个ZIP文件。新下载的ZIP文件包含伪装成PDF文档的SmokeLoader可执行文件。 至少有九个乌克兰政府实体和其他组织被评估为受到该活动的影响，包括司法部、基辅公共交通服务、基辅供水公司和市议会。 鉴于CVE-2025-0411正在被积极利用，建议用户更新到最新版本，实施电子邮件过滤功能以阻止网络钓鱼尝试，并禁用来自不受信任来源的文件执行。 “我们在此次活动中针对和受影响的组织中注意到一个有趣的收获是小型地方政府机构，”Girnus说。“这些组织通常面临巨大的网络压力，但往往被忽视，缺乏大型政府机构的网络安全意识和资源。这些较小的组织可以成为威胁行为者转向较大政府机构的有价值支点。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文