尼日利亚逮捕与微软365 攻击相关的 RaccoonO365 钓鱼服务开发者
HackerNews 编译,转载请注明出处: 尼日利亚当局宣布逮捕了三名“知名网络诈骗嫌疑人”,据称他们参与了针对大型企业的钓鱼攻击,其中包括RaccoonO365钓鱼即服务计划的主要开发者。 尼日利亚警察部队国家网络犯罪中心表示,在与微软和联邦调查局的合作调查下,确认了奥基蒂皮·塞缪尔(又名摩西·费利克斯)是该钓鱼基础设施的主要嫌疑人和开发者。 “调查显示,他运营着一个Telegram频道,通过该频道出售钓鱼链接以换取加密货币,并利用窃取或欺诈获得的邮箱凭证在Cloudflare上托管欺诈性登录门户。”尼日利亚警方在社交媒体上发布的帖子中称。 此外,在对他们住所进行的搜查行动中,查获了与该活动相关的笔记本电脑、移动设备和其他数字设备。据尼日利亚警方称,另外两名被捕者与该钓鱼即服务的创建或运营无关。逮捕行动是在拉各斯州和埃多州进行的突击搜查后执行的。 RaccoonO365是一个以经济利益为动机的威胁组织及其钓鱼即服务工具包的名称,该工具包使攻击者能够通过模仿微软365登录页面的钓鱼页面进行凭证窃取攻击。微软在追踪该威胁组织时将其命名为Storm-2246。 早在2025年9月,这家科技巨头就表示与Cloudflare合作,查封了RaccoonO365使用的338个域名。据估计,自2024年7月以来,归因于该工具包的钓鱼基础设施已导致来自94个国家的至少5000个微软凭证被盗。 尼日利亚警方称,RaccoonO365被用来建立欺诈性的微软登录门户,旨在窃取用户凭证,并利用这些凭证非法访问企业、金融机构和教育机构的邮箱平台。联合调查发现了2025年1月至9月期间多起未经授权的微软365账户访问事件,这些事件源于模仿合法微软身份验证页面的钓鱼消息。 尼日利亚警方补充说,这些活动导致了跨多个司法管辖区的商业邮箱入侵、数据泄露和经济损失。 微软和Health-ISAC在9月提起的民事诉讼指控被告约书亚·奥贡迪佩和另外四名化名被告“出售、分发、购买和实施”该钓鱼工具包,以推动复杂的鱼叉式钓鱼并窃取敏感信息,从而运营网络犯罪活动。 诉讼称,被盗数据随后被用来助长更多网络犯罪,包括商业邮箱入侵、金融诈骗、勒索软件攻击,以及侵犯知识产权。 诉讼还指认奥贡迪佩是该行动的幕后主使。他目前下落不明。当被要求置评时,微软发言人告诉The Hacker News,调查正在进行中。 事态发展的同时,谷歌起诉了Darcula钓鱼即服务的运营者,将中国公民张宇程指认为该组织的头目,并列出另外24名成员。谷歌正寻求法院命令,查封该组织背后的服务器基础设施,这些基础设施一直是一波冒充美国政府机构的大规模短信钓鱼活动的源头。 据挪威广播公司和网络安全公司Mnemonic的调查,Darcula及其同伙估计窃取了近90万张信用卡号码,其中近4万张来自美国人。该中文钓鱼工具包于2023年7月首次出现。 该诉讼的消息由NBC新闻于2025年12月17日首次报道。事态发展距离谷歌起诉与另一个名为Lighthouse的钓鱼即服务相关的、据信已影响超过120个国家100万用户的、位于中国的黑客,仅过去一个多月。 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
成功逮捕!SilverTerrier 团伙头目被尼日利亚警方控制
经过了为期一年代号为“黛利拉行动”(Operation Delilah)的调查,尼日利亚警方于近日在拉各斯的穆尔塔拉•穆罕默德国际机场逮捕了一名37岁男子,该男子是网络犯罪团伙SilverTerrier(又名TMT)的疑似头目。本次抓捕行动得到了几家全球大型网络安全公司(包括Group-IB, Palo Alto Networks Unit 42和Trend Micro)的支持。 SilverTerrier是一个拥有数百人成员规模的团伙,自2014年进入公众视野以来它就一直相当活跃,该团伙十分注重于商业电子邮件犯罪(BEC)。2020年5月,这个团伙曾发动过一次引发广泛关注的攻击。当时,Palo Alto Networks的研究人员观察到,团伙以COVID-19为诱饵对全球医疗机构和政府组织发动了攻击。 在此之前,2020年11月,国际刑警组织领导了打击SilverTerrier团伙的“猎鹰行动”(Operation Falcon)。此后,在“猎鹰二号行动”中,国际刑警组织逮捕了SilverTerrier团伙的15名成员。 “尼日利亚逮捕了这名著名的网络罪犯,这证明了我们的国际执法联盟和国际刑警组织的私营部门伙伴在打击网络犯罪方面长期不懈的努力收到了成果”,尼日利亚警察部门助理总督察、国际刑警组织尼日利亚国家中央局局长、国际刑警组织执行委员会非洲事务副主席Garba Baba Umar这样对媒体说道。 这名助理总督察还补充说道:“我希望这次‘黛利拉行动’能震慑全世界的网络罪犯,执法部门将继续追捕他们,这次逮捕行动也将为相关受害者带来慰藉。” 对此,国际刑警组织负责网络犯罪行动的助理主任Bernardo Pillot也表达了自己观点,“这起案件让我们看到了网络犯罪的全球化属性,以及通过全球到区域打击网络犯罪的行动方法的重要性。网络犯罪不是我们195个成员国中的任何一个可以单独面对的威胁,只有国家执法机构、私营部门合作伙伴和国际刑警组织共同坚持不懈地努力,才可以取得良好的结果。” 转自 Freebuf,原文链接:https://www.freebuf.com/news/334370.html 封面来源于网络,如有侵权请联系删除
尼日利亚黑客向上海某企业发送“木马发票”,现已入侵主机 450 台
雷锋网(公众号:雷锋网)消息,5 月 28 日,威胁情报公司微步在线对雷锋网称,他们近日发现了一个长期利用窃密木马(AgentTesla等)对制造业、航运、能源以及部分政府部门发起定向攻击,通过窃取被攻击目标用户和单位敏感信息进行 CEO 诈骗(BEC)攻击的黑客团伙“SWEED”。 不久前,一份伪装成某上海企业向新加坡公司发出的形式发票(Proforma Invoice)引起了微步在线安全研究员的注意,因为该文档利用了 OFFICE 漏洞 CVE-2017-11882,漏洞触发后会下载执行窃密木马“AgentTesla”。 AgentTesla 是一款近期非常流行的商业窃密木马,具备屏幕截图、键盘记录、剪贴板内容、控制摄像头以及搜集主机账号密码等多种功能,并可通过”web”、”smtp”和”ftp”等三种方式回传数据。 安全研究员追踪该木马后,发现幕后攻击团伙“SWEED”来自尼日利亚,自 2017 年开始利用钓鱼邮件传播“AgentTesla”木马,攻击目标主要为从事对外贸易的中小型企业,涉及制造业、航运、物流和运输等多个行业。他们对黑客服务器获取的部分数据进行了分析,发现“SWEED”至少成功入侵个人主机 450 台,受害者遍布美国、俄罗斯、中国、印度、巴基斯坦、沙特、韩国、伊朗等近 50 个国家。 “SWEED”团伙在控制企业员工主机后会进行长期监控,并在目标与客户发起交易时实施中间人攻击,诱使财务人员将款项转至指定账户,是一个典型的尼日利亚诈骗团伙。 安全研究人员建议,国内企业用户对所有包含附件的邮件提高警惕,涉及金融交易的细节需与对方核实确认,谨防此类欺诈攻击。 点击获取详细样本分析。 稿源:雷锋网,封面源自网络;