HackerNews 编译，转载请注明出处： 网络安全公司Arctic Wolf周一披露，去年一场针对巴基斯坦、孟加拉国和斯里兰卡政府机构及关键基础设施运营商的间谍活动，被归因于一个名为”SloppyLemming”的印度关联威胁组织。这是Cloudflare 2024年9月所识别威胁活动的扩展。 该活动自2025年1月起持续一年，采用两种攻击方式：一是投递含BurrowShell恶意软件的PDF文件——该后门程序可截屏并操控文件系统；二是发送携带具备键盘记录与侦察功能恶意软件的Excel文档。 研究人员指出，该组织技术能力中等：多阶段执行链显示其掌握防御规避技术并熟悉Windows内部机制，但开放目录暴露等运营安全漏洞表明其手法不及更严谨的对手。这与组织名称中的”Sloppy（ sloppy 意为 sloppy/ sloppy ）”相符，指其历史上不稳定的运营安全。 攻击者使用去年注册的112个Cloudflare域名托管恶意软件，域名采用巴基斯坦和孟加拉国政府主题名称以诱骗受害者。 事件响应人员确认，活动目标包括巴基斯坦核监管局等核监管机构、国防后勤组织及电信基础设施，以及孟加拉国能源公用事业和金融机构。巴基斯坦海军、国家后勤公司、DESCON电力公司、孟加拉国电网公司，以及特殊通信组织和巴基斯坦电信公司均在目标之列。 研究人员称，SloppyLemming自2021年起持续实施网络间谍攻击，其目标与印度政府利益一致。 “PDF阅读器已禁用” 活动通常以含恶意文档的社会工程或鱼叉式钓鱼邮件开场。文档打开后，受害者看到模糊内容被”PDF阅读器已禁用”字样覆盖，并被诱导执行进一步操作以允许黑客访问。 恶意软件包含键盘记录功能及持久化机制、网络扫描、截屏等功能。至少有一封恶意邮件冒充孟加拉国金融机构。 Arctic Wolf发现其调查结果与Trellix 2025年10月披露的内容存在部分重叠。 Cloudflare此前表示，SloppyLemming活动始于2022年末，主要针对巴基斯坦，同时攻击斯里兰卡、尼泊尔、孟加拉国、印度尼西亚和中国，重点瞄准政府、执法、能源、电信及技术实体。Cloudflare未将该活动与印度行为者直接关联，但称其与CrowdStrike追踪的”Outrider Tiger”威胁组织相符。CrowdStrike将该组织描述为”印度关联针对性入侵对手”，采用复杂凭据收集技术，”支持印度国家情报收集需求”。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与巴基斯坦有关联的威胁行为体被发现针对印度政府实体发起鱼叉式网络钓鱼攻击，旨在投递一种基于Golang的恶意软件，名为DeskRAT。 Sekoia在2025年8月和9月观测到此次活动，并将其归因于Transparent Tribe（又名APT36），这是一个至少自2013年以来就活跃的由国家资助的黑客组织。此次攻击也建立在CYFIRMA于2025年8月披露的先前活动之上。 攻击链涉及发送包含ZIP文件附件的网络钓鱼邮件，或者在某些情况下，发送指向托管在Google Drive等合法云服务上的存档文件的链接。ZIP文件中包含一个恶意的Desktop文件，该文件嵌入了使用Mozilla Firefox显示诱饵PDF（”CDS_Directive_Armed_Forces.pdf”）的命令，同时执行主有效载荷。 这两个组件都从一个名为”modgovindia[.]com”的外部服务器拉取并执行。与之前一样，该活动旨在针对BOSS Linux系统，其远程访问木马能够使用WebSocket建立命令与控制。 该恶意软件支持四种不同的持久化方法，包括创建systemd服务、设置cron作业、将恶意软件添加到Linux自动启动目录以及配置.bashrc通过写入特定目录的shell脚本启动木马。 DeskRAT支持五种不同的命令： ping：向C2服务器发送带有当前时间戳和”pong”的JSON消息。 heartbeat：发送包含heartbeat_response和时间戳的JSON消息。 browse_files：发送目录列表。 start_collection：搜索并发送匹配预定义扩展名且小于100 MB的文件。 upload_execute：投递额外的Python、shell或Desktop有效载荷并执行。 值得注意的是，该组织还针对Windows端点分发名为StealthServer的Golang后门，表明其具有跨平台攻击重点。StealthServer的Windows版本存在三个变种，功能逐步演进，并加入了反分析技术。 与此同时，其他南亚和东亚威胁组织也相当活跃： Bitter APT：针对中国和巴基斯坦的政府、电力及军事部门，利用漏洞投递C#植入程序。 SideWinder：针对巴基斯坦、斯里兰卡等国海事等领域，开展代号为”Operation SouthNet”的集中活动。 OceanLotus：在针对中国及东南亚国家的攻击中投递Havoc利用后框架。 Mysterious Elephant：使用多种初始访问手段，投递BabShell反向shell和MemLoader等加载器，最终执行Remcos RAT等 payload。 这些入侵活动还特别关注从受感染主机窃取WhatsApp通信记录，使用了诸如Uplo Exfiltrator和Stom Exfiltrator等模块。此外，还使用了ChromeStealer Exfiltrator来窃取Chrome浏览器中的Cookie、令牌等敏感信息以及WhatsApp相关文件。 这些活动描绘出该地区威胁行为体技术不断演进、活动频繁的图景，对亚太地区的政府实体和关键部门构成了持续且复杂的威胁。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名高级持续性威胁（APT）组织“透明部落”（Transparent Tribe）近期被发现使用恶意桌面快捷方式文件，针对印度政府实体的Windows和BOSS Linux系统发动攻击。 网络安全公司CYFIRMA表示：“初始入侵通过钓鱼邮件实现。攻击者利用武器化的.desktop快捷方式文件针对BOSS Linux环境，一旦用户打开这些文件，便会下载并执行恶意载荷。” 透明部落（又称APT36）被评估为源自巴基斯坦。该组织及其分支SideCopy长期以多种远程控制木马（RAT）入侵印度政府机构。此次跨平台攻击展示了该组织的持续技术演进，使其能扩大目标范围并确保在受害系统中的持久访问权限。 攻击链分析 攻击始于伪装成会议通知的钓鱼邮件，实际附件为恶意Linux桌面快捷方式文件（如“Meeting_Ltr_ID1543ops.pdf.desktop”）。这些文件假冒PDF文档诱骗用户点击，触发执行隐藏的Shell脚本。该脚本作为下载器，从攻击者控制的服务器（”securestore[.]cv”）获取十六进制编码文件，保存为ELF二进制程序；同时启动Firefox浏览器打开Google Drive上的伪装PDF文件以降低怀疑。基于Go语言的二进制程序会连接硬编码的命令与控制（C2）服务器（modgovindia[.]space:4000），接收指令、获取后续载荷并窃取数据。恶意软件还通过cron计划任务实现持久化，确保系统重启或进程终止后自动执行主载荷。 技术对抗手段 安全公司CloudSEK独立证实此活动，指出恶意软件具备系统侦察功能，并通过虚拟反调试和反沙盒检测混淆分析工具。Hunt.io进一步分析发现，攻击最终部署了透明部落已知后门Poseidon，支持数据收集、长期访问、凭证窃取及潜在横向移动能力。CYFIRMA强调：“APT36能根据目标操作系统环境定制投递机制，显著提升攻击成功率，使其得以长期潜伏于关键政府基础设施并规避传统安全防护。” 历史攻击模式关联 此次披露前数周，透明部落还被发现通过仿冒域名针对印度国防机构及关联政府实体，旨在窃取凭证和双因素认证（2FA）验证码。用户通过钓鱼邮件被诱导至恶意链接。CYFIRMA描述其流程：“受害者在仿冒登录页输入有效邮箱并点击‘下一步’后，将被重定向至第二页面，诱骗其输入邮箱密码及Kavach验证码。”需注意的是，针对印度政府机构使用的双因素认证系统Kavach的攻击，是透明部落及SideCopy自2022年初反复使用的成熟手段。CYFIRMA补充：“此类抢注域名与巴基斯坦服务器托管基础设施的组合，完全符合该组织一贯的战术、技术和程序（TTPs）。” 南亚地区威胁扩展 同期，另一南亚APT组织SideWinder也被曝光通过钓鱼邮件攻击孟加拉国、尼泊尔、巴基斯坦、斯里兰卡和土耳其。Hunt.io指出：“攻击者仿冒官方通信，诱骗受害者在托管于Netlify和Pages.dev的伪造登录页提交凭证。其伪造的Zimbra邮箱和安全门户页面模仿政府邮件、文件共享服务界面，引导用户通过虚假登录面板提交凭证。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近几周，针对印度数字基础设施的黑客活动分子攻击声明引发广泛担忧——在印度与巴基斯坦的地缘政治紧张局势下，政府、教育及关键行业领域据称发生超100起入侵事件。 然而，CloudSEK的新调查表明实际损害微乎其微，许多声明存在夸大或完全捏造。 包括Nation Of Saviors、KAL EGY 319和SYLHET GANG-SG在内的知名黑客活动组织声称已入侵印度选举委员会和总理办公室等重要目标。 但CloudSEK分析师发现这些破坏行为大多具有象征意义：遭篡改的网站通常在数分钟内恢复，泄露数据实为公开或回收利用的旧数据，分布式拒绝服务（DDoS）攻击造成的停机时间可忽略不计。 攻击声明与事实对比： 尽管有声明称从印度国家信息中心窃取247 GB敏感政府数据，但泄露的“证据”仅为1.5 GB公开媒体文件。类似地，所谓从安得拉邦高等法院窃取的数据主要由线上已有的案件元数据构成。其他声明攻击（包括对印度陆军和选举委员会的入侵）被揭露为使用过期数据或完全伪造。 根据CloudSEK分析，围绕所谓入侵的炒作主要由X平台（原Twitter）上与巴基斯坦关联的账号推动，包括@PakistanCyberForce和@CyberLegendX。这些账号传播未经核实的声明，并将其与“Operation Sindoor”“Bunyan Al Marsous”等持续行动关联。 尽管传播广泛，大多数声明仍缺乏系统入侵或破坏的可信证据支持。 与此同时，在舆论喧嚣背后，一个据称对印度构成更严重威胁的网络攻击正在升级。以关联巴基斯坦闻名的高级持续性威胁组织APT36已发起复杂钓鱼活动，意图渗透印度政府和国防网络。 在2025年4月印控克什米尔帕哈尔加姆恐怖袭击后，APT36利用情绪化诱导内容，通过伪装成政府简报（PPT或PDF格式）的钓鱼邮件传播Crimson RAT恶意软件。这些恶意文档将用户导向仿冒印度官方网站的钓鱼域名，诱骗受害者提交凭证或执行恶意代码。 Crimson RAT是一种用于远程控制系统并窃取数据的远程访问木马。 在近期APT36行动中，该木马一旦安装便会连接至命令服务器，允许攻击者远程窃取文件、截取屏幕截图并在受感染系统执行超20种不同指令。其隐蔽性、持久性及对国防网络的针对性使其成为高风险间谍工具。 CloudSEK指出：“恶意软件收集敏感数据（如截图、文件或系统信息）后，会将数据回传至C2服务器供攻击者进一步分析。该过程设计隐蔽，最大限度降低被安全软件检测的概率。” 随着印度持续监控黑客活动分子的动向，警惕APT36等更隐蔽且能力更强的攻击者已成为明确需求。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年12月，SEQRITE检测到一个与巴基斯坦有关联的威胁行为者针对印度多个领域发起攻击，涉及铁路、石油天然气以及外交部等多个部门。此次攻击标志着该黑客组织的攻击范围已从政府、国防、海洋以及大学等领域进一步扩大。 此次攻击中使用了多种远程访问木马，包括Xeno RAT、Spark RAT以及之前未被记录的CurlBack RAT恶意软件家族。安全研究员Sathwik Ram Prakki指出：“近期攻击活动中一个显著的变化是从使用HTML应用程序（HTA）文件转变为采用微软安装程序（MSI）包作为主要的初始攻击手段。” SideCopy被认为是活跃于2019年至今的Transparent Tribe（又名APT36）的一个分支。该组织之所以得此名，是因为其模仿了另一个名为SideWinder的威胁行为者的攻击链来传递自己的恶意载荷。 2024年6月，SEQRITE曾指出SideCopy使用了经过混淆处理的HTA文件，并利用了此前在SideWinder攻击中观察到的技术。这些文件还被发现包含指向由SideWinder使用的RTF文件的URL链接。 攻击最终导致了Action RAT和ReverseRAT两种已知恶意软件家族的部署，它们均被归因于SideCopy。此外，攻击还涉及其他多种载荷，包括用于窃取文件和图片的Cheex、从连接的驱动器中抽取数据的USB复制器，以及一种基于.NET的Geta RAT，该恶意软件能够执行来自远程服务器的30条命令。 该RAT能够窃取火狐浏览器以及基于Chromium的浏览器的所有账户、配置文件和Cookie数据，这一功能是从AsyncRAT借鉴而来的。 SEQRITE当时指出：“APT36主要针对Linux系统，而SideCopy则针对Windows系统，并为其武器库增添了新的载荷。” CurlBack RAT和Spark RAT 最新发现表明，该黑客组织仍在不断发展成熟，通过电子邮件钓鱼作为恶意软件的传播载体。这些电子邮件包含各种类型的诱饵文件，从铁路工作人员的假期名单到由印度石油公司（HPCL）发布的信息安全指南等。 其中一个攻击集群特别值得关注，因为它能够同时针对Windows和Linux系统，最终导致跨平台远程访问木马Spark RAT和一种新的基于Windows的恶意软件CurlBack RAT的部署。CurlBack RAT能够收集系统信息、从宿主下载文件、执行任意命令、提升权限以及列出用户账户。 另一个攻击集群被观察到使用诱饵文件作为启动多步骤感染过程的一种方式，该过程会投放一个定制版本的Xeno RAT，该软件采用了基本的字符串操作方法。 该公司指出：“该组织已从使用HTA文件转变为使用MSI包作为主要的初始攻击手段，并继续采用诸如DLL侧加载、反射加载以及通过PowerShell进行AES解密等高级技术。” “此外，他们还利用定制化的开源工具，如Xeno RAT和Spark RAT，并部署了新发现的CurlBack RAT。被入侵的域名和虚假网站被用于凭证钓鱼和载荷托管，凸显了该组织持续增强持久性和规避检测的努力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据Black Lotus 实验室周三发布的研究，在一次非同寻常的数字间谍案中，俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统，从而进入南亚各地敏感的政府网络。 俄罗斯黑客组织被称为 Turla 或 Secret Blizzard，征用了 33 个由巴基斯坦黑客操作的C2服务器，这些黑客自己也曾入侵过阿富汗和印度政府的目标，有时还使用市售的 Hak5 渗透测试硬件设备。 据Black Lotus 称，俄罗斯黑客闯入了巴基斯坦 APT组织（被追踪为 Storm-0156）使用的C2服务器，并利用该访问权限启动自己的恶意软件并劫持敏感数据。 研究人员表示：“最近一次活动持续了两年，是自 2019 年首次发现 [Turla] 重新利用伊朗威胁组织的 C2 以来，第四次有记录的 [Turla] 嵌入其他组织行动的案例。” 去年，Turla 还被发现使用其他黑客可能部署的旧版 Andromeda 恶意软件来针对乌克兰组织。 Turla 是一种攻击性较强的俄罗斯 APT，其目标是世界各地的大使馆和政府办公室。据观察，它还控制了 Hak5 Cloud C2 节点，这是一个为合法渗透测试而设计的平台，但在这里被用于间谍活动。 在俄罗斯黑客组织控制其行动之前， Storm-0156巴基斯坦黑客组织一直在部署物理黑客工具——市售的 Hak5 设备——来入侵印度政府机构，包括其外交部。 2022 年底，Black Lotus 实验室的研究人员表示，俄罗斯组织利用 Storm-0156 在阿富汗政府网络和巴基斯坦运营商工作站中现有的立足点。从这个有利位置，Turla 部署了专有恶意软件（标记为 TwoDash 和 Statuezy），窃取了巴基斯坦运营商收集的从凭证到文件等各种数据。 Turla 渗透 Storm-0156 和阿富汗政府网络 “通过这个渠道，他们可能获得了大量数据。这些收获包括对 Storm-0156 工具的洞察、C2 和目标网络的凭证，以及从之前的行动中收集到的泄露数据。”研究人员指出。 Black Lotus 实验室表示，Storm-0156 历史上曾以印度和阿富汗政府网络为目标，并指出 Turla 进入巴基斯坦运营商工作站证明了 APT 运营商如何隐藏其踪迹并试图进行模糊的归因分析。 Black Lotus 实验室表示，到 2024 年中期，Turla 已将重点扩大到使用从巴基斯坦工作站窃取的另外两种恶意软件（Wasicot 和 CrimsonRAT）。此前发现 CrimsonRAT 被用于针对印度的政府和军事目标，研究人员发现 Turla 后来利用他们的访问权限收集了该恶意软件先前部署的数据。 Black Lotus 实验室警告称： “该组织有一个显著特点：他们大胆利用其他黑客组织的 C2 服务器来达到自己的目的。”并指出，该策略允许 Turla 运营者远程获取先前从受感染网络窃取的敏感文件，而无需使用（并可能暴露）他们自己的工具。 Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接 该公司补充道：“在其他威胁组织尚未获取其目标的所有感兴趣数据的情况下，他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限，或使用现有访问权限来扩大收集范围并将其代理部署到网络中。” Black Lotus 实验室表示，在监控 Turla 与被征用的 Storm-0156 C2 节点的互动时，它发现了 Storm-0156 威胁组织先前曾入侵过的阿富汗政府各个网络的信标活动。 研究人员与微软的威胁猎手一起观察了 Turla 与 CrimsonRAT C2 节点子集的交互，这些节点之前曾被用来攻击印度政府和军队。 值得注意的是，Black Lotus 实验室表示，尽管还有更多可用节点，但 Turla 仅与七个 CrimsonRAT C2 进行了接触。“这种选择性接触意味着，虽然他们有能力访问所有节点，但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。” 2024 年 12 月 4 日，微软公司的另一份报告记录了俄罗斯 FSB 黑客组织 Turla（被追踪为 Secret Blizzard）自 2017 年以来如何系统地渗透和劫持至少六个不同国家高级黑客组织的基础设施。 Turla（Secret Blizzard） 和 Storm-0156 攻击链 微软解释说，这符合 Turla 既定的模式，此前它曾接管过伊朗（Hazel Sandstorm）、哈萨克斯坦（Storm-0473）和其他威胁组织的基础设施。微软的分析表明，这种“间谍对间谍”的方法是 FSB 的一种蓄意策略，目的是进行间谍活动，同时将其活动隐藏在其他黑客的行动背后。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Iyhpu2urTa-lpYa4vI_FuQ 封面来源于网络，如有侵权请联系删除

一种新发现的被称为“DISGOMOJI”的 Linux 恶意软件采用新颖的方法，利用表情符号在受感染设备上执行命令，以攻击印度政府机构。 该恶意软件是由网络安全公司 Volexity 发现的，该公司认为它与代号为“UTA0137”的巴基斯坦黑客组织有关。 “2024 年，Volexity 发现了一个疑似巴基斯坦威攻击者开展的网络间谍活动，Volexity 目前以别名 UTA0137 进行追踪。”Volexity 解释道。 “Volexity 高度确信 UTA0137 具有间谍相关目的，其职责是针对印度政府实体。根据 Volexity 的分析，UTA0137 的活动似乎取得了成功。”研究人员继续说道。 该恶意软件与不同攻击中使用的许多其他后门/僵尸网络类似，允许攻击者执行命令、截取屏幕截图、窃取文件、部署额外的有效载荷以及搜索文件。 攻击者使用 Discord 和表情符号作为命令和控制 (C2) 工具，这使得该恶意软件可以让它绕过基于文本进行检测的安全软件。 Discord 和表情符号作为 C2 据 Volexity 称，研究人员在 ZIP 存档中发现了一个 UPX 封装的 ELF 可执行文件，该可执行文件很可能是通过钓鱼邮件传播的，之后研究人员发现了该恶意软件。Volexity 认为，该恶意软件的目标是印度政府机构用作桌面的定制 Linux 发行版 BOSS。 执行后，恶意软件将下载并显示一个 PDF 诱饵，该诱饵是印度国防军官公积金的受益人表格，以防军官死亡。 诱饵文档的一部分 额外的有效载荷将在后台下载，包括 DISGOMOJI 恶意软件和名为“uevent_seqnum.sh”的 shell 脚本，用于搜索 USB 驱动器并从中窃取数据。 当 DISGOMOJI 启动时，恶意软件将从机器中窃取系统信息，包括 IP 地址、用户名、主机名、操作系统和当前工作目录，并将这些信息发送回攻击者。 为了控制恶意软件，攻击者利用开源命令和控制项目discord-c2，该项目使用 Discord 和表情符号与受感染的设备进行通信并执行命令。 该恶意软件将连接到攻击者控制的 Discord 服务器并等待攻击者在频道中输入表情符号。 当 DISGOMOJI 正在处理命令时，它会在命令消息中用“时钟”表情符号做出反应，让攻击者知道命令正在处理中。一旦命令完全处理完毕，“时钟”表情符号反应将被删除，DISGOMOJI 会在命令消息中添加“复选标记按钮”表情符号作为反应，以确认命令已执行。” 九个表情符号用于表示在受感染设备上执行的命令，如下所示。 该恶意软件通过使用@reboot cron命令在启动时执行恶意软件来保持在Linux设备上的持久性。 Volexity 表示，他们发现了利用 DISGOMOJI 和 USB 数据盗窃脚本的其他持久性机制的其他版本，包括XDG 自动启动条目。 一旦设备被攻破，攻击者就会利用其访问权限横向扩散、窃取数据并试图从目标用户那里窃取更多凭证。 虽然表情符号对于恶意软件来说似乎是一个“可爱”的新奇事物，但它们可以让它绕过通常寻找基于字符串的恶意软件命令的安全软件检测，这是一种有趣的方法。 UTA 0137 感染后行为 Volexity 发现 UTA0137 在成功感染后使用的许多第二阶段工具，以及攻击者使用的通用策略、技术和程序 (TTP)。 其中一些总结如下： 使用Nmap扫描受害网络 使用Chisel和Ligolo进行网络隧道传输 大量使用文件共享服务oshi[.]at来准备受感染机器下载的工具并托管窃取的数据 此外，UTA0137 会利用预安装的Zenity实用程序，诱使受害者在攻击者控制的对话框中输入密码。UTA0137 发出了多个命令，在用户系统上弹出一个对话框，伪装成 Firefox 更新： 在最近的一次活动中，Volexity 注意到 UTA0137针对系统部署了DirtyPipe (CVE-2022-0847) 特权提升漏洞。 详细技术报告：https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vZsnyaizTaWFYKsWhkKxEQ 封面来源于网络，如有侵权请联系删除