白俄罗斯记者接受审讯后,手机中发现新型间谍软件
HackerNews 编译,转载请注明出处: 无国界记者组织周三表示,其法医研究人员在一名白俄罗斯记者的手机上发现了一种此前未知的间谍软件工具。 该组织称,基于在反病毒平台上对比样本的分析,其认为该间谍软件至少自2021年起就已投入使用。这款被命名为”ResidentBat”的间谍软件能够访问通话记录、短信和加密应用程序信息、麦克风录音、本地存储的文件以及屏幕截图,主要用于攻击安卓手机。 据无国界记者组织新闻稿称,该记者和该组织均认为,间谍软件是在记者被白俄罗斯克格勃拘留期间安装的。手机在审讯期间被没收,当局一度强迫记者解锁手机。 类似威权政权在记者被警方或安全部门审讯时在其手机上安装间谍软件的案例最近在塞尔维亚和肯尼亚也有发生。 “威权政权利用拘留机会在手机上植入间谍软件的案例越来越多,”公民实验室的数字法证研究员约翰·斯科特-雷尔顿在社交媒体帖子中写道。”这项调查很重要,它提醒我们,独裁者并不总是需要零日漏洞。” 2024年12月,公民实验室报告称,他们在一名被指控支持乌克兰的俄罗斯程序员获释后,发现其手机被秘密植入了间谍软件。 这名白俄罗斯记者手机被感染的最近情况,是在其被拘留几天后手机上的反病毒软件标记出”可疑组件”后才得以曝光。该记者联系了东欧非营利组织RESIDENT.NGO,该组织随后与无国界记者组织共同分析了这部手机。 “通过部署ResidentBat等监控技术,白俄罗斯国家正在对独立新闻业实施蓄意的压制策略,”无国界记者组织的倡导与援助主任安托万·伯纳德在一份声明中说。”对其私人和职业生活进行系统性侵犯,相当于对新闻自由和基本权利进行直接且非法的攻击。” 在该组织进行的新闻自由调查中,白俄罗斯在180个国家和地区中排名第166位。 无国界记者组织表示已将其发现告知谷歌,这家科技巨头计划向所有被识别为该间谍软件活动目标的谷歌用户发送威胁通知。 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Operation SkyCloak 针对国防部门部署后门
HackerNews 编译,转载请注明出处: 威胁行为者正利用钓鱼邮件分发带有恶意程序的附件,其攻击目标疑似俄罗斯和白俄罗斯的国防领域。 根据 Cyble 与 Seqrite 实验室的多份报告,该攻击行动旨在向已攻陷的主机植入一个持久化后门。该后门将 OpenSSH 与定制化的 Tor 隐藏服务结合使用,且通过 obfs4 技术对流量进行混淆处理。 Seqrite 将此活动命名为 Operation SkyCloak。据悉,钓鱼邮件会以军事文件相关内容作为诱饵,诱使收件人打开一个 ZIP 压缩包。该压缩包内含一个隐藏文件夹(其中包含另一个压缩文件),以及一个 Windows 快捷方式(LNK 文件);一旦打开该快捷方式,便会触发多阶段感染链。 安全研究员萨特维克・拉姆・普拉基与卡蒂克库马尔・吉瓦尼表示:“这些快捷方式会触发 PowerShell 命令,而这些命令构成了初始投放阶段;除 LNK 文件外,另一个压缩文件会被用于搭建完整的感染链。” 他们补充称,这些压缩文件已于 2025 年 10 月从白俄罗斯上传至 VirusTotal 平台。 其中一个中间模块是 PowerShell 加载器,它主要负责执行反分析检查以规避沙箱环境,同时会将一个 Tor 洋葱地址(“yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd [.] onion”)写入文件 “hostname” 中,该文件路径为 “C:\Users < 用户名 >\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\”。 在反分析检查环节,恶意软件会验证两个条件:一是系统中近期存在的 LNK 文件数量大于或等于 10 个,二是当前进程数量大于或等于 50 个。若任一条件未满足,PowerShell 将立即终止执行。 Cyble 指出:“这些检查是恶意软件感知环境的机制。与真实用户工作站相比,沙箱环境通常用户生成的快捷方式更少,进程活动也更弱。” 一旦通过环境检查,脚本会显示存储在上述 “logicpro” 文件夹中的 PDF 诱饵文档,同时通过创建一个名为 “githubdesktopMaintenance” 的计划任务来实现持久化。该任务会在用户登录后自动运行,并于每天协调世界时(UTC)10:21 定期执行。 该计划任务旨在启动 “logicpro/githubdesktop.exe”,而此文件实则是 “sshd.exe” 的重命名版本 ——“sshd.exe” 是与 Windows 版 OpenSSH 相关联的合法可执行文件。这一操作能让威胁行为者搭建 SSH 服务,且该服务仅允许与存储在同一 “logicpro” 文件夹中的预部署授权密钥进行通信。 除通过 SFTP 启用文件传输功能外,恶意软件还会创建第二个计划任务,配置为执行 “logicpro/pinterest.exe”。这是一个定制化的 Tor 二进制文件,用于创建隐藏服务;该服务会通过 obfs4 混淆网络流量,与攻击者的.onion 地址通信。此外,它还会为远程桌面协议(RDP)、SSH、服务器消息块(SMB)等多个关键 Windows 服务配置端口转发,以便通过 Tor 网络访问系统资源。 一旦连接成功建立,恶意软件会先窃取系统信息,再通过 curl 命令发送一个唯一的.onion URL 主机名(用于标识已攻陷的系统)。当威胁行为者通过命令与控制(C2)信道接收到受害者的.onion URL 后,便能最终获得对已攻陷系统的远程访问权限。 目前尚不清楚该攻击行动的幕后主体,但两家安全厂商均表示,其特征与针对国防及政府领域、且与东欧相关的间谍活动相符。Cyble 以中等置信度评估认为,此次攻击与乌克兰计算机应急响应小组(CERT-UA)追踪的威胁行为者 “UAC-0125” 此前发起的行动,存在战术重叠。 该公司补充道:“攻击者通过隐蔽的 Tor 服务访问 SSH、RDP、SFTP 和 SMB,既能实现对系统的完全控制,又能隐藏自身身份。所有通信均通过预安装的加密密钥,定向到匿名地址进行传输。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
意大利监控软件入侵俄白两国系统
HackerNews 编译,转载请注明出处: 一家俄罗斯网络安全公司宣称,已发现证据表明意大利Memento Labs公司开发的监控软件,疑似被用于针对俄罗斯和白俄罗斯境内组织的网络攻击。 卡巴斯基实验室周一发布研究报告称,他们在多起与黑客组织”ForumTroll”相关的攻击中,识别出该公司开发的商业监控软件“Dante”。研究人员强调,目前未发现该间谍软件在卡巴斯基客户网络中活跃感染的迹象,且无法确定ForumTroll行动的幕后雇主。报告同时指出,攻击者使用该监控软件的具体费用,以及开发商是否知晓其软件被部署的情况,目前仍属未知。 “精通俄语并熟悉当地特性是ForumTroll组织的显著特征,我们在其过往攻击活动中也观察到这些特质。”研究人员分析称,”但其他案例中出现的语言错误表明,攻击者并非以俄语为母语者。” 位于米兰的Memento Labs公司未回应置评请求。研究人员指出,这是自2023年Memento Labs在执法与情报机构闭门会议上推出Dante以来,该监控软件在真实网络攻击中被使用的首个实证案例。 此次发现源于卡巴斯基今年3月对ForumTroll间谍攻击的调查。该黑客组织当时通过伪装成俄罗斯知名科学专家论坛邀请函的钓鱼邮件,针对俄罗斯媒体机构、高等院校、科研中心、政府机关及金融组织发动攻击。研究人员透露,攻击者发送的恶意链接利用了谷歌Chrome浏览器的零日漏洞(现被标识为CVE-2025-2783),该漏洞已由卡巴斯基上报并被谷歌修复。 尽管Dante未在此次攻击中投入使用,但卡巴斯基正是通过调查ForumTroll事件,最终在其他网络入侵中发现了这款监控软件的踪迹。研究人员表示,ForumTroll最新攻击行动中包含其定制工具LeetAgent——这个至少可追溯至2022年的工具,在某些情况下会作为更先进的Dante软件的加载器。 值得关注的是,Memento Labs的前身Hacking Team在2015年遭遇大规模数据泄露前,曾向全球政府客户销售入侵与监控工具。数字权益监督机构”公民实验室”报告指出,该公司因向”持续存在严重人权侵害行为”的国家出售RCS监控软件而备受批评。2014年报告显示,RCS软件的使用范围覆盖沙特阿拉伯、苏丹、墨西哥、阿塞拜疆、埃及、匈牙利、意大利和哈萨克斯坦等至少20国。经历数据泄露事件后,该公司经收购重组更名为Memento Labs,继续向执法和情报机构推广其”情报解决方案”。 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
匿名者声称将对白俄罗斯发起入侵
近期,匿名者黑客组织Spid3r声称攻击了白俄罗斯政府网站,以报复白俄罗斯支持俄罗斯入侵乌克兰。该组织在推特上宣布了这一消息,并发布了与白俄罗斯国家有关的各种网站的截图,包括交通部、司法部和经济部。此外,教育部、国家法律信息中心、内政部、国家海关委员会、国家委员会网站也出现了宕机。 该组织在推文中写道:“因白俄罗斯政府参与乌克兰入侵,所以匿名者对其进行了大规模攻击,他们所有最大的政府网站都是离线的。”匿名者黑客组织一直以来都表示要对俄罗斯发动“网络战争”,据报道,该组织曾于2月入侵了俄罗斯国家电视频道,以播放来自乌克兰前线的直播。匿名者于周日宣布攻击白俄罗斯网站,不过截至目前很多被攻击的网站似乎已经重新上线了。 作为背景,白俄罗斯的Ghostwriter Group被怀疑在2月针对欧洲各国政府进行了一次网络钓鱼活动,当时欧洲各国政府正试图管理涌入的乌克兰难民。虽然Ghostwriter Group 与白俄罗斯政府之间的关系从未得到证实,但 Anonymous表示还有其他考量的因素。据报道,该国允许俄罗斯军队在攻击基辅(并被击退)之前在其边境集结,并在攻击期间为俄罗斯军队提供医疗支持。然而,匿名者并不是第一个对白俄罗斯采取措施的组织。早在 3 月,总部位于捷克的跨国网络安全软件公司Avast 就暂停了其产品在俄罗斯和白俄罗斯的销售和营销。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/334838.html 封面来源于网络,如有侵权请联系删除
白俄罗斯政府被指对 Ghostwriters 运动负部分责任
白俄罗斯政府被指控至少对欧洲的Ghostwriters攻击事件负有部分责任。虽然网络安全公司在涉及威胁集团的归属时通常会谨慎行事,但Mandiant表示,它有高度的信心认为Ghostwriter–同时跟UNC115活动也有关联–是一个可能代表该国政府的网络犯罪组织。 今年早些时候,在一架商业飞机被迫转入白俄罗斯领空以逮捕一名乘客(一位名为Roman Protasevich的持不同政见的记者)之后,白俄罗斯受到了制裁。现在,作为报复,该国总统亚历山大·卢卡申科被指控策划移民危机以破坏欧盟的稳定。 此前,欧洲理事会还曾指控俄罗斯参与了Ghostwriter。 根据网络安全研究人员的说法,不能排除俄罗斯的干扰,但其他指标表明,白俄罗斯的利益是该行动的核心,其中乌克兰、立陶宛、拉脱维亚、波兰和德国的政府和私营部门实体成为目标。 此外,Ghostwriter还参与了针对白俄罗斯持不同政见者、媒体和个别记者的攻击。 UNC1151–自2016年以来一直很活跃–和Ghostwriter曾经都专注于通过网络钓鱼、欺骗和劫持脆弱网站来宣传反北约材料。然而,从2020年开始,这些组织扩大了他们的行动以试图影响波兰的政治并通过盗取凭证窃取敏感信息。 UNC1151还在2020年大选前针对白俄罗斯的媒体机构和反对派成员发起了攻击,这是一场有争议的压倒性胜利。目前还没有针对俄罗斯或白俄罗斯国家实体的攻击记录。 “此外,在几个案例中,UNC1151在2020年白俄罗斯选举前针对的个人后来被白俄罗斯政府逮捕,”Mandiant说道。 Ghostwriter的许多活动都集中在反北约的叙述上。自2020年中期以来,该组织传播的内容指责北约腐败、军方传播COVID-19以及立陶宛和波兰政治的腐败。欧盟在最近的运动中也受到了批评。 研究人员还补充称:“Ghostwriter的叙述,特别是那些批评邻国政府的叙述,在白俄罗斯国家电视台作为事实出现。我们无法确定这是否是一个协调战略的一部分,还是仅仅是白俄罗斯国家电视台在宣传符合政权利益的叙事但对准确性却不屑一顾。” (消息及封面来源:cnBeta)
反卢卡申科黑客组织称获取到了白俄罗斯高级官员的个人数据
据外媒报道,这是一群自称是“不关心政治”、想要终结白俄罗斯的“恐怖主义”政权并确保所有人的平等权利的黑客。但白俄罗斯黑客组织Cyberpartisans的行动却引发了人们对白俄罗斯总统亚历山大·卢卡申科的反对者如何解读隐私权的质疑。 Cyberpartisans称,他们已经获得了数百万名白俄罗斯人的护照数据。为了防止据称对公然侵犯普通白俄罗斯人权利负有责任的官员和其他政府雇员躲在匿名的外衣下,Cyberpartisans表示,他们针对白俄罗斯内政部的几个数据库发起了攻击,他们称这是白俄罗斯历史上规模最大的网络攻击。 Cyberpartisans宣称的目标是“破坏”安全机构和其他他们认为支持66岁的卢卡申科实际统治的机构的工作。他们希望截获的一些机密数据能创造“X时刻”–一波推翻政府的集会。 虽然黑客没有透露文件的确切数量,但他们声称已经获得了白俄罗斯安全部队领导人、卢卡申科核心集团成员、国家安全委员会(克格勃)工作人员–包括在欧盟工作的情报人员的机密护照记录。 当地时间7月26日,该组织的Telegram频道公布了克格勃主席Ivan Tertel的护照数据、中央选举委员会主席Lidiya Yermoshina、议会上院主席Natallya Kachanova以及前吉尔吉斯总统Kurmanbek Bakiyev。据悉,Bakiyev自2010年被推翻后一直居住在白俄罗斯。白俄罗斯护照既可作为国内身份证件也可用于国外旅行。 黑客声称,每个人的档案中都包含护照照片和数据、居住证、所在机关或者军事单位的名称、家庭成员的名字等等。 “许多克格勃特工在知道自己的数据已经泄露后,还会准备好在国外行动吗?”其中一名黑客在机器人辅助的Telegram跟《时代》杂志聊天时反问道。 除了护照数据,Cyberpartisans称他们已经访问到了白俄罗斯交通警察的记录。“至少,他们都必须改变他们的交通工具,”一位叫做Cyber-Partisan的匿名黑客评论道,“但更重要的是,特工们将知道,这样的泄密完全有可能再次发生。” Cyber-Partisan补充称,他们还掌握了克格勃住房分配的信息,这意味着“他们将不得不更换所有的公寓。” 他把代号为Zhara的这次行动比作一部动作惊悚片。该名黑客称,该组织在进入几个数据库之前必须要先渗透到政权的设施中,然后打开内政部内部计算机网络的入口。 白俄罗斯数字安全专家Nikolai Kvantaliani则指出,他检查了获得的文件,他并不怀疑获得的信息会影响白俄罗斯的安全部队。“这一切都可能成为继续对白俄罗斯共和国公民实施积极暴力的制约因素,”他这样说道。 黑客组织Ukrainian Cyber Alliance–前苏联地区历史最悠久的网络组织–的发言人对白俄罗斯同行的工作范围感到惊讶。“情报、反情报和克格勃工作人员的护照上有特殊说明(表明他们的职业),这是完全不安全的。而得到数据的是活动人士和游击队员,而不是特殊服务人员。现在,卢卡申科政权的中坚力量会感到不安,”他说道。 白俄罗斯当局尚未就此次网络攻击发表具体评论。 白俄罗斯克格勃和建立内政部护照数据库的Todes公司也没有回应《时代》关于这次网络攻击的问题。 然而据该国的国营电视台Belarus-1报道,7月30日,克格勃主席Tertel向地方官员表示,跟“外国特别部门”有关联的“破坏性力量”正在利用信息技术(IT)保护国家领导层、安全部队和其他政府机构的个人信息。 Tertel警告称,在波兰、立陶宛、“其他西方国家”和乌克兰学习的官员亲属也成为了“寻找杠杆”的目标。 (消息及封面来源:cnBeta)
外媒报道:中国黑客使用后门木马针对俄罗斯和白俄罗斯军事、航天机构
据外媒报道,安全公司 ProofPoint 发布安全报告指出,来自中国的黑客继续对俄罗斯和白俄罗斯的军事、航空航天机构从事网络间谍活动。自 2016 年夏季以来,该组织开始使用称为 ZeroT 的新下载程序安装远程访问木马 PlugX 。 Proofpoint 公司是一家网络安全服务公司,提供电子邮件安全、归档及防止数据丢失整合解决方案。主要为航空航天、国防、教育、金融服务、政府、医疗机构、制造业和零售业等提供网络安全服务。(引自网络) 报告显示在此前的活动中,黑客组织通常利用 Microsoft Word 文档附件触发 CVE-2012-0158 漏洞或者使用恶意 URL 指向一个可执行文件的 .RAR 压缩包。虽然这些行为仍在继续,但自 2016 年 6 月,中国黑客组织改变了攻击的策略。黑客开发了恶意软件 ZeroT 用于安装远程访问木马 PlugX ,并添加了 Microsoft 编译的 HTML Help 文件格式( .chm )作为鱼叉式网络钓鱼邮件的初始放置程序。 恶意软件 ZeroT 使用混淆技术来逃避检测并可绕过 Windows UAC 用户控制,通过 HTTP 与 C&C 服务器进行通信,还可以在所有请求中使用伪造的 User-Agent 。 此前外媒曾报道,来自中国的黑客一直对美国和欧洲的航空航天公司进行网络间谍活动。去年 7 月,美国判处华裔商人 苏斌 46 个月的监禁,他被指控从波音和洛克希德马丁公司的网络中窃取了 F-22、F-35 战斗机和 C-17 运输机的资料。 本文由 HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。