HackerNews 编译，转载请注明出处： 荷兰财政部披露，3月19日检测到一起网络攻击，部分员工受到影响，目前调查仍在进行中。 该部门在第三方发出警报后发现攻击，入侵者突破了一些内部系统，”部分员工”的工作受到影响。 当局仍在调查事件详情及全部影响范围。 荷兰财政部在声明中表示：“3月19日周四，财政部ICT安全部门检测到政策部门若干核心流程的系统遭到未授权访问。接到警报后，我们立即启动调查，并于今日封锁了这些系统的访问权限。这影响了部分员工的正常工作。” 该部强调，面向公民和企业的服务未受影响：”税务海关总署、海关及福利部门提供的服务均未受到影响。” 荷兰财政部未披露攻击的技术细节，目前尚无网络犯罪团伙宣称对此次攻击负责。 2024年10月，荷兰警方曾将一起泄露警员联系方式的数据泄露事件归咎于国家支持的行为体。该事件发生于2024年9月26日，警方已向数据保护局报告。攻击者入侵警方系统，获取了多名警员的工作联系方式，包括姓名、邮箱、电话及部分私人信息。荷兰情报机构认为，国家行为体幕后操控的可能性极高。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据瑞典风险暴露管理与身份安全公司 Outpost24 的子公司 Specops Software 报告，该公司一名 C 级高管成为一场复杂网络钓鱼攻击的目标。 此次攻击很可能借助了近期发现的一款名为 “Kratos” 的钓鱼即服务工具包，依靠一个七步链条展开，利用分层基础设施和合法服务来逃避检测并欺骗收件人。 这封网络钓鱼邮件冒充金融服务提供商摩根大通，以现有邮件线程的一部分形式出现，以此增加其可信度，并邀请收件人查看并签署一份文件。 此外，攻击者使用了两个域名密钥识别邮件（DKIM）签名，以确保邮件能够通过 DMARC 身份验证，看起来值得信赖。 在邮件中，攻击者包含了一个 “查看文件” 链接，指向合法的思科域名 secure – web.cisco.com，该域名通常用于在邮件经思科验证后重写 URL。 由于该链接通过了思科安全邮件网关的验证，重定向 URL 托管在思科的基础设施上，这进一步使网络钓鱼邮件绕过了检测系统。 链条中的下一步涉及重定向到合法的电子邮件 API 平台 Nylas，这可能是为了确保网络钓鱼链接通过思科安全网络基础设施进行重定向。 Specops 指出：“通过将重定向链设置为经过思科和 Nylas 等合法服务，攻击者增加了链接通过安全过滤和信誉检查的可能性。这些域名广受信任，常见于合法流量中，这使得自动拦截变得更加困难。” 接下来，目标被重定向到一家位于印度的合法开发公司网站的子域名，然后又被重定向到一个最初于 2017 年由一家中国实体注册的域名。 该域名之前的 TLS 证书于 3 月 6 日过期，相关的 DNS 记录不久后被释放，该域名于 3 月 12 日重新注册，同一天为其颁发了几个新的 TLS 证书。 Specops 指出：“时间节点强烈表明，该域名是专门为此次攻击活动重新获取并重新利用的。” 用户再次被重定向，这次被导向部署在 Cloudflare 背后以隐藏其源服务器的网络钓鱼基础设施。在此阶段，受害者会收到一个浏览器验证检查，这可能是为了防止安全分析。 最后，受害者会看到一个极具迷惑性的网络钓鱼页面，旨在获取微软 365 的凭据。 Specops 解释道：“与攻击链条的其他部分一样，这一步也精心设计，从模仿 Outlook 的虚假加载动画，到验证用户输入是否确实为电子邮件的检查。作为最后一步，该网站尝试进行合法登录，以验证捕获的凭据是否有效。” 这家网络安全公司向 SecurityWeek 证实，此次攻击的目标是其母公司 Outpost24 的一名 C 级高管，凸显了此次攻击的复杂性。 Specops 没有将该事件归咎于特定的威胁行为者，但指出其作案手法与近期针对美国多个实体的与伊朗有关的威胁行为者的手法完全一致。 另一方面，该公司表示，也观察到其他黑客组织采用类似策略，因此很难明确归责。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对新发现的、影响 Cortex XDR Broker 虚拟机（VM）的漏洞，官方已发布安全公告。 该漏洞可让高权限的已认证攻击者访问并篡改敏感的系统信息。 所幸该问题为内部发现，目前暂无野外恶意利用该漏洞的活跃攻击报告。 Paloalto Cortex XDR Broker 漏洞详情 该敏感信息泄露漏洞编号为 CVE-2026-0231，被评定为中等紧急程度，CVSS 4.0 评分为 5.7（中危）。 核心问题出在 Cortex XDR Broker VM 对特定终端会话的处理机制中。要成功利用该漏洞，攻击者必须已完成身份认证、具备高级别权限，且能直接访问目标 Broker VM 的网络。 一旦满足这些严格条件，威胁行为者即可通过 Cortex 用户界面（UI）触发实时终端会话。 该未授权会话允许攻击者暴露内置的敏感数据，并修改关键配置设置。 尽管该漏洞存在数据泄露的风险，但发起攻击所需的严格条件 —— 尤其是需要已具备高权限和本地网络访问权限 —— 大幅降低了大规模自动化利用的可能性。 Cortex XDR Broker VM 是安全环境中的关键枢纽，负责流量转发和核心安全日志的采集。 由于其核心作用，对其配置设置的未授权访问可能造成严重影响。 该漏洞威胁到产品的机密性、完整性和可用性，在这三项具体影响指标上均被评为 “高”。 该漏洞被归类为 CWE-497，即敏感系统信息暴露至未授权控制域。 尽管该漏洞攻击复杂度低，且无需用户交互，但对高管理权限的要求，为外部威胁设置了一道强力屏障。 目前 Palo Alto Networks 表示，该漏洞的利用成熟度暂无相关报告，意味着威胁行为者尚未开发或共享可滥用该漏洞的自动化工具。 该漏洞由内部研究员 Nicola Kalak 负责任地发现并上报，为管理员加固环境争取到了关键的提前量。 受影响版本与缓解措施 该漏洞仅影响 Cortex XDR Broker VM 30.0 系列，系统无需特殊配置即存在受影响风险。 受影响的产品版本包括 Cortex XDR Broker VM 30.0.0 至 30.0.49（含首尾版本）。 为保护网络基础设施，Palo Alto Networks 强烈建议安装官方补丁；目前该漏洞暂无已知的变通方法或临时缓解方案。 安全团队应采取以下措施： ·     核实当前 Cortex XDR Broker VM 的版本 ·     若运行受影响版本，立即升级至 Cortex XDR Broker VM 30.0.49 或更高版本 ·     确保为 Broker VM 启用自动升级功能。若该功能已开启，系统将无需手动干预即可完成补丁安装，自动获取最新的安全防护。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大最大的食品和药品零售商 Loblaw Companies Limited（Loblaw）宣布，黑客入侵了其部分 IT 网络并访问了客户的基础信息。 该零售商在全国拥有 2500 家门店（特许经营超市、药房、银行网点和服装店铺），并计划今年新增 70 家门店，作为其到 2030 年投资 100 亿加元的五年计划的一部分。 该公司拥有 22 万名员工，年收入 450 亿加元。其最知名的商业品牌和标识包括 Loblaws、Real Canadian Superstore、No Frills、Maxi、President’s Choice、PC Optimum 和 Joe Fresh。 本周早些时候，该公司告知客户，其在网络上检测到可疑活动，进而发现了入侵行为。 Loblaw 表示：“在其 IT 网络中一个隔离、非核心的部分发现可疑活动后，公司确认有犯罪第三方访问了部分客户基础信息，例如姓名、电话号码和电子邮件地址。” 泄露的数据属于个人可识别信息（PII），可能被用于钓鱼攻击和欺诈活动。Loblaw 的客户应警惕来自陌生联系人的可疑通信。 该公司指出，截至目前的调查未发现财务信息（如信用卡详情）、健康信息或账户密码遭到泄露的证据。 但出于高度谨慎，Loblaw 表示已将所有客户自动登出账户。需要使用公司数字服务的账户持有人必须重新登录。建议客户同时修改密码。 Loblaw 的调查显示，其金融服务品牌 PC Financial 未受此次事件影响。 截至发稿时，Bleeping Computer 未发现有威胁组织公开宣称对此次攻击负责，也未发现地下论坛上有兜售 Loblaw 相关数据的信息。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 UNC6426 的威胁行为者利用去年 nx npm 包遭供应链入侵后窃取的密钥，在 72 小时内完全攻破受害者的云环境。 攻击始于窃取开发者的 GitHub 令牌，威胁行为者随后利用该令牌未授权访问云环境并窃取数据。 谷歌在其《2026 年上半年云威胁展望报告》中表示：“威胁行为者 UNC6426 利用该访问权限滥用 GitHub 到 AWS 的 OpenID Connect（OIDC）信任关系，在云环境中创建新的管理员角色。他们滥用该角色从客户的亚马逊云服务（AWS）简单存储服务（S3）存储桶中窃取文件，并在生产云环境中执行数据破坏操作。” 针对 nx npm 包的供应链攻击发生在 2025 年 8 月，当时未知威胁行为者利用存在漏洞的 pull_request_target 工作流（此类攻击被称为 Pwn Request）获取高权限，访问包括 GITHUB_TOKEN 在内的敏感数据，并最终将木马化版本的包推送到 npm 仓库。 这些包被发现嵌入了 postinstall 脚本，该脚本启动名为 QUIETVAULT 的 JavaScript 凭据窃取工具，通过利用已安装在终端上的大语言模型（LLM）工具扫描系统敏感信息，窃取环境变量、系统信息和高价值令牌（包括 GitHub 个人访问令牌 PAT）。窃取的数据随后被上传到名为 /s1ngularity-repository-1 的公共 GitHub 仓库。 谷歌表示，受害组织的一名员工运行了使用 Nx Console 插件的代码编辑器应用，触发更新并导致 QUIETVAULT 执行。 据称，UNC6426 在初次入侵两天后，使用窃取的 PAT 在受害者 GitHub 环境中开展侦察活动，利用名为 Nord Stream 的合法开源工具从 CI/CD 环境中提取密钥，泄露 GitHub 服务账户凭据。 随后，攻击者利用该服务账户并使用工具的 –aws-role 参数为 Actions-CloudFormation 角色生成临时 AWS 安全令牌服务（STS）令牌，最终在受害者的 AWS 环境中获得立足点。 谷歌称：“被攻陷的 Github-Actions-CloudFormation 角色权限过度宽松。UNC6426 利用该权限部署新的 AWS 堆栈，具备 CAPABILITY_NAMED_IAM、CAPABILITY_IAM 能力。该堆栈唯一目的是创建新的 IAM 角色，并附加 arn:aws:iam::aws:policy/AdministratorAccess 策略。UNC6426 在不到 72 小时内从窃取的令牌提升至完整 AWS 管理员权限。” 凭借新的管理员角色，威胁行为者执行一系列操作，包括枚举并访问 S3 存储桶内对象、终止生产环境弹性计算云（EC2）和关系型数据库服务（RDS）实例、解密应用密钥。在最后阶段，受害者所有内部 GitHub 仓库被重命名为 /s1ngularity-repository-[随机字符] 并公开。 为应对此类威胁，建议使用可阻止 postinstall 脚本的包管理器或沙箱工具，对 CI/CD 服务账户和 OIDC 关联角色应用最小权限原则（PoLP），实施带短有效期和特定仓库权限的细粒度 PAT，移除创建管理员角色等高风险操作的长期权限，监控异常 IAM 行为，并实施强控制检测影子 AI 风险。 该事件是 Socket 所称的 AI 辅助供应链滥用案例，攻击执行被转移至已对开发者文件系统、凭据和认证工具拥有高权限的 AI 代理。 软件供应链安全公司表示：“恶意意图以自然语言提示表达，而非显式网络回调或硬编码端点，使传统检测方法复杂化。随着 AI 助手更深入集成到开发者工作流，攻击面也随之扩大。任何能够调用它们的工具都会继承其访问范围。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者正在利用 FortiGate 设备入侵网络，并窃取包含服务账户凭据和网络详情的配置数据。 SentinelOne 研究人员警告称，攻击者正在利用 FortiGate 设备中的漏洞或弱口令获取对企业网络的初始访问权限。一旦进入内部，他们会提取可能包含服务账户凭据和内部网络结构信息的配置文件。该攻击活动的目标行业似乎包括医疗、政府机构和托管服务提供商。 “2026 年初以来，SentinelOne 的数字取证与事件响应（DFIR）团队已经响应了多起 FortiGate 下一代防火墙（NGFW）设备被攻陷、从而在目标环境中建立立足点的事件。”SentinelOne 表示。“每起事件都在攻击的横向移动阶段被检测并阻止。” FortiGate 设备通常与 AD 和 LDAP 集成，支持角色映射和对网络警报的快速响应。威胁行为者通过针对 CVE-2025-59718 和 CVE-2025-59719 漏洞滥用此类访问权限，利用单点登录签名验证缺陷获得未授权的管理员访问权限。CVE-2026-24858 允许攻击者通过 FortiCloud 单点登录登录设备。一旦进入内部，他们就可以提取包含服务账户的配置文件，而其他攻击者则无需漏洞，直接利用弱口令入侵。 在 SentinelOne 分析的一起案例中，攻击者创建本地管理员账户、修改防火墙策略，并定期检查访问权限，之后提取包含加密 LDAP 服务账户凭据的配置文件。这些凭据被解密后用于向 Active Directory 进行身份验证，并注册恶意工作站，从而获得更深层次的网络访问权限。 在另一起事件中，攻击者创建管理员账户、部署 Pulseway 和 MeshAgent 远程管理与监控（RMM）工具，并使用 PowerShell 和 DLL 侧加载执行恶意软件。他们在云存储（谷歌云、AWS S3）上存放恶意载荷、创建任务维持持久化，并使用 PsExec 进行横向移动。 攻击者对主域控制器进行备份，获取 NTDS.dit 文件和 SYSTEM 注册表数据，压缩后上传到他们自己的服务器。事件被控制后，未发现账户被进一步滥用。 FortiGate 等下一代防火墙（NGFW）被广泛使用，因为它们将强大的网络安全与 Active Directory 集成等功能结合在一起。这使其成为攻击者的高价值目标，包括国家级间谍组织和以牟利为目的的犯罪分子。近期研究显示，即使是技术水平较低的攻击者现在也能更轻松地利用大语言模型（LLM）等 AI 工具利用这些设备，这些工具可提供网络漫游和提取敏感数据的指导。 机构应通过实施严格的管理控制、保持软件补丁更新、保留足够日志（至少 14–90 天）来保护下一代防火墙。日志应发送至 SIEM 系统，用于检测异常、跟踪未授权账户创建、监控配置访问、发现恶意软件或 C2 流量、保存证据，并实现自动化响应以快速消除威胁。 “机构应当认识到，FortiGate 及其他边界设备通常不允许在设备上安装安全软件，例如终端检测与响应（EDR）工具。保护此类设备的最佳防御方式是实施严格的管理员访问控制，并保持软件补丁更新以防止被利用。” 报告总结道。“此外，这两起调查都因 FortiGate 日志保留不足而受到影响。机构应确保在 FortiGate 等下一代防火墙设备上至少保留 14 天日志，尽可能保留 60–90 天会更好。”   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为 UNC4899 的朝鲜籍威胁行为者被认为是 2025 年一起针对加密货币机构的复杂云环境入侵行动的幕后黑手，该行动窃取了价值数百万美元的加密货币。 此次活动以中等可信度归因于该国背景的攻击者，该组织还以代号 Jade Sleet、PUKCHONG、Slow Pisces 以及 TraderTraitor 被追踪。 “这起事件值得关注，因为它结合了社会工程、利用个人设备到企业设备的点对点（P2P）数据传输机制、工作流程，并最终转向云环境，使用云上生存（LOTC）技术。” 这家科技巨头在分享给《黑客新闻》的《2026 年上半年云威胁展望报告》中指出。 据称，攻击者在获得云环境访问权限后，滥用合法的 DevOps 工作流程窃取凭据、突破容器限制，并篡改 Cloud SQL 数据库，为窃取加密货币提供便利。 谷歌云表示，这条攻击链呈现出一种演进过程：从入侵开发者个人设备开始，到入侵其企业工作站，再跳转至云环境，对财务逻辑进行未授权修改。 一切始于威胁行为者使用社会工程手段，诱骗开发者下载一个压缩包文件，声称这是某个开源项目协作的一部分。随后，该开发者通过 AirDrop 将同一个文件传输到了公司设备上。 “受害者使用其 AI 辅助集成开发环境（IDE）与压缩包内容进行交互，最终执行了其中嵌入的恶意 Python 代码，该代码生成并执行了一个伪装成 Kubernetes 命令行工具的二进制程序。” 谷歌表示。 该二进制程序随后连接到攻击者控制的域名，并充当受害者企业设备的后门，使攻击者能够通过已认证会话和可用凭据跳转至谷歌云环境。此步骤之后是初始侦察阶段，旨在收集各类服务和项目的信息。 攻击进入下一阶段：攻击者发现了一台堡垒主机，并修改其多因素认证（MFA）策略属性以访问该机器，并执行更多侦察，包括浏览 Kubernetes 环境中的特定 Pod。 随后，UNC4899 采用云上生存（LotC）方式配置持久化机制：修改 Kubernetes 部署配置，使新建 Pod 时自动执行一条 bash 命令。该命令会下载一个后门。 威胁行为者执行的其他部分步骤如下： ·     修改与受害者 CI/CD 平台解决方案相关的 Kubernetes 资源，注入可将服务账号令牌显示在日志中的命令。 ·     攻击者获取高权限 CI/CD 服务账号令牌，从而提权并进行横向移动，专门针对处理网络策略和负载均衡的 Pod。 ·     利用窃取的服务账号令牌对以特权模式运行的敏感基础设施 Pod 进行认证，逃逸容器，并部署后门以实现持久访问。 ·     威胁行为者在将注意力转向负责管理客户信息（如用户身份、账户安全和加密货币钱包信息）的工作负载之前，又进行了一轮侦察。 ·     攻击者利用该工作负载提取了以不安全方式存储在 Pod 环境变量中的静态数据库凭据。 ·     随后滥用这些凭据通过 Cloud SQL Auth Proxy 访问生产数据库，并执行 SQL 命令修改用户账户，包括对多个高价值账户进行密码重置和 MFA 种子更新。 ·     攻击最终以使用被攻陷账户成功提取价值数百万美元的数字资产告终。 谷歌表示，该事件 “凸显了个人设备到企业设备的点对点数据传输方式及其他数据桥接、特权容器模式，以及云环境中机密信息不安全处理所带来的重大风险”。“企业应采取纵深防御策略：严格验证身份、限制端点上的数据传输、在云运行环境中实施严格隔离，以缩小入侵事件的影响范围。” 为应对此类威胁，建议企业实施上下文感知访问与抗钓鱼 MFA、确保仅部署受信任镜像、隔离被攻陷节点使其无法与外部主机建立连接、监控异常容器进程、采用健壮的机密信息管理、执行策略禁用或限制使用 AirDrop 或蓝牙进行点对点文件共享，以及禁止在企业设备上挂载未受管理的外部介质。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰情报机构周一发出警告称，俄罗斯国家背景黑客正在开展全球性攻击活动，试图攻破政府官员与军事人员的 Signal 和 WhatsApp 账号。 在一份公开的网络安全通告中，荷兰军事情报局（MIVD）与国内安全局（AIVD）表示，此次行动针对政要、公职人员及武装部队成员。 两家机构称，荷兰政府雇员的账号已成为被攻破的目标之一。他们警告称，该攻击活动还可能针对记者及其他俄罗斯政府感兴趣的人员。 此次警告发布前，西方情报机构已揭露多起针对北约各国政府、研究人员与国防承包商的俄罗斯间谍活动。 相关机构强调，这些攻击针对的是个人账号，并不意味着即时通讯平台本身遭到入侵。 Signal 与 WhatsApp 均使用 Signal 协议，这是一种端到端加密系统，被广泛认为是目前保护传输中消息内容最强的加密方式。但如果攻击者获取了用户设备或账号的访问权限，消息仍可被读取。 “并非 Signal 或 WhatsApp 整体遭到入侵，”AIVD 局长西蒙妮・斯密特（Simone Smit）在一份声明中表示，“被攻击的是个人用户账号。” 通告并未估计受害者数量，也未将此次活动归因于某个具体的俄罗斯情报机构或已知黑客组织。相关机构表示，此次行动并未利用技术漏洞，而是滥用应用中合法的安全功能，并依赖社会工程学实施攻击。 攻击者通常会伪装成客服账号，诱骗受害者提供登录通讯账号所需的验证码或 PIN 码。 黑客只需在正常注册流程中输入目标手机号，即可触发验证码发送。Signal 与 WhatsApp 会自动向注册时输入的任何号码发送验证码。 随后，攻击者伪装成客服人员，声称受害者必须提供验证码以保护或验证账号。一旦受害者提供验证码，攻击者即可在自己设备上输入并控制账号，从而读取消息、冒充受害者发送信息。 另一种攻击手段是诱骗用户扫描恶意二维码或点击链接，通过应用的 “关联设备” 功能将黑客设备与受害者账号绑定，使攻击者获取聊天记录与消息历史。 此次攻击活动延续了俄罗斯此前针对官员、记者及军事人员所用即时通讯平台的网络行动。 谷歌安全研究人员去年曾警告称，由于乌克兰军人、政客与记者广泛使用 Signal，该平台已成为俄罗斯间谍活动的频繁目标。 在其中一起案例中，俄罗斯军方黑客将从战场缴获设备上获取的 Signal 账号关联到自己系统，以进行进一步利用。 荷兰相关机构警告用户：切勿分享验证码，避免扫描陌生二维码，并无视声称来自 Signal 客服的消息。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗相关联的 APT 组织 MuddyWater 以美国机构为目标，在银行、机场、非营利组织等多个行业部署了新型 Dindoor 后门程序。 博通公司旗下的赛门铁克威胁狩猎团队发现了一场由与伊朗相关的 MuddyWater（又名 SeedWorm、TEMP.Zagros、Mango Sandstorm、TA450、Static Kitten）APT 组织发起的攻击活动，该活动针对多家美国机构。 博通赛门铁克发布的报告称：“在多家美国企业的网络中发现了与伊朗 APT 组织 Seedworm 相关的活动。该活动始于 2026 年 2 月，并在最近几天仍在持续。” 该组织部署了一款名为 Dindoor 的新型后门程序，并渗透进入多个行业的网络，包括银行、机场、非营利组织，以及一家软件公司的以色列分支机构。 首次 MuddyWater 攻击活动于 2017 年末被发现，当时该 APT 组织以中东地区实体为攻击目标。 专家将该活动命名为 “MuddyWater”，原因是难以对 2017 年 2 月至 10 月期间针对沙特阿拉伯、伊拉克、以色列、阿联酋、格鲁吉亚、印度、巴基斯坦、土耳其和美国的一系列攻击进行溯源归因。多年来，该组织不断扩充攻击手段，持续进化，攻击目标也扩展至欧洲和北美国家。 该组织的受害者主要集中在电信、政府（信息技术服务）以及石油行业。 2022 年 1 月，美国网络司令部（USCYBERCOM）正式将 MuddyWater APT 组织与伊朗情报与安全部（MOIS）关联起来。 自 2026 年 2 月初以来，MuddyWater APT 组织已针对美国和加拿大的多家机构发动攻击。受害者包括一家美国银行、一座机场、多家非营利组织，以及一家在以色列开展业务、服务于国防和航空航天领域的软件供应商。这款此前不为人知的 Dindoor 后门依赖 Deno 运行时执行 JavaScript 和 TypeScript 代码，并使用了一张颁发给 “Amy Cherne” 的证书进行签名。 研究人员还观察到，攻击者曾尝试使用 Rclone 工具从一家被攻击的软件公司窃取数据，并传输至 Wasabi Technologies 云存储桶中，目前尚不清楚此次数据传输是否成功。专家还在美国机场和非营利组织的网络中发现了另一个独立的 Python 后门程序，命名为 Fakeset，该程序使用了与 Seedworm 相关联的证书进行签名。该恶意软件托管在 Backblaze 服务器上，并与其他 Seedworm 关联的恶意软件家族共享证书，这表明这些入侵事件背后是该伊朗组织所为。 报告继续指出：“伊朗在网络空间行动的特点之一是，它会定期对其视为敌对国家的机构发起破坏性攻击，目前这类国家显然包括美国和以色列。”“这对这些国家的机构构成了风险，因为此类攻击的目的是传递信号，而非窃取信息，这意味着该国境内任何被盯上的机构都可能成为攻击目标。” 近期与伊朗网络行为体相关的活动显示，其行动混合了间谍活动、破坏行动与影响力行动。支持巴勒斯坦的黑客组织 Handala 通过钓鱼、数据窃取、勒索软件和数据泄露活动攻击以色列官员和能源公司，并宣称攻破了以色列和海湾地区的多家机构。与此同时，伊朗 APT 组织 Seedworm 针对学者、非政府组织和政府机构开展鱼叉式钓鱼攻击以收集情报。另一个组织 Marshtreader 在地区紧张局势期间对以色列境内存在漏洞的摄像头进行扫描，以实施侦察。 黑客组织 DieNet 也宣称对美国关键基础设施发起了 DDoS 攻击。研究人员警告称，与伊朗结盟的行为体可能升级攻击行动，包括 DDoS 攻击、网站篡改、凭证窃取、数据泄露，以及针对关键基础设施、能源、交通、电信、医疗和国防领域的潜在破坏性行动。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技（Trend Micro）报告称，一款新型信息窃取程序正通过由 100 多个 GitHub 代码仓库组成的网络进行分发。 这款被命名为 BoryptGrab 的恶意软件能够窃取浏览器数据、加密货币钱包数据，以及系统信息和用户文件。 此外，该窃取程序的部分变体还会释放一款名为 TunnesshClient 的后门程序，该后门通过 SSH 隧道进行命令与控制（C&C）通信。 趋势科技对 BoryptGrab 的调查显示，自 2025 年末以来，多个伪装成免费软件工具的 ZIP 压缩包已通过这些 GitHub 代码仓库分发。 所有已识别的二进制文件均包含相似的俄语注释和 URL 获取逻辑，不过并非所有 ZIP 压缩包中恶意软件的执行逻辑都完全相同。 在部分案例中，攻击者利用压缩包内的可执行文件，通过 DLL 侧载（DLL sideloading）技术实现恶意代码执行；而在另一些案例中，则通过 VBS 脚本获取启动器的可执行文件。研究人员还观测到了.NET 可执行文件、名为 HeaconLoad 的 Golang 下载器，以及其他执行路径。 BoryptGrab 是一款基于 C/C++ 编写的信息窃取程序，内置虚拟机检测和反分析校验机制，并试图以提升的权限执行。 它能够从近十余款浏览器中窃取信息，使用了来自两个 GitHub 代码仓库的 Chrome 应用绑定加密（Chrome App Bound Encryption）技术，并会下载一个 Chromium 辅助程序来收集目标浏览器中的信息。 该程序还可从桌面端加密货币钱包应用和浏览器扩展中收集数据、窃取系统信息、截取屏幕截图，以及收集特定扩展名的文件。 此外，趋势科技发现，这款窃取程序能够获取 Telegram 相关文件、浏览器密码，而在较新版本中，还能窃取 Discord 令牌。所有窃取到的信息都会被归档并发送至攻击者的命令与控制服务器。 部分已识别的变体还会部署 TunnesshClient 后门程序，而在其他案例中，该后门也可通过不同的下载器释放。 TunnesshClient 能够通过反向 SSH 隧道执行攻击者下发的命令。基于这些命令，该恶意软件可充当 SOCKS5 代理、执行 shell 命令、列出文件、搜索文件、上传和下载文件，或将整个文件夹发送至攻击者的服务器。 趋势科技指出：“BoryptGrab 攻击活动体现出一个不断演变的威胁生态系统 —— 攻击者通过诱骗性软件下载和伪造 GitHub 代码仓库针对用户发起攻击。” 该机构补充称，此次攻击行动显示出攻击者的技术设计复杂程度正不断提升。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文