HackerNews 编译，转载请注明出处： 朝鲜相关信息技术人员目前正冒用他人真实 LinkedIn 账号申请远程岗位，标志着该欺诈计划出现新一轮升级。 安全联盟（SEAL）在社交平台 X 的多篇帖文中表示：“这些伪造账号通常带有认证工作邮箱与身份徽章，朝鲜特工希望借此让欺诈性求职申请显得真实合规。” 此类 IT 人员攻击是朝鲜长期运作的行动，特工使用被盗或伪造身份伪装成远程工作者，谋求入职西方及其他地区企业。 该威胁同样被广大网络安全社区以 Jasper Sleet、PurpleDelta 和 Wagemole 为代号进行追踪。此类行动的最终目的分为两方面：一是获取稳定收入来源为朝鲜武器计划提供资金，二是通过窃取敏感数据实施间谍活动，部分情况下还会进一步索要赎金以避免信息泄露。 上月，网络安全公司 Silent Push 将朝鲜远程人员计划称为该国政权的 “高流量收入引擎”，威胁行为者借此还能获取敏感代码库的管理员权限，并在企业基础设施中实现无文件持久化驻留。 区块链分析公司 Chainalysis 在 2025 年 10 月发布的报告中指出：“朝鲜 IT 人员在收到薪资后，会通过多种洗钱手法转移加密货币。” “这些 IT 人员及其洗钱同伙切断链上资金来源与去向关联的手段之一，是通过链间跳转和 / 或代币兑换。” 他们利用去中心化交易所、跨链桥协议等智能合约增加资金追踪难度。 为应对该威胁，建议怀疑身份被用于欺诈求职的个人在社交媒体账号发布警示声明，同时列明官方沟通渠道与身份验证方式（如公司邮箱）。 安全联盟表示：“务必验证求职者所列账号由其提供的邮箱实际控制。” “要求对方在 LinkedIn 与你建立联系这类简单核查，即可验证其对账号的所有权与控制权。” 该信息披露之际，挪威警察安全局（PST）发布公告称，过去一年已获悉 “多起” 挪威企业遭朝鲜 IT 人员欺诈计划影响的案件。 挪威警察安全局上周表示：“这些企业受骗雇佣了疑似朝鲜 IT 人员担任居家办公岗位。” “朝鲜相关人员通过此类岗位获得的薪资，大概率被用于资助该国武器及核武器计划。” 与 IT 人员计划同步推进的还有一项名为 “感染性面试” 的社会工程学攻击活动，攻击者在领英以招聘名义接触目标后，通过伪造招聘流程诱骗目标参与面试。 当伪装成招聘人员与招聘经理的攻击者要求目标完成技能评估并最终执行恶意代码时，攻击进入恶意阶段。 在一起模仿数字资产基础设施公司 Fireblocks 招聘流程、针对技术人员的招聘伪装攻击中，威胁行为者要求求职者克隆 GitHub 仓库并执行命令安装 npm 包，从而触发恶意程序运行。 安全研究员 Ori Hershko 表示：“该攻击还使用了 EtherHiding 新型技术，利用区块链智能合约托管与调取命令与控制基础设施，提升恶意载荷的抗查封能力。”“这些操作会触发隐藏在项目中的恶意代码执行。” 执行安装流程会导致恶意程序在受害者系统中下载并运行，为攻击者在目标设备中建立立足点。 据 Abstract Security 与 OpenSourceMalware 报告，近月监测到 “感染性面试” 攻击新变种利用恶意微软 VS Code 任务文件，执行伪装成网页字体的 JavaScript 恶意程序，最终部署 BeaverTail 与 InvisibleFerret 恶意软件，实现持久化访问并窃取加密货币钱包与浏览器凭据。 Panther 安全公司记录的该入侵活动另一变种，疑似通过恶意 npm 包，借助加载器部署名为 Koalemos 的模块化 JavaScript 远程访问木马（RAT）框架。 该远程访问木马会进入信标循环，从外部服务器获取任务并执行，发送加密响应，随机休眠一段时间后重复该流程。 它支持 12 种指令，可执行文件系统操作、文件传输、信息探测指令（如主机信息查询）及任意代码执行。 与该活动相关的部分程序包名称如下： ·     env-workflow-test ·     sra-test-test ·     sra-testing-test ·     vg-medallia-digital ·     vg-ccc-client ·     vg-dev-env 安全研究员 Alessandra Rizzo 表示：“初始加载器会先执行基于 DNS 的执行门控与活动日期验证，再下载并以独立进程启动远程访问木马模块。” Koalemos 会采集系统指纹，建立加密的命令与控制通信，并提供完整远程访问能力。 Labyrinth Chollima 分化为专业化作战单元 此次进展披露之际，CrowdStrike 证实活跃的朝鲜黑客组织 Labyrinth Chollima 已分化为三个目标与作战手法迥异的集群：核心Labyrinth Chollima、Golden Chollima（亦称 AppleJeus、Citrine Sleet、UNC4736）与Pressure Chollima（亦称 Jade Sleet、TraderTraitor、UNC4899）。 据 DTEX 评估，值得注意的是，Labyrinth Chollima 与安Andariel 、BlueNoroff 同属拉撒路集团（亦称 Diamond Sleet、Hidden Cobra）旗下子集群，其中 BlueNoroff 又分化出TraderTraitor 与 CryptoCore（亦称 Sapphire Sleet）。 尽管战术不断演进，这些攻击组织仍持续共享工具与基础设施，表明朝鲜网络作战机构内部存在集中协调与资源调配机制。Golden Chollima专注于在经济发达地区实施持续、小规模的加密货币窃取，Pressure Chollima 则通过高级植入程序针对大型数字资产持有机构实施高价值窃案。而Labyrinth Chollima 的行动以网络间谍活动为目的，借助 FudModule rootkit 等工具实现隐蔽作业。 该组织同样关联 “梦幻求职行动”，这是另一项以招聘为核心的社会工程学攻击，旨在投放恶意程序以搜集情报。 CrowdStrike 表示：“基础设施与工具的共享互通表明这些作战单元保持着紧密协同。” 三个攻击组织均使用高度相似的作战手法，包括供应链攻击、人力资源主题社会工程学、木马化合法软件以及恶意 Node.js 与 Python 程序包。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，与俄罗斯有关联的黑客组织近期针对塔吉克斯坦政府、学术及科研机构发动新型网络间谍行动。 Recorded Future旗下Insikt Group将2025年1月至2月期间的攻击活动归因于名为TAG-110的威胁组织，该团伙被认为与俄罗斯军事情报机构支持的APT28（又名BlueDelta）存在关联。 攻击者通过投递政府主题的钓鱼邮件实施入侵，诱饵文件包括塔吉克斯坦武装部队辐射安全通知和首都杜尚别选举日程表等伪造文档。研究人员指出，此次行动标志着TAG-110战术的重大转变——该组织弃用此前惯用的Hatvibe恶意软件，转而利用启用宏的Word模板作为初始感染载体。若攻击得逞，攻击者可能部署Cherryspie、Logpie等间谍工具或新型定制恶意软件。 自2021年以来，TAG-110持续在中亚地区开展网络间谍活动，其攻击目标还涉及印度、以色列、蒙古和乌克兰等国的实体。Insikt Group分析认为，此类行动与俄罗斯维持该地区战略影响力的宏观目标相契合，尤其是在区域格局变动与地缘政治紧张加剧的背景下。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

卡巴斯基研究人员将多起针对性攻击与一个名为“The Mask”的网络间谍组织联系起来。该 APT 组织于 2019 年和 2022 年针对拉丁美洲的一个组织发起攻击。 威胁组织访问了 MDaemon 电子邮件服务器并使用其 WorldClient 网络邮件组件在受感染的组织内保持持久性。 WorldClient 组件的身份验证面板 卡巴斯基发布的分析报告称：“攻击者使用的持久性方法基于 WorldClient，允许加载处理从客户端到电子邮件服务器的自定义 HTTP 请求的扩展程序。” “这些扩展程序可以通过 C:\MDaemon\WorldClient\WorldClient.ini 文件进行配置” “The Mask”APT组织（又名“Careto” [西班牙语，意为“丑陋的脸”或“面具”]）是一个备受瞩目的受国家支持的黑客组织，其目标一直是政府机构、外交机构、大使馆、外交办公室和能源公司。 卡巴斯基于 2014 年首次发现该 APT 组织，但专家认为该网络间谍活动已持续了五年多。当时，卡巴斯基称这是他们迄今为止见过的最复杂的 APT 行动。 Mask APT 自 2007 年起就已活跃，它展示了使用复杂植入物的能力，通常通过0day漏洞进行传播。 专家们尚未确定该 APT 组织的来源，但他们还注意到该组织讲西班牙语，并且针对全球 30 多个国家。 在最近的攻击中，The Mask 使用恶意扩展进行侦察、文件系统交互和有效载荷执行。 2024 年初，攻击者利用 hmpalert.sys 驱动程序和 Google Updater 部署了一个名为 FakeHMP 的新植入程序，可实现文件检索、键盘记录、屏幕截图和其他有效载荷。他们还部署了麦克风录音机和文件窃取程序。 在调查 2022 年的攻击时，研究人员注意到受害组织在 2019 年也遭受过使用“Careto2”和“Goreto”框架的攻击。攻击者使用加载器、安装程序和辅助注册表文件部署了 Careto2，然后通过 COM 劫持保持持久性。该框架从虚拟文件系统加载插件，插件名称被哈希化为 DJB2 值。 “距离我们上次看到 Careto 网络攻击已经过去了 10 年，但该攻击者仍然像以前一样强大。这是因为 Careto 能够发明非凡的感染技术，例如通过 MDaemon 电子邮件服务器持久化或通过 HitmanPro Alert 驱动程序植入加载，以及开发复杂的多组件恶意软件。” 报告总结道。“虽然我们无法估计社区需要多长时间才能发现该攻击者的下一次攻击，但我们相信他们的下一次活动将与之前的一样复杂。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7C4Xm3xCiGziXGXwr4SUGg 封面来源于网络，如有侵权请联系删除

一个网络间谍组织被指控对南欧大型 B2B IT 服务提供商发动攻击，这是代号为“Digital Eye（数字眼行动）”的行动的一部分。 网络安全公司 SentinelOne、SentinelLabs 和 Tinexta Cyber在一份联合报告中表示，入侵行为发生在 2024 年 6 月下旬至 7 月中旬，并补充说这些活动在进入数据泄露阶段之前就被发现并消除了。 安全研究人员亚历山大·米伦科斯基 (Aleksandar Milenkoski) 和路易吉·马蒂雷 (Luigi Martire)表示：“这些入侵可能使对手建立战略立足点并危及下游实体。” “威胁组织滥用 Visual Studio Code 和 Microsoft Azure 基础设施进行 C2 [命令和控制] 攻击，试图通过使恶意活动看起来合法来逃避检测。” 目前尚不清楚哪个黑客组织是此次攻击的幕后黑手，该组织与多个已知的黑客组织之间存在广泛的共享工具和基础设施，使得情况更加复杂。 “Digital Eye（数字眼行动）”的核心是将 Microsoft Visual Studio Code远程隧道武器化用于 C2，这是一项合法功能，可实现对端点的远程访问，使攻击者能够执行任意命令和操纵文件。 黑客使用此类公共云基础设施，部分原因在于，活动就可以融入网络防御者看到的典型流量中。此外，此类活动使用合法的可执行文件，不会被应用程序控制和防火墙规则阻止。 研究人员观察到的攻击链涉及使用SQL 注入作为初始访问载体来破坏面向互联网的应用程序和数据库服务器。代码注入是通过名为SQLmap的合法渗透测试工具完成的，该工具可自动检测和利用 SQL 注入漏洞。 成功攻击后，会部署一个基于 PHP 的 Web Shell（称为 PHPsert），使攻击者能够站稳脚跟并建立持久的远程访问。后续步骤包括侦察、凭证收集以及使用远程桌面协议 (RDP) 和传递哈希技术横向移动到网络中的其他系统。 研究人员表示：“对于传递哈希攻击，他们使用了自定义修改版的 Mimikatz。”该工具“利用被破解的 NTLM 密码哈希，无需输入用户的实际密码，即可在用户的安全上下文中执行进程。” 大量源代码重叠表明，定制工具与疑似网络间谍活动（如Soft Cell “软细胞行动”and Operation Tainted Love“爱情污点行动”）中观察到的工具来自同一来源。这些自定义 Mimikatz 修改版还包括共享代码签名证书和使用独特的自定义错误消息或混淆技术，统称为 mimCN。 研究人员指出：“mimCN 样本的长期演变和版本控制，以及留给单独操作团队的说明等显著特征，表明有共享供应商的主动维护和配置。” 另外值得注意的是依赖 SSH 和 Visual Studio Code 远程隧道进行远程命令执行，攻击者使用 GitHub 帐户进行身份验证并连接到隧道，以便通过基于浏览器的 Visual Studio Code 版本（“vscode[.]dev”）访问受感染的端点。 目前尚不清楚威胁组织是否使用新近自注册或已经被入侵的 GitHub 帐户来验证隧道身份。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HR3r6oajc1ZinB2fDuA1ww 封面来源于网络，如有侵权请联系删除

韩国执政党国民力量党声称，朝鲜黑客窃取了该国主战坦克 K2 坦克以及“白头山”号和“金刚山”号间谍机的重要信息。 人民进步党对朝鲜可能利用泄露的信息来规避军方监视、在战场上取得优势表示担忧，因此呼吁紧急采取更有力的措施以维护国家安全。 K2“黑豹”坦克是韩国的一款主战坦克，由国防开发局设计，现代罗特姆公司制造。自2008年推出以来，每辆售价850万美元，目前韩国已有260辆服役，另有150辆在计划中。 白头山和金刚山号间谍飞机是韩国在过去20年中用于边境监视的主要装备，用于监控朝鲜的军事活动（IMINT）和捕获无线通信（SIGINT）。 据当地媒体周五报道，K2坦克数据泄露是由于一名制造商的工程师跳槽至竞争公司，并将设计蓝图、开发报告和关于坦克过压系统的详细信息带走。新雇主意图将这项技术出口到中东，因此泄漏已超出韩国范围。 关于白头山和金刚山号间谍飞机，《东亚报》报道指出，一家韩国国防承包商遭到朝鲜黑客攻击，该承包商负责编写包括两架间谍飞机在内的军事装备操作和维护手册。黑客窃取了飞机的重要技术数据，包括技术细节、最近的技术升级、操作能力和维护信息。 韩国担心，侦察机技术的泄漏将使敌人能够开发更隐蔽的无人机和有效的监视规避措施。 人民进步党呼吁国内各政党团结一致，尽快商定并实施新的措施，以加强国家对抗网络间谍活动的能力。声明中指出：“随着朝鲜网络攻击的日益广泛和大胆，制定《网络安全基本法》以防止黑客攻击和技术盗窃已成为必要。为了保护国家利益，我们必须迅速修订刑法，将间谍法的适用范围扩大到‘外国’。” 2024年4月，韩国国家警察厅发出紧急警告，提醒国防工业公司警惕朝鲜威胁组织（如Lazarus、Andariel和Kimsuky）的攻击升级。警方特别行动发现，自2022年底以来，朝鲜特工已侵入多家公司，进行广泛的情报收集。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juyuHyvmTte-vDWN-7-ntQ 封面来源于网络，如有侵权请联系删除

与朝鲜有关的APT组织 Kimsuky涉嫌发动一系列新攻击，这些攻击针对大学教授、研究人员和其他工作人员，目的是收集情报。 网络安全公司 Resilience表示，在观察到黑客犯下的操作安全 (OPSEC) 错误后，它在 2024 年 7 月下旬发现了这一活动。 Kimsuky，也被称为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima，只是朝鲜政府和军方指导下运作的众多攻击性网络团队之一。 它非常活跃，通常利用鱼叉式网络钓鱼活动作为起点，提供不断扩展的自定义工具集来进行侦察、窃取数据并建立对受感染主机的持续远程访问。 这些攻击还具有以下特点：使用受感染的主机作为临时基础设施，部署经过混淆的 Green Dinosaur Web Shell 版本，然后使用该版本执行文件操作。安全研究员 blackorbird曾在 2024 年 5 月重点介绍了 Kimuksy 对 Web Shell 的使用。 Green Dinosaur 提供的访问权限被滥用来上传预先构建的网络钓鱼页面，这些页面旨在模仿 Naver 和同德大学、高丽大学和延世大学等多所大学的合法登录门户，目的是获取他们的凭证。 接下来，受害者被重定向到另一个网站，该网站指向托管在 Google Drive 上的 PDF 文档，该文档声称是峨山政策研究院八月论坛的邀请。 Resilience 研究人员表示：“此外，在 Kimsuky 的网络钓鱼网站上，还有一个非针对特定目标的网络钓鱼工具包来收集 Naver 帐户。该工具包是一个类似于 Evilginx 的基本代理，用于窃取访问者的 cookie 和凭据，并显示弹出窗口，告诉用户他们需要再次登录，因为与服务器的通信中断了。” 分析还揭示了 Kimsuky 使用的名为 SendMail 的自定义PHPMailer工具，该工具用于向使用 Gmail 和 Daum Mail 帐户的目标发送网络钓鱼电子邮件。 为了应对威胁，建议用户启用防网络钓鱼多因素身份验证 (MFA) 并在登录前仔细检查 URL。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OVKxf4xtx7DuR_dvpB7TBQ 封面来源于网络，如有侵权请联系删除

巴黎最高检察官在奥运会开幕前不久宣布，法国当局启动了一项大规模行动，清理该国计算机系统中的恶意软件，据信这些恶意软件已经影响了数千名用户，“尤其是出于间谍目的”。 据巴黎检察院周四发表的声明，所谓的“消毒行动”已进行了一周，并将持续数月。他们没有透露这次行动是否与奥运会有关。 法国当局正在调查一个机器人网络，该网络涉嫌感染了全球数百万受害者，其中至少有 3,000 台法国设备感染了 PlugX 恶意软件。该活动的主要目标是进行间谍活动。 今年 4 月早些时候，网络安全公司 Sekoia 的研究人员报告称，他们查获了与 PlugX 相关的命令和控制服务器，并发现该恶意软件已蔓延至 170 多个国家。 Sekoia 开发了一种技术解决方案，可以远程对僵尸网络的受害机器进行杀毒清理，法国和其他受影响的国家将使用该解决方案来清理其网络。 巴黎检察官表示：“杀毒过程开始几个小时后，数百名受害者已经受益，主要在法国，但也包括马耳他、葡萄牙、克罗地亚、斯洛伐克和奥地利。” “在奥运会开幕前夕，这次行动表明了法国国内外各方的警惕性，动员起来打击各种形式的网络犯罪，包括最复杂的犯罪。” 本周即将开幕的奥运会前，法国面临着诸多安全威胁。法国总理加布里埃尔·阿塔尔周四表示，针对奥运会的网络攻击不可避免，但法国将尽一切努力限制其影响。 奥运会前几个月，研究人员已经观察到法国影响力行动有所增加（主要由俄罗斯实施），但也预见到了其他类型的活动，包括间谍活动、勒索软件和破坏性行动。 法国当局还警告可能存在恐怖主义行为和针对其基础设施的破坏。 周五，在奥运会开幕式前几个小时，法国高速铁路遭到有组织的“恶意袭击”。一系列破坏活动，包括纵火，影响了巴黎西部、北部和东部的几条高速铁路线。 法国国家铁路公司 SNCF 取消了多趟列车，并建议旅客“不要前往车站”。该公司总裁告诉当地媒体，最近的停运将影响近 80 万人。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5ZRSu1psroJm4Ips3RCp3Q 封面来源于网络，如有侵权请联系删除

俄罗斯间谍记录了德国高级军官讨论可能向乌克兰和潜在目标交付金牛座巡航导弹的情况。在仅仅通过参加 Webex 会议就获得了泄露的 38 分钟音频文件后，德国联邦国防军的信息安全实践现在受到质疑。 3 月 1 日，俄罗斯国家广播公司 RT 的负责人玛格丽塔·西蒙尼扬 (Margarita Simonyan) 发表了一份似乎是德国空军将军和其他高级领导人讨论的文字记录。 RT称，其确认了参加电话会议的四名德国军方官员中的两名身份，其中包括空军作战负责人弗兰克·格雷夫准将和空军参谋长英戈·格哈茨中将。 将军们正在讨论向乌克兰交付金牛座导弹的可能性、潜在目标，包括连接被占领的克里米亚和俄罗斯并具有战略和政治重要性的刻赤大桥，以及成功攻击所需的理论上的可能性。 金牛座导弹的射程约为310英里，远大于英国向乌克兰提供的“风暴之影”巡航导弹的射程约为155英里。 西蒙尼扬在她的社交媒体帐户上分享了完整的录音以及俄语翻译。RT 夸口说，空军司令英戈·格哈茨中将悲伤地说：“如果我们与乌克兰武装部队有直接联系，那将是令人担忧的。” 据德国之声报道，德国国防部已证实该机密录音的真实性，德国总理奥拉夫·肖尔茨称这是“非常严重的事件” 。 德国军官未能使用安全的加密通道进行对话，而是加入了思科 WebEx 会议平台上的通话。俄罗斯间谍设法拦截了它。 据Heise.de报道，德国联邦国防军官员经常使用思科的 WebEx 。但是，通过电话或浏览器拨入时，无法在该系统上建立端到端加密连接。在许多情况下，IT 经理必须设置并激活该功能，并且必须为用户分配这些选项。 据德国媒体报道，一名军官在新加坡一家酒店用手机拨打了会议电话。据Stack 报道，俄罗斯间谍可能只是在未被注意到的情况下拨打了电话。 目前尚未正式确认俄罗斯间谍利用了哪些潜在漏洞。 该事件在德国政界引起轩然大波。德国联邦议院国防委员会主席玛丽·艾格尼丝·斯特莱克·齐默尔曼呼吁加强安全和反情报工作。据《华尔街日报》报道，国防部长鲍里斯·皮斯托利斯已对他所说的俄罗斯旨在传播虚假信息的混合攻击展开调查。 一位不愿透露姓名的前德国联邦国防军高级军官对《政客》杂志表示：“现在必须采取行动。” “通过不安全的线路进行如此高度机密的对话是严重疏忽。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rF6QZtNp3A1bVUbo8BTOrg 封面来源于网络，如有侵权请联系删除

美国司法部起诉了两名与俄罗斯联邦安全局（FSB）有关联的黑客，指控他们针对政府官员开展了长达数年的网络间谍活动。司法部周四指控联邦安全局情报部门官员鲁斯兰-亚历山大罗维奇-佩列季亚特科（Ruslan Aleksandrovich Peretyatko）和信息技术工作者安德烈-斯坦尼斯拉沃维奇-科里涅茨（Andrey Stanislavovich Korinets）在2016年10月至2022年10月期间试图入侵多个美国政府机构（包括国防部和能源部）雇员的电脑。 起诉书还称，公开名称为”Callisto Group”的共谋者针对英国和其他地方的军方和政府官员、智库研究人员和工作人员以及记者，使用了复杂的鱼叉式网络钓鱼电子邮件，这些电子邮件声称来自电子邮件提供商，暗示用户违反了服务条款。 根据司法部的起诉书，这些电子邮件包含 Callisto 集团为获取受害者的凭证而创建的恶意域，使共谋者能够在未经授权的情况下访问受害者的账户并获取“有价值的情报”，其中包括与美国国防、外交和安全政策有关的情报。 据司法部称，作为黑客和泄密造谣活动的一部分，“从其中某些目标账户”获取的信息还在2019年英国大选前被泄露给了俄罗斯和英国的媒体。 周四早些时候，英国政府宣布，它也发现了联邦安全局干预英国政治进程的“持续不成功企图”，并制裁了 Peretyatko 和 Korinets 的鱼叉式网络钓鱼活动和相关活动，这些活动“导致未经授权的访问和敏感数据外流，其目的是破坏英国组织，更广泛地说，是破坏英国政府”。 英国国家网络安全中心（隶属于 GCHQ）称，这些黑客“几乎肯定隶属于”俄罗斯联邦安全局，并有选择地泄露了他们获得的信息，“符合俄罗斯的对抗目标，包括破坏英国和类似国家对政治的信任”。 美国财政部也宣布了对佩列季亚特科和科里涅茨的制裁，美国国务院还悬赏1000 万美元征集线索，以查明这两人的身份和下落。 Callisto集团被微软追踪为”Star Blizzard”，被Google威胁分析小组追踪为”Cold Driver”，因长期针对北约国家，特别是美国和英国开展间谍活动而闻名。2022年5月，Google研究人员将一次黑客泄密行动归咎于该组织，该组织窃取并泄露了大量支持英国脱欧的高层人士的电子邮件和文件，其中包括英国外国情报机构军情六处（MI6）前负责人理查德-迪尔洛夫爵士（Sir Richard Dearlove）。   转自今日头条，原文链接https://www.toutiao.com/article/7309922472684454426/?log_from=28daf104df523_1702024201260&wid=1702024267135 封面来源于网络，如有侵权请联系删除

乌克兰政府网络安全研究人员发现，俄罗斯国家支持的黑客在最近的一次网络间谍活动中以大使馆和国际组织为目标。 这些攻击归因于臭名昭著的黑客组织 APT29，也称为 Cozy Bear 或 Blue Bravo。分析人士此前将其与俄罗斯对外情报局（SVR）联系起来，该机构负责收集其他国家的政治和经济情报。 乌克兰国家网络安全协调中心 (NCSCC)分析了今年 9 月发生的这次活动。该组织在之前的活动中使用了类似的工具和策略，特别是在四月份针对基辅大使馆的行动中。 NCSCC 表示，最近的行动“主要目标是渗透使馆实体”，其中包括阿塞拜疆、希腊、罗马尼亚和意大利的目标。NCSCC 表示，另一个受害者是希腊主要互联网提供商 Otenet。 研究人员表示，外交账户，尤其是与阿塞拜疆和意大利外交部相关的账户，受到的影响最大。一个可能的原因是俄罗斯情报部门试图收集有关阿塞拜疆战略活动的信息，特别是导致阿塞拜疆入侵纳戈尔诺-卡拉巴赫地区的信息。 APT29 的攻击活动总共针对 200 多个电子邮件地址，但尚不清楚有多少次攻击成功。 战术和技术 APT29 利用了Windows 文件归档工具 WinRAR 中最近发现的漏洞。该漏洞被识别为 CVE-2023-3883，在 2023 年初被国家背景的黑客组织利用，然后才得到修补。该工具的未修补版本仍然容易受到攻击。 NCSCC 表示，该漏洞仍然“构成重大威胁”，因为它允许攻击者通过利用特制的 ZIP 存档来执行任意代码。 在最近的活动中，Cozy Bear 向受害者发送了包含 PDF 文档链接和利用该漏洞的恶意 ZIP 文件的网络钓鱼电子邮件，可能会授予攻击者访问受感染系统的权限。 为了说服目标打开恶意文件，黑客创建了电子邮件，声称拥有有关外交宝马汽车销售的信息。今年春天，该组织在袭击基辅大使馆时也使用了同样的诱饵。 研究人员表示，在这次活动中，攻击者引入了一种与恶意服务器通信的新技术。特别是，他们使用了一种名为 Ngrok 的合法工具，该工具允许用户将其本地服务器公开到互联网。 Ngrok 通常在 Web 开发和测试过程中用于为本地 Web 服务器提供临时公共 URL，但网络犯罪分子部署它是为了混淆他们的活动并与受感染的系统进行通信，同时逃避检测。 NCSCC 表示，通过以这种方式利用 Ngrok 的功能，攻击者可以使网络安全分析进一步复杂化，并保持在雷达之下，从而使防御和归因更具挑战性。 Cozy Bear 之前的攻击 乌克兰战争期间，APT29对乌克兰军队及其政党、外交机构、智库和非营利组织进行了网络攻击。 例如，四月份，该组织针对北约国家、欧盟以及“在较小程度上”非洲的外交部和外交实体发起了一场间谍活动。 黑客的策略与 9 月份的攻击活动中使用的策略类似。特别是，他们向特定人员发送冒充欧洲国家大使馆的网络钓鱼电子邮件，通常在邮件正文或附件 PDF 中包含恶意链接，邀请目标外交官访问大使的日历。 APT29 因战前几起备受瞩目的事件而受到指责，其中包括2020 年SolarWinds供应链攻击，该攻击影响了全球数千个组织，并导致了一系列数据泄露。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/XHHuyhAtNyoJWFQQHHKFTA 封面来源于网络，如有侵权请联系删除