HackerNews 编译，转载请注明出处： 近期一项调查显示，某钓鱼攻击活动最初仅使用简单的 Python 窃密脚本，最终却升级至部署 PureRAT—— 一款功能完备的商品化远程访问木马（Remote Access Trojan，简称 RAT）。 网络安全公司 Huntress 发布的研究报告指出，攻击者的技术手段已从使用自定义脚本，逐步升级为利用功能复杂的商用工具。 一、攻击链条解析 该攻击活动始于钓鱼邮件，邮件中附带伪装成 “版权通知” 的 ZIP 压缩包。压缩包内包含一个经过签名的 PDF 阅读器可执行文件（.exe），以及一个恶意的 version.dll 文件，攻击者借此实现 “DLL 侧载”（DLL Sideloading）攻击。此后，攻击共分 10 个阶段逐步推进，通过加载器层、加密层与持久化机制的层层叠加，复杂度不断升级。 此次攻击活动的显著特点是，在第 3 阶段实现了从 Python 脚本到编译后的.NET 可执行文件（.exe）的技术转型。 攻击者对系统进程 RegAsm.exe 实施 “进程镂空”（Process Hollowing）攻击，对 Windows 自带的反恶意软件扫描接口（AMSI）和事件跟踪日志（ETW）等防御机制进行补丁篡改，随后逐步解包更多恶意载荷，最终暴露的核心恶意程序即为 PureRAT。该木马可为攻击者提供加密的命令与控制（C2）信道、主机指纹识别功能，以及加载额外恶意模块的能力。 二、攻击活动溯源 攻击前期阶段的核心目标是窃取凭证信息，并从 Chrome、Firefox 等浏览器中收集数据。 攻击者将窃取的信息打包为 ZIP 文件后，通过 Telegram 机器人 API（Telegram Bot API）传输。与账号 @LoneNone 相关联的元数据显示，该攻击活动与 “PXA 窃密者”（PXA Stealer）恶意软件家族存在关联，而该家族此前已被证实与越南威胁行为者有关。 此外，PureRAT 的命令与控制（C2）服务器经溯源也位于越南，进一步印证了这一攻击归因结论。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 本周披露的多起网络事件表明，越南和巴拿马政府机构遭遇黑客攻击，导致公民数据被盗。 越南官方媒体报道称，该国网络安全应急中心（VNCERT）已确认接到国家信用信息中心（CIC）的安全事件报告。该中心由越南国家银行运营，负责管理全国公民和企业的信用信息。 VNCERT表示，初步调查显示此次攻击导致个人数据泄露。该机构正与多个部门及国有电信企业Viettel联合开展调查。初步核查结果显示存在以窃取个人数据为目的的网络犯罪攻击和入侵迹象。非法获取的数据量仍在统计和核实中。VNCERT敦促居民不要下载或传播被盗数据，并威胁将对相关行为追究法律责任。 该声明发布前两天，与Scattered Spider网络犯罪组织及其关联团伙ShinyHunters有关的黑客声称攻破了CIC系统，窃取约1.6亿条记录。黑客在网络犯罪论坛上挂牌出售这些信息，提供的样本包含个人姓名、地址、信用卡历史、政府身份证件、收入证明和债务状况等数据。黑客在接受DataBreaches网站采访时称，他们利用了已停产软件中的某个漏洞，但从未就被盗数据索要赎金。 据彭博社报道，CIC已告知国内银行，此次攻击的幕后黑手是ShinyHunters组织。该攻击团伙今年已因数十起高调事件受到全球执法机构关注，包括针对零售、航空和保险行业大型企业的多起攻击行动。 巴拿马财政部也同步遇袭。 巴拿马政府官员证实，该国经济财政部本周同样遭受网络攻击。经济财政部（MEF）向公众通报，今日发现部内某个办公室存在恶意软件事件。他们立即启动了既定安全协议，并在整个计算机系统强化预防措施以遏制入侵。所幸MEF核心平台均未受影响，目前完全正常运行。但经济财政部未回应置评请求，也未提供事件更新。 INC勒索软件组织宣称对此次攻击负责，声称从该部窃取了1.5太字节信息，包括预算、电子邮件等数据。该团伙去年11月曾被指涉嫌攻击匈牙利国防采购局，以及美国的多家医院和 grocery store 连锁企业。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员近期警示新型Python信息窃取木马“PXA Stealer”的传播活动。据Beazley Security与SentinelOne联合报告（已提交至The Hacker News），该恶意活动被判定为越南黑客操纵PXA恶意软件，全球攻陷4000台设备盗取20万密码语黑客团伙所为，其通过Telegram API构建订阅制地下生态，自动化转售和复用窃取数据以实现变现。 “此次攻击展现出技术手段的飞跃，融合了精细的反分析技术、非恶意诱饵内容，以及阻碍安全分析并延缓检测的强化命令控制管道”，安全研究员团队（Jim Walter、Alex Delamotte等）指出。此轮攻击已感染62个国家超4000个独立IP地址，韩国、美国、荷兰、匈牙利及奥地利为重灾区，窃取数据涵盖20多万组独立密码、数百条信用卡记录及超400万条浏览器Cookie。 PXA Stealer最早由思科Talos于2024年11月曝光，被用于针对欧亚政府及教育机构的攻击。该木马可窃取密码、浏览器自动填充数据、加密货币钱包及金融机构信息。其通过Telegram外泄数据至Sherlock等犯罪平台（专门交易窃取日志），下游攻击者可购买信息实施加密货币盗窃或渗透组织进行后续攻击，形成规模化运行的网络犯罪生态。 2025年的攻击活动呈现持续战术演变：攻击者采用DLL侧加载技术和复杂的分阶段部署层规避检测。恶意DLL执行感染全流程，最终部署窃密木马前会向受害者展示版权侵权通知等诱饵文档。新版木马通过向Chromium浏览器进程注入DLL突破“应用绑定加密保护”机制，并窃取VPN客户端、云命令行工具（CLI）、共享文件及Discord等应用数据。 “PXA Stealer利用BotID（存储为TOKEN_BOT）建立主机器人与多个ChatID（存储为CHAT_ID）的关联。ChatID对应的Telegram频道主要用于托管外泄数据，并向操作者推送更新通知”，研究人员解释称，“该威胁已发展为高度规避的多阶段攻击，由越南语攻击者驱动，其明显关联于有组织的、基于Telegram的黑市——专门销售受害者数据。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 越南已命令当地电信服务提供商封禁广受欢迎的即时通讯平台Telegram，理由是国家安全担忧以及该公司涉嫌未能遵守当地法律。 科技部据称表示，Telegram未配合越南当局处理该应用程序上的犯罪活动，包括欺诈和毒品交易。电信公司已被指示实施封禁并于6月2日前报告执行情况。 近期政府报告指控，越南境内可访问的9,600个Telegram频道中有近70%涉及非法活动，包括反政府内容和所谓“颠覆性”文件的传播。当局还指责Telegram在刑事调查期间无视删除非法内容和分享用户数据的要求。 Telegram发言人告诉路透社，公司对封禁决定感到惊讶，并补充称其已及时响应越南的法律请求。该公司未立即回应Recorded Future News的提问。 作为一党制共产主义国家，越南对网络内容保持严格管控，并有施压全球科技公司遵守当地法规的记录。包括自由之家在内的人权监督机构警告称，针对记者、活动人士和用户的审查制度及惩罚措施正在增加。 这不是越南首次与主要科技平台发生冲突。2020年，据报越南曾威胁封禁Facebook，除非其限制更多内容；2023年又以类似指控考虑封禁TikTok。这两个平台目前仍可访问。 Telegram的俄罗斯籍创始人帕维尔·杜罗夫（Pavel Durov）今年早些时候在法国被捕，指控理由是该平台未能遏制网络犯罪和金融欺诈。 杜罗夫被捕后表示，他的目标是让应用程序“更安全、更强大”。 “Telegram用户数量激增至9.5亿导致发展阵痛，这使得犯罪分子更容易滥用我们的平台，”杜罗夫写道。“这就是为什么我把显著改善这方面作为个人目标。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

至少自 2023 年 5 月以来，据观察，据认为来自越南的黑客利用旨在收集有价值数据的恶意软件针对多个亚洲和东南亚国家的受害者。 Cisco Talos 将该黑客组织命名为 CoralRaider，并将其描述为出于经济动机。该活动的目标包括印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。 安全研究人员 Chetan Raghuprasad 和 Joey Chen 表示：“该组织专注于窃取受害者的凭证、财务数据和社交媒体帐户，包括商业和广告帐户。” 他们解释说，该恶意软件使用 RotBot（Quasar RAT 的一种特殊变体）和 XClient 窃贼作为其有效负载。 该组织使用的其他商品恶意软件包括远程访问木马和信息窃取程序，例如 AsyncRAT、NetSupport RAT 和 Rhadamanthys。针对企业和广告帐户已成为在越南境外运营的攻击者的特别关注点，部署了 Ducktail、NodeStealer 和 VietCredCare 等各种类型的窃取恶意软件来控制此类帐户以进一步获利。 作案手法是利用 Telegram 过滤受害者机器上被盗的信息，然后在地下市场上进行交易以产生非法收入。 研究人员表示：“CoralRaider 运营商的总部位于越南河内，根据攻击者在 C2 Telegram 机器人频道中的消息以及命名机器人的语言偏好、PDB 字符串以及有效负载二进制文件中编码的其他越南语单词进行命名。” 攻击链从 Windows 快捷方式文件 (LNK) 开始，尽管目前还没有明确解释这些文件如何分发到目标。如果打开 LNK 文件，则会从攻击者控制的下载服务器下载并执行 HTML 应用程序 (HTA) 文件，然后运行嵌入的 Visual Basic 脚本。 攻击链 该脚本本身会解密并按顺序执行其他三个 PowerShell 脚本，这些脚本负责执行反虚拟机和反分析检查、规避 Windows 用户访问控制 (UAC)、禁用 Windows 通知和应用程序以及下载和运行 RotBot。 RotBot 配置为联系 Telegram 机器人，检索 XClient 窃取恶意软件并在内存中执行，最终促进窃取数据，包括：Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox、和Opera；Discord 和 Telegram 数据；屏幕截图。 XClient 还旨在从受害者的 Facebook、Instagram、TikTok 和 YouTube 帐户中窃取数据，收集有关其企业帐户和 Facebook 广告的支付方式和权限的详细信息。 研究人员表示：“RotBot 是 Quasar RAT 客户端的一个变体，是威胁行为者为此次活动定制和制作的。” “[XClient] 通过其插件模块和各种模块来执行远程管理任务，具有广泛的信息窃取功能。” 这一进展发生之际，Bitdefender 披露了 Facebook 上一项恶意广告活动的细节，该活动利用围绕生成人工智能工具的热议来鼓励各种信息窃取者，如 Rilide、Vidar、IceRAT 和一个名为 Nova Stealer 的新来者。 这次攻击的出发点是攻击接管现有的 Facebook 帐户并修改其外观以模仿 Google、OpenAI 和 Midjourney 等知名人工智能工具，并通过在该平台上运行赞助广告来扩大其影响范围。 一个冒充 Midjourney 的欺诈页面在 2023 年 3 月 8 日被删除之前拥有 120 万粉丝。运行该页面的攻击者主要来自越南、美国、印度尼西亚、英国和澳大利亚等。 研究人员表示：“恶意广告活动通过 Meta 的赞助广告系统产生了巨大的影响力，并积极针对来自德国、波兰、意大利、法国、比利时、西班牙、荷兰、罗马尼亚、瑞典和其他地方的欧洲用户。” 完整技术报告：https://blog.talosintelligence.com/coralraider-targets-socialmedia-accounts/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Ats3lPk6bNa0_f4EuQKHnw 封面来源于网络，如有侵权请联系删除

由于使用VNDirect的投资者无法交易，胡志明市证券交易所25日的交易量下降了10%。 有消息称：越南第三大证券经纪公司VNDirect（越南直接投资证券股份有限公司）在上周末遭遇网络攻击，目前正全力恢复运营。 尽管公司27日宣布部分服务已经恢复上线，但据当地媒体报道，投资者仍然无法登录平台。VNDirect计划分四个阶段逐步恢复各项在线服务，从客户账户开始，最后是金融产品。 由于部分系统刚刚恢复，访问量较大，VNDirect在Facebook上发布声明称，用户可能会遇到登录问题，建议“请耐心等待并再次刷新页面。” 截至当地时间27日晚些时候，VNDirect的官方网站仍然无法访问。 河内证券交易所（HNX）宣布，“在问题得到解决之前”， 暂时中断VNDirect的远程或在线衍生证券交易、债务工具交易和个人公司债券交易。 据路透社报道，本周以来，VNDirect的股价已经下跌了近4%。由于使用VNDirect的投资者无法交易，胡志明市证券交易所（简称HOSE或HSX）25日的交易量下降了10%。 越南国家证券委员会（SSC）的副主席向路透社表示，他认为这次攻击不具备“传染性”，其他当地金融机构没有风险。他补充说，没有其他经纪商受到这次黑客攻击的影响。 VNDirect在胡志明市交易所的市场份额排名第三，占比7%。公司表示，其“整个系统在周日被国际黑客攻击”，但客户资产或数据没有受到影响。 VNDirect的首席执行官Nguyen Vu Long表示，公司被“一群专业黑客”攻击，数据遭到加密。 他补充道，“我们已成功解密这些数据，现在开始系统恢复工作。” 另据当地媒体报道，与VNDirect有关的IPA投资公司和IPAAM股票投资基金等公司也遭受了网络攻击，官方网站仍然无法访问。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/Q0iuBKDZ9D3pVgMGTFdFhA 封面来源于网络，如有侵权请联系删除