HackerNews 编译，转载请注明出处： Transparent Tribe的威胁行为体近期发起了一系列新的攻击，针对印度政府、学术和战略实体部署远程访问木马，以获取对受感染主机的持久控制权。 网络安全公司CYFIRMA在一份技术报告中表示：“该攻击活动采用欺骗性投递技术，包括一个伪装成合法PDF文档的武器化Windows快捷方式文件，其中嵌入了完整的PDF内容以规避用户怀疑。” Transparent Tribe是一个已知对印度组织实施网络间谍活动的黑客组织。据评估，这个具有国家背景的对手源自巴基斯坦，至少自2013年以来一直活跃。 该威胁行为体拥有不断演进的RAT武器库以实现其目标。Transparent Tribe近年来使用的木马包括CapraRAT、Crimson RAT、ElizaRAT和DeskRAT。 最近的攻击始于一封鱼叉式钓鱼邮件，内含一个包含伪装成PDF的LNK文件的ZIP压缩包。打开该文件会触发使用”mshta.exe”执行远程HTML应用程序（HTA）脚本，该脚本会解密并将最终的RAT载荷直接加载到内存中。同时，HTA会下载并打开一个诱饵PDF文档，以免引起用户怀疑。 CYFIRMA指出：“建立解码逻辑后，HTA利用ActiveX对象与Windows环境交互。这种行为展示了环境分析和运行时操纵，确保了与目标系统的兼容性，并提高了执行可靠性——这些是滥用’mshta.exe’的恶意软件中常见的技术。” 该恶意软件的一个显著特点是能够根据受感染机器上安装的防病毒软件调整其持久化方法： 如果检测到卡巴斯基（Kapsersky），它会在”C:\Users\Public\core”下创建工作目录，将经过混淆的HTA有效载荷写入磁盘，并通过在Windows启动文件夹中投放一个LNK文件来建立持久性，该LNK文件进而使用”mshta.exe”启动HTA脚本。 如果检测到Quick Heal，它通过创建批处理文件和恶意LNK文件在Windows启动文件夹中建立持久性，将HTA有效载荷写入磁盘，然后使用批处理脚本调用它。 如果检测到Avast、AVG或Avira，它通过直接将有效载荷复制到启动目录并执行来工作。 如果未检测到可识别的防病毒解决方案，则回退到结合使用批处理文件执行、基于注册表的持久化以及载荷部署，然后再启动批处理脚本。 第二个HTA文件包含一个名为”iinneldc.dll”的DLL，该DLL充当功能齐全的RAT，支持远程系统控制、文件管理、数据窃取、屏幕截图捕获、剪贴板操纵和进程控制。 该网络安全公司表示：“Transparent Tribe仍然是一个高度持久且战略驱动的网络间谍威胁，持续专注于针对印度政府实体、教育机构和其他具有战略意义的部门进行情报收集。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 Albiriox 的新型 Android 恶意软件以 “恶意软件即服务”（MaaS）模式对外推广，提供 “全功能” 套件，可协助实施设备端欺诈（ODF）、屏幕操控及与受感染设备的实时交互。 该恶意软件内置一份硬编码目标列表，涵盖 400 余款应用，涉及银行、金融科技、支付处理商、加密货币交易所、数字钱包及交易平台等多个领域。 Cleafy 公司研究人员费德里科・瓦伦蒂尼、亚历山德罗・斯特里诺、詹卢卡・斯科蒂及西蒙娜・马蒂亚表示：“该恶意软件通过社会工程学诱饵分发投放器应用，并结合加壳技术规避静态检测，最终交付恶意负载。” 据悉，Albiriox 于 2025 年 9 月末首次以 “限量招募测试” 形式宣传，一个月后正式转为 MaaS 服务模式。从黑客在网络犯罪论坛的活动轨迹、语言特征及所使用的基础设施来看，相关威胁行为者疑似俄语使用者。 潜在客户可获取一款定制化生成器，开发者称其已与名为 Golden Crypt 的第三方加密服务集成，能够绕过杀毒软件及移动安全解决方案的检测。 攻击的核心目标是夺取移动设备控制权并实施欺诈行为，且全程保持隐蔽性。至少有一起初始攻击活动明确针对奥地利用户 —— 威胁行为者通过德语诱饵及含短链接的短信，诱导收件人访问仿冒谷歌应用商店的虚假页面，此类页面伪装成 “PENNY 优惠与优惠券”等合法应用的下载界面。 毫无防备的用户点击仿冒页面上的 “安装” 按钮后，设备会被植入投放器 APK。应用安装并启动后，会以 “软件更新” 为幌子，诱导用户授予其应用安装权限，进而部署主恶意程序。 核心技术特性与攻击手段 Albiriox 通过未加密的 TCP 套接字连接实现命令与控制（C2），威胁行为者可借助该通道下发各类指令：利用虚拟网络计算远程控制设备、提取敏感信息、显示黑屏 / 空白屏幕，以及调节音量以保障操作隐蔽性。 该恶意软件还内置基于 VNC 的远程访问模块，支持威胁行为者与受感染手机进行远程交互。其中一个版本的 VNC 交互机制利用 Android 辅助功能，可捕获设备屏幕上所有用户界面元素及辅助功能组件。 研究人员解释道：“这种基于辅助功能的流传输机制专为绕过 Android 系统的 FLAG_SECURE 保护机制而设计。当前许多银行及加密货币应用启用该标志后，会阻止屏幕录制、截图及画面捕获，而借助辅助功能，恶意软件可获取完整的界面节点级视图，且不会触发直接屏幕捕获技术常见的各类保护机制。” 与其他 Android 银行木马类似，Albiriox 支持对硬编码目标列表中的应用实施覆盖层攻击（Overlay Attack），以窃取登录凭证。此外，它还能生成伪装成系统更新或黑屏的覆盖层，使恶意活动在后台秘密进行而不被察觉。 Cleafy 研究团队还发现一种略有差异的分发方式：用户被重定向至伪装成 PENNY 品牌的虚假网站，诱导其输入手机号码以通过 WhatsApp 接收直接下载链接。目前该页面仅接受奥地利手机号码，用户输入的号码会被窃取至某 Telegram 机器人。 Cleafy 指出：“Albiriox 具备现代设备端欺诈恶意软件的所有核心特征，包括基于 VNC 的远程控制、辅助功能驱动的自动化操作、定向覆盖层攻击及动态凭证窃取。这些能力使攻击者能够直接在受害者的合法会话中操作，从而绕过传统身份验证及欺诈检测机制。” 同期其他 Android 恶意软件威胁 与 Albiriox 披露同期，另一款代号为 RadzaRat 的 Android MaaS 工具浮出水面。该工具伪装成合法文件管理应用，安装后却会释放广泛的监控及远程控制功能。这款远程访问木马（RAT）于 2025 年 11 月 8 日首次在地下网络犯罪论坛宣传。 Certo 公司研究人员索菲亚・泰勒表示：“该恶意软件的开发者以‘Heron44’为化名，将其定位为‘易于部署和操作’的远程访问解决方案，使用者无需具备深厚技术知识。这种分发策略反映出网络犯罪工具正朝着‘大众化’方向发展，令人担忧。” RadzaRat 的核心功能是远程操控文件系统访问与管理，黑客可通过它浏览目录、搜索特定文件及从受感染设备下载数据。此外，它还滥用 Android 辅助功能记录用户按键，并通过 Telegram 实现命令与控制。 为实现持久化驻留，该恶意软件利用 RECEIVE_BOOT_COMPLETED 和 RECEIVE_LOCKED_BOOT_COMPLETED 权限，搭配专用的 BootReceiver 组件，确保设备重启后自动启动；同时申请 REQUEST_IGNORE_BATTERY_OPTIMIZATIONS 权限，规避 Android 系统的电池优化机制（该机制可能限制其后台活动）。 Certo 评价道：“它伪装成实用的文件管理器，同时具备强大的监控和数据窃取能力，对个人用户及企业组织均构成重大威胁。” 此外，研究人员还发现伪装成 “GPT Trade” 应用的虚假谷歌应用商店落地页，正在分发 BTMOB Android 恶意软件及名为 UASecurity Miner 的持久化模块。BTMOB 最早由 Cyble 公司于 2025 年 2 月披露，其特点是滥用辅助功能解锁设备、记录按键、通过注入自动化窃取凭证及启用远程控制。 另一个复杂的 Android 恶意软件分发网络则以成人内容为社会工程学诱饵，分发经过高度混淆的恶意 APK 文件。该文件会申请钓鱼覆盖层、屏幕捕获、安装其他恶意软件及操控文件系统等敏感权限。 帕洛阿尔托网络公司 Unit 42 团队表示：“该分发网络采用弹性化的多阶段架构，前端诱饵网站运用商业级混淆与加密技术，隐藏并动态连接至独立的后端基础设施。前端网站通过虚假加载提示及一系列检测机制（包括测试图片加载时长检测），规避安全工具的检测与分析。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 不法分子正将目标日益聚焦于货运与物流公司，试图通过植入远程监控管理（RMM）软件非法牟利，最终实现货物盗窃。 据 安全公司Proofpoint调查，该威胁团伙至少自 2025 年 6 月起开始活跃。他们与有组织犯罪集团合作，入侵陆路运输行业相关机构，核心目标是窃取实体货物。在这类 “网络赋能型盗窃” 中，食品饮料类商品是最主要的被盗对象。 研究人员奥莱・维拉德森与塞莱娜・拉森在一份提交给The Hacker News的报告中表示：“被盗货物很可能通过网络销售或运至海外。在已观测到的攻击活动中，攻击者会先入侵企业，再利用非法获取的权限竞标真实货运订单，最终完成盗窃。” 与历史攻击的关联与差异 此次攻击活动与 2024 年 9 月披露的一系列攻击存在相似性 —— 当时攻击者针对北美运输物流公司，使用 Lumma Stealer、StealC、NetSupport RAT 等信息窃取工具与远程访问木马（RAT）实施入侵。但目前尚无证据表明两类攻击出自同一威胁团伙。 在 Proofpoint 此次监测到的入侵浪潮中，身份不明的攻击者采用了多种攻击手段： 劫持已泄露的电子邮件账户，接管现有对话； 向资产型承运人、货运经纪公司及综合供应链服务商发送钓鱼邮件； 利用被入侵的账户在货运信息平台（load boards）发布虚假货运信息。 报告指出：“攻击者通过被盗账户在货运平台发布虚假订单，再向咨询这些订单的承运人发送含恶意链接的邮件。这种手段利用了货运谈判中固有的信任关系与时效性压力。” 攻击实施流程与工具滥用 毫不意外，邮件中的恶意链接会指向带有陷阱的 MSI 安装程序或可执行文件（EXE），这些文件会部署 ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able、LogMeIn Resolve 等合法 RMM 工具。在部分案例中，攻击者会组合使用多款工具，例如通过 PDQ Connect 投放并安装 ScreenConnect 与 SimpleHelp。 一旦获取远程访问权限，攻击者会先开展系统与网络侦察，随后植入 WebBrowserPassView 等凭证窃取工具，获取更多账号密码，进一步渗透企业内网。 在至少一起案例中，攻击者还滥用获取的权限：删除现有货运订单、屏蔽调度员通知；将自己的设备添加到调度员电话分机；以被入侵承运人的名义预订货运订单，并协调运输流程。 RMM 工具被滥用的核心原因 使用 RMM 软件对攻击者而言有多重优势： 无需自行开发定制恶意软件，降低技术门槛； 这类工具在企业环境中广泛应用，可帮助攻击者 “隐身”，通常不会被安全解决方案标记为恶意程序。 Proofpoint 早在 2025 年 3 月就曾指出：“攻击者创建并传播受控的远程监控工具相当容易。由于这些工具常被用作合法软件，终端用户对安装 RMM 工具的警惕性，往往低于对其他远程访问木马的警惕性。此外，这类工具的安装程序通常带有数字签名，属于合法载荷，因此可能避开杀毒软件或网络检测。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文