HackerNews 编译，转载请注明出处： 本周五，国际刑警组织宣布，其协助组织的7、8月打击跨国网络犯罪专项行动取得重大成果。 非洲14个国家同步收网，累计抓获260名涉嫌网恋诈骗与敲诈勒索的犯罪嫌疑人。警方核实此类诈骗累计波及超1400名受害者，总损失金额接近280万美元。 国际刑警组织拥有196个成员国，是全球规模最大、致力于打击跨国犯罪的国际警务网络。其总部位于法国里昂，主要职能包括协助各国警方开展沟通协作，在反恐、金融犯罪、儿童色情、网络犯罪、有组织犯罪等领域追踪嫌疑人和犯罪分子。近年来，国际刑警组织面临诸多新挑战，包括网络犯罪与儿童性虐待案件数量持续增加。 此次行动中，多个非洲国家的抓捕细节与作案特点被公开。 加纳：警方逮捕了 68名嫌疑人，他们涉嫌使用虚假身份诱骗受害者支付虚假的运输费用，或通过秘密录制的裸露视频进行勒索。 塞内加尔：警方逮捕了 22名嫌疑人，他们冒充社交媒体和交友平台上的名人，诈骗了 100多人，涉案金额约 3.4万美元。 科特迪瓦：警方逮捕了 24名嫌疑人，他们被指控利用虚假账号获取并用亲密影像勒索受害者。   国际刑警组织警务服务代理执行主任西里尔・古特（CyrilGout）在声明中指出：“非洲各国网络犯罪部门的报告显示，‘性勒索’、‘网恋诈骗’这类依托数字平台的犯罪，正以惊人速度增长。” 他进一步分析，随着社交软件、交友平台的普及，犯罪集团找到了新的剥削切口。利用人们对情感的需求，通过虚拟身份编织陷阱，最终造成受害者经济损失，给他们带来心理伤害，甚至引发极端事件。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非洲执法部门在国际刑警组织协调的“塞伦盖蒂行动2.0”中逮捕了1,200余名嫌疑人，该行动旨在打击跨境网络犯罪团伙。2025年6月至8月期间，执法人员查获9,740万美元资金，并捣毁11,432个恶意基础设施，这些设施针对全球87,858名受害者发动攻击。 国际刑警组织周五声明：“在这场由国际刑警协调的大规模行动中，非洲各地当局逮捕了1,209名网络罪犯，其犯罪活动涉及近88,000名受害者。”行动期间，赞比亚当局摧毁了一个造成65,000名受害者损失3亿美元的加密投资骗局，安哥拉则关闭了25个非法加密货币挖矿中心，查获价值3,700万美元的设备并逮捕60名犯罪分子。 “塞伦盖蒂行动2.0（2025年6月至8月）汇聚了来自18个非洲国家及英国的调查人员，共同打击高危害性网络犯罪，包括勒索软件、网络诈骗和商务电邮入侵(BEC)。”此次行动隶属“非洲联合反网络犯罪行动”框架，由英国外交联邦与发展事务部资助。 联合行动还利用了私营合作伙伴的数据支持，包括Cybercrime Atlas、Fortinet、Group-IB、卡巴斯基、Shadowserver基金会、Team Cymru、趋势科技、TRM Labs和乌普萨拉安全公司。这是近年来针对非洲网络犯罪集团的最新行动，此前多次联合行动已摧毁涉案金额达数百万美元的犯罪网络。 2024年11月至2025年2月开展的”红牌行动”中，306名涉嫌网络犯罪的嫌疑人被捕，其攻击波及全球5,000余名受害者。更早的2024年9月至10月，国际刑警协调的首次”塞伦盖蒂行动”逮捕了1,006名嫌疑人，该团伙涉及勒索软件、数字勒索、商务电邮入侵及网络诈骗。 国际刑警组织秘书长瓦尔代西·乌尔基扎周五强调：“每次由国际刑警协调的行动都承前启后，不断深化成员国间的合作、加强信息共享并提升调查技能。随着更多贡献和专业知识的共享，行动成果的规模和影响力持续扩大。这个全球网络比以往任何时候都更强大，正在取得实际成果并保护受害者。”       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks 旗下的研究团队 Unit 42 发现了一个针对非洲多家金融机构的新型恶意活动。 这些被追踪为 CL-CRI-1014 的攻击者，至少自 2023 年以来一直活跃地针对非洲金融行业。Unit 42 研究人员评估认为，他们扮演着初始访问经纪人（IABs）的角色，即先获取目标的初始访问权限，然后在暗网上将其出售给其他攻击者。 为了实施攻击，黑客通常利用一系列开源工具，包括攻击框架 PoshC2、隧道工具 Chisel，以及公开可用的软件如微软的 PsExec 和远程管理工具 Classroom Spy。后者替代了该组织先前活动中使用的 MeshAgent。 他们还创建隧道进行网络通信并执行远程管理操作。 Unit 42 的研究结果已在其 6 月 24 日发布的报告中分享。 攻击链解析 以下是 Unit 42 研究人员观察到的 CL-CRI-1014 最新活动中典型的攻击链步骤： 攻击者使用 PsExec 远程连接到另一台机器，将其作为代理； 在代理机器上使用 Chisel 绕过目标组织系统的防火墙保护，并连接到多台机器； 在部分机器上，攻击者使用 PsExec 投递 PoshC2 并在系统内进行侦察活动，网络流量通过 Chisel 隧道传输； 在其他机器上，攻击者使用 PsExec 运行 PowerShell 并安装 Classroom Spy。 攻击者在攻击流程中如何使用 PsExec、Chisel、PoshC2 和 Classroom Spy（如下图）。来源：Unit 42, Palo Alto Networks PoshC2 是攻击者用来执行命令并在受感染环境中建立立足点的关键工具。该框架支持生成不同类型的植入程序（PowerShell、C#.NET 和 Python），并预装了多种攻击模块。 Classroom Spy 具备一系列功能，包括： 实时监控电脑屏幕（包括截图）； 控制鼠标和键盘； 在机器间收集和部署文件； 记录访问的网页； 键盘记录； 录音； 访问摄像头； 打开终端； 收集系统信息； 监控和阻止应用程序。 最后，CL-CRI-1014 采用了多种方法来规避检测，包括使用加壳器、用窃取的签名为其工具进行签名，以及使用来自合法产品的图标。 没有证据表明该活动利用了目标组织产品或服务中的任何漏洞。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

一个被称为OPA1ER讲法语的威胁者于2018年至2022年期间针对非洲、亚洲和拉丁美洲的银行、金融服务和电信公司发起30多次成功的网络攻击。 据总部设在新加坡的网络安全公司Group-IB称，这些攻击导致了总额为1100万美元的失窃，实际损失估计高达3000万美元。 2021年和2021年的一些较近期的攻击事件，挑出了布基纳法索、贝宁、象牙海岸和塞内加尔的五家不同银行。据说，许多被确认的受害者已经被破坏了两次，他们的基础设施随后被武器化，以打击其他组织。 OPERA1ER，也被称为DESKTOP-GROUP、Common Raven和NXSMS，已知自2016年以来一直在活动，其运作目标是进行有经济动机的抢劫和渗出文件以进一步用于鱼叉式攻击。 “OPERA1ER经常在周末和公共假期运作，”Group-IB在一份与《黑客新闻》分享的报告中说，对手的 “整个武库是基于开源程序和木马，或在暗网上可以找到的免费发布的RAT。” 这包括现成的恶意软件，如Nanocore、Netwire、Agent Teslam Venom RAT、BitRAT、Metasploit和Cobalt Strike Beacon，等等。 攻击链从 “高质量的鱼叉式网络钓鱼邮件 “开始，其发票和交付主题的诱饵主要用法语编写，其次是英语。 这些邮件具有ZIP档案附件或链接到Google Drive、Discord服务器、受感染的合法网站和其他行为人控制的域，这导致了远程访问木马的部署。 在RAT执行成功后，下载并启动了Metasploit Meterpreter和Cobalt Strike Beacon等后开发框架，以建立持久的访问，收获证书，并渗出感兴趣的文件，并延长侦察期以了解后端操作。 以下事实证明了这一点：据观察，威胁者从最初入侵到进行欺诈性交易从自动取款机上取钱，需要花费3至12个月的时间。 攻击的最后阶段涉及闯入受害者的数字银行后台，使对手能够将资金从高价值账户转移到数百个流氓账户，并最终在事先雇用的运钞车网络的帮助下通过自动取款机将其兑现。 “Group-IB解释说：”在这里，攻击和盗取资金显然是可能的，因为不良行为者通过窃取不同运营商用户的登录凭证，设法积累了不同级别的系统访问权限。 在一个例子中，超过400个骡子用户账户被用来非法抽走资金，这表明 “攻击是非常复杂的，有组织的，协调的，并在很长一段时间内计划的。 与电信巨头Orange合作进行的调查发现，OPERA1ER仅依靠公开可用的恶意软件就成功完成了银行欺诈行动，这凸显了为研究组织的内部网络所做的努力。 该公司指出：”OPERA1ER的武器库中没有零日威胁，而且攻击经常使用三年前发现的漏洞的漏洞”。通过缓慢而谨慎地在目标系统中步步为营，这才使他们能够在不到三年的时间里在世界各地成功地进行了至少30次攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348839.html 封面来源于网络，如有侵权请联系删除