HackerNews 编译，转载请注明出处： 一个可能来自俄罗斯的威胁行为者被归因于针对哈萨克斯坦能源部门的新一轮攻击活动。 这一活动代号为“BarrelFire行动”，与Seqrite实验室追踪的新威胁组织Noisy Bear有关。该威胁行为者自2025年4月以来一直处于活跃状态。 “该活动针对的是KazMunaiGas（简称KMG）的员工，威胁实体发送了一份与KMG信息技术部门相关的虚假文件，模仿官方内部沟通，并利用政策更新、内部认证程序和薪资调整等主题，”安全研究员Subhajeet Singha表示。 感染链始于一封带有ZIP附件的网络钓鱼电子邮件，其中包含一个Windows快捷方式（LNK）下载器、一份与KazMunaiGas相关的诱饵文件，以及一个包含用俄语和哈萨克语书写的运行名为“KazMunayGaz_Viewer”程序的说明的README.txt文件。 据这家网络安全公司称，该电子邮件是通过一名在KazMunaiGas财务部门工作的个人的被入侵电子邮件地址发送的，并在2025年5月针对该公司其他员工。 LNK文件的有效载荷旨在投放额外的有效载荷，包括一个为名为DOWNSHELL的PowerShell加载器铺平道路的恶意批处理脚本。这些攻击最终部署了一个基于DLL的植入程序，这是一个64位二进制文件，可以运行shellcode以启动反向shell。 对Noisy Bear基础设施的进一步分析显示，其托管在俄罗斯的防弹托管（BPH）服务提供商Aeza Group上，该提供商因支持恶意活动而在2025年7月被美国制裁。 这一消息是在HarfangLab将一个与白俄罗斯有关联的威胁行为者（被称为Ghostwriter，也叫FrostyNeighbor或UNC1151）与自2025年4月以来针对乌克兰和波兰的活动联系起来之后发布的，这些活动使用恶意的ZIP和RAR档案，旨在收集有关被入侵系统的信息并部署用于进一步利用的植入程序。 “这些档案包含带有VBA宏的XLS电子表格，该宏会投放并加载一个DLL，”这家法国网络安全公司表示。“后者负责收集有关被入侵系统的信息，并从命令与控制（C2）服务器检索下一阶段恶意软件。” 该活动的后续迭代被发现会写入一个Microsoft Cabinet（CAB）文件以及LNK快捷方式，以从档案中提取并运行DLL。然后DLL会进行初步侦察，然后从外部服务器投放下一阶段恶意软件。 另一方面，针对波兰的攻击调整了攻击链，使用Slack作为信标机制和数据泄露渠道，反过来下载一个与域名pesthacks[.]icu建立联系的第二阶段有效载荷。 至少在一个案例中，通过带有宏的Excel电子表格投放的DLL被用来加载一个Cobalt Strike Beacon，以促进进一步的后期利用活动。 “这些小的变化表明UAC-0057可能正在探索替代方案，很可能是为了绕过检测，但优先考虑其行动的连续性或发展，而不是隐蔽性和复杂性，”HarfangLab表示。 这些发现正值OldGremlin在2025年上半年重新对俄罗斯公司发起勒索攻击，利用网络钓鱼电子邮件活动针对多达八家大型国内工业企业。 据卡巴斯基称，这些入侵涉及使用“自带易受攻击驱动程序”（BYOVD）技术来禁用受害者计算机上的安全解决方案，以及使用合法的Node.js解释器来执行恶意脚本。 针对俄罗斯的网络钓鱼攻击还投放了一种名为Phantom Stealer的新信息窃取器，它基于一个名为Stealerium的开源窃取器，利用与成人内容和支付相关的电子邮件诱饵收集各种敏感信息。它还与另一个名为Warp Stealer的Stealerium分支有重叠。 据F6称，Phantom Stealer还继承了Stealerium的“色情检测器”模块，当用户访问色情网站时，该模块会通过监控活动浏览器窗口以及标题是否包含色情、性等可配置术语来捕获网络摄像头截图。 “这很可能被用于‘色情勒索’，”Proofpoint在其对恶意软件的分析中表示。“虽然这一功能在网络犯罪恶意软件中并不新颖，但并不常见。” 在最近几个月，俄罗斯组织还遭受了被追踪为Cloud Atlas、PhantomCore和Scaly Wolf的黑客组织的攻击，这些组织利用VBShower、PhantomRAT和PhantomRShell等恶意软件家族来收集敏感信息并投放额外的有效载荷。 另一组活动涉及一种新的安卓恶意软件，它伪装成俄罗斯联邦安全局（FSB）创建的杀毒工具，以针对俄罗斯企业的代表。这些应用程序的名称包括SECURITY_FSB、ФСБ（俄语中的FSB）和GuardCB，后者试图冒充俄罗斯联邦中央银行。 这种恶意软件最初于2025年1月被发现，它从即时通讯和浏览器应用程序中窃取数据，从手机摄像头中获取视频流，并通过获取访问短信、位置、音频、摄像头的广泛权限来记录按键。它还要求在后台运行、设备管理员权限和无障碍服务。 “该应用程序的界面只提供一种语言——俄语，”Doctor Web表示。“因此，该恶意软件完全针对俄罗斯用户。后门还使用无障碍服务来防止自己被删除，如果它从威胁行为者那里收到相应的命令。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，RomCom RAT 背后的威胁行为体与近期传播名为 TransferLoader 的加载器的攻击团伙之间存在战术层面的高度相似性。企业安全公司 Proofpoint 将 TransferLoader 相关活动追踪至代号为 UNK_GreenSec 的团伙，而 RomCom RAT 的幕后黑手则被标记为 TA829（又称 CIGAR、Nebulous Mantis、Storm-0978 等）。 Proofpoint 在调查 TA829 时意外发现了 UNK_GreenSec，指出两者使用“异常相似的基础设施、投递手法、登录页面及邮件诱饵主题”。TA829 作为与俄罗斯有关联的混合型黑客组织，兼具间谍活动与牟利攻击能力，曾利用 Mozilla Firefox 和 Microsoft Windows 的零日漏洞传播 RomCom RAT。今年早些时候，PRODAFT 披露该组织通过防弹主机、离地攻击（LOTL）和加密 C2 通信规避检测。 TransferLoader 最初由 Zscaler ThreatLabz 在 2025 年 2 月针对某美国律所的 Morpheus 勒索软件攻击中记录。Proofpoint 发现，TA829 和 UNK_GreenSec 的钓鱼活动均依赖部署在入侵 MikroTik 路由器上的 REM Proxy 服务作为上游基础设施（入侵手段未知）。这些代理设备可能被出租用于流量中继，攻击者借此将流量转发至新注册的免费邮箱账户，再向目标发送钓鱼邮件。 邮件发件人地址格式高度相似（如 ximajazehox333@gmail.com 和 hannahsilva1978@ukr.net），表明攻击者可能使用自动化工具批量生成并投递钓鱼邮件。邮件正文或 PDF 附件中嵌入的链接通过 Rebrandly 多次跳转，最终指向伪造的 Google Drive 或 OneDrive 页面，同时过滤沙箱或低价值目标。 此时攻击链分化为两条路径： UNK_GreenSec 将受害者重定向至基础设施，最终投递 TransferLoader； TA829 则投放名为 SlipScreen 的恶意软件。 SlipScreen 作为第一阶段加载器，会检查 Windows 注册表（HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs）确认目标计算机至少有 55 个近期文档，随后解密并加载 shellcode 至内存，与远程服务器通信。后续感染链会部署 MeltingClaw（又名 DAMASCENED PEACOCK）或 RustyClaw 下载器，最终释放 ShadyHammock（用于启动 RomCom RAT 的更新版 SingleCamper/SnipBot）或 DustyHammock（具备系统侦察及从 IPFS 下载额外载荷的能力）。 TransferLoader 相关活动则伪装成招聘机会，诱导受害者点击“PDF 简历”链接，实际从 IPFS 下载 TransferLoader。其核心目标是隐蔽传播更多恶意软件，如 Metasploit 或 Morpheus 勒索软件（HellCat 勒索软件的变种）。与 TA829 不同，TransferLoader 的 JavaScript 组件会将用户重定向至同一服务器的不同 PHP 端点，以便进行服务器端过滤。UNK_GreenSec 还使用动态登录页面（通常与 OneDrive 伪造无关），最终将用户引导至存储于 IPFS 的最终载荷。 TA829 与 UNK_GreenSec 的战术重叠引发四种可能性： 两团伙从同一第三方供应商采购基础设施； TA829 自行获取基础设施并转供 UNK_GreenSec 使用； UNK_GreenSec 作为基础设施提供商，通常向 TA829 提供服务，但临时自用传播 TransferLoader； 两团伙实为同一组织，TransferLoader 是其新增武器库。 Proofpoint 指出：“当前威胁环境中，网络犯罪与间谍活动的界限持续模糊，犯罪集团与国家级攻击者的区分特征逐渐消失。活动特征、指标及行为模式的趋同使得归因和团伙划分愈发困难。尽管尚无确凿证据证明 TA829 与 UNK_GreenSec 的确切关系，但两者间存在高度关联的可能性极大。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年12月，SEQRITE检测到一个与巴基斯坦有关联的威胁行为者针对印度多个领域发起攻击，涉及铁路、石油天然气以及外交部等多个部门。此次攻击标志着该黑客组织的攻击范围已从政府、国防、海洋以及大学等领域进一步扩大。 此次攻击中使用了多种远程访问木马，包括Xeno RAT、Spark RAT以及之前未被记录的CurlBack RAT恶意软件家族。安全研究员Sathwik Ram Prakki指出：“近期攻击活动中一个显著的变化是从使用HTML应用程序（HTA）文件转变为采用微软安装程序（MSI）包作为主要的初始攻击手段。” SideCopy被认为是活跃于2019年至今的Transparent Tribe（又名APT36）的一个分支。该组织之所以得此名，是因为其模仿了另一个名为SideWinder的威胁行为者的攻击链来传递自己的恶意载荷。 2024年6月，SEQRITE曾指出SideCopy使用了经过混淆处理的HTA文件，并利用了此前在SideWinder攻击中观察到的技术。这些文件还被发现包含指向由SideWinder使用的RTF文件的URL链接。 攻击最终导致了Action RAT和ReverseRAT两种已知恶意软件家族的部署，它们均被归因于SideCopy。此外，攻击还涉及其他多种载荷，包括用于窃取文件和图片的Cheex、从连接的驱动器中抽取数据的USB复制器，以及一种基于.NET的Geta RAT，该恶意软件能够执行来自远程服务器的30条命令。 该RAT能够窃取火狐浏览器以及基于Chromium的浏览器的所有账户、配置文件和Cookie数据，这一功能是从AsyncRAT借鉴而来的。 SEQRITE当时指出：“APT36主要针对Linux系统，而SideCopy则针对Windows系统，并为其武器库增添了新的载荷。” CurlBack RAT和Spark RAT 最新发现表明，该黑客组织仍在不断发展成熟，通过电子邮件钓鱼作为恶意软件的传播载体。这些电子邮件包含各种类型的诱饵文件，从铁路工作人员的假期名单到由印度石油公司（HPCL）发布的信息安全指南等。 其中一个攻击集群特别值得关注，因为它能够同时针对Windows和Linux系统，最终导致跨平台远程访问木马Spark RAT和一种新的基于Windows的恶意软件CurlBack RAT的部署。CurlBack RAT能够收集系统信息、从宿主下载文件、执行任意命令、提升权限以及列出用户账户。 另一个攻击集群被观察到使用诱饵文件作为启动多步骤感染过程的一种方式，该过程会投放一个定制版本的Xeno RAT，该软件采用了基本的字符串操作方法。 该公司指出：“该组织已从使用HTA文件转变为使用MSI包作为主要的初始攻击手段，并继续采用诸如DLL侧加载、反射加载以及通过PowerShell进行AES解密等高级技术。” “此外，他们还利用定制化的开源工具，如Xeno RAT和Spark RAT，并部署了新发现的CurlBack RAT。被入侵的域名和虚假网站被用于凭证钓鱼和载荷托管，凸显了该组织持续增强持久性和规避检测的努力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Cyble 暗网研究人员记录了一个与俄罗斯有关的新威胁组织，该组织一直在破坏关键基础设施环境并篡改系统控制。 Z-Pentest 组织成立仅两个月，但已声称对至少 10 起运营技术 (OT) 系统进行了黑客攻击，其中包括最近未经证实的事件，威胁组织声称破坏了美国油井系统。 Cyble博客文章还研究了俄罗斯老牌威胁组织“人民网络军”（也称为“俄罗斯重生网络军”）的活动，该组织除了声称今年还至少八次入侵了美国水利系统。 这些黑客组织经常以支持乌克兰作为对美国和其他国家发动网络攻击的理由，其中包括加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰。 这两个俄罗斯组织都喜欢制造戏剧效果。例如，俄罗斯网络军发布了 8 月底和 9 月德克萨斯州和特拉华州供水系统遭破坏后，其成员篡改操作控制的屏幕录像（以下为德克萨斯州视频截图）。 德克萨斯州斯坦顿供水系统遭黑客攻击 今年 1 月，人民网络军发动攻击，导致德克萨斯州阿伯纳西和穆尔舒的蓄水箱溢出，成为头条新闻。 即使在通常不安全的关键基础设施领域中，供水和污水处理系统也被认为特别脆弱。 Z-Pentest 可能是新出现的威胁组织，10 月份才首次亮相，但在这个塞尔维亚威胁组织运作的两个月内，它已经声称至少 10 次破坏，并且在每次事件中都发布了成员篡改系统设置的视频。 根据 Cyble 的报告，在过去一周内，Z-Pentest 的活动不断升级，包括“破坏油井现场的关键系统，包括负责抽水、石油气燃烧和石油收集的系统”。 一段时长 6 分钟的屏幕录像详细记录了该设施控制系统的视图，显示“据称在攻击活动期间访问和更改了油箱设定点、蒸汽回收指标和操作仪表板”。 目前还不清楚该石油设施位于何处，但该组织提出的另外两处美国石油设施主张似乎与已知的地点和公司相符。 黑客能够对关键基础设施造成多大的破坏？ 虽然黑客似乎能够访问敏感环境，但 Cyble 指出，目前尚不清楚他们能造成多大的破坏。研究人员表示，可编程逻辑控制器 (PLC)“通常包含可以防止破坏性行为发生的安全功能，但威胁组织可以访问此类环境这一事实仍然令人担忧”。 Cyble 还指出，近几个月来针对能源行业的威胁活动普遍增加。初始网络访问权限和零日漏洞在暗网市场上出售。Cyble 还指出，“在发生更大规模的入侵和攻击之前，暗网上就有能源网络访问凭证出售，这表明监控凭证泄露可能是防止日后发生更大规模入侵的重要防御措施。” Cyble 表示，“应该认真对待 Z-Pentest，因为该组织已展现出渗透这些环境、访问和修改操作控制面板的明显能力。” 研究人员还针对运营技术和关键基础设施环境提出了安全建议，指出它们通常无法承受停机，并且通常拥有无法修补的报废设备。 技术报告：https://cyble.com/blog/russian-hacktivists-target-energy-and-water-infrastructure/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/O1b9dZPahwn4ivsZz7ug9A 封面来源于网络，如有侵权请联系删除

ThreatBook研究与响应团队揭露了APT35的复杂网络攻击活动。活动针对美国、泰国、阿联酋等多个国家的航空航天和半导体行业。 APT35也称为Magic Hound或Charming Kitten，这个由伊朗支持、与伊斯兰革命卫队（IRGC）有关联的组织，自2014年以来就有着一系列高调的网络攻击历史。 在其一个活动中，APT35推出一个虚假招聘网站，针对泰国航空航天领域的无人机设计专家。网站发布高薪职位，增加了骗局的合法性。 根据ThreatBook的说法，攻击者在他们的“授权访问”服务中混合了合法程序和恶意模块，“该网站提供的授权访问程序混合了两个白色和黑色的恶意样本，其中SignedConnection.exe是合法的OneDrive程序，secur32.dll，Qt5Core.dll分别是第一阶段和第二阶段的恶意程序。” 用C#编写的恶意模块secur32.dll，悄无声息地加载了恶意软件的后续阶段，采用了字符串重构等混淆技术来逃避检测。 APT35的方法包括通过重命名文件和注册表键操作来部署复杂的多阶段有效载荷，以实现持久性。该组织还利用Google Cloud、GitHub和OneDrive等合法平台进行命令与控制（C&C）通信。 “通过对相关样本、IP和域名的分析，提取了多个相关的IOC，用于威胁情报检测。”ThreatBook报告称。 恶意软件还利用GitHub存储库和预配置的备份C&C域名，以确保在主要地址被封锁时保持连通性。这种适应性表明APT35致力于保持运营的弹性。 另一个值得注意的策略是针对半导体公司的假冒VPN程序。VPN安装程序被设置为加载一个名为msvcp.dll的恶意DLL模块，该模块充当下载器，攻击者能够从合法云平台上的C&C服务器获取额外的有效载荷。 “利用VPN访问程序加载恶意DLL模块msvcp.dll，它与Qt5Core.dll是同类型的下载器。”ThreatBook指出。 APT35的行动展示了其利用知名品牌和工具（如OneDrive和GitHub）的信任，渗透到高价值行业的能力。该组织广泛使用社会工程学策略，加上技术复杂性，这凸显了处理敏感技术的行业需要提高警惕。       转自E安全，原文链接：https://mp.weixin.qq.com/s/RX8gQ8UqXv_lTZTcskX69g 封面来源于网络，如有侵权请联系删除

一个俄罗斯黑客组织Romcom利用两个此前未知的漏洞攻击 Windows PC 上的 Firefox 和 Tor 浏览器用户。 防病毒提供商 ESET 将该攻击描述为潜在的“大规模活动”，其目标是欧洲和北美的用户。 俄罗斯黑客通过一个恶意网页传播黑客攻击，这些网页似乎伪装成虚假新闻机构。如果易受攻击的浏览器访问该页面，它可以秘密触发软件漏洞，在受害者的电脑上安装后门。 ESET 警告称，用户无需与该网页进行任何交互。 目前尚不清楚黑客如何传播恶意网页链接。但第一个漏洞（称为CVE-2024-9680）可导致 Firefox 和 Tor 浏览器在正常受限制的进程中运行恶意代码。 黑客利用 Windows 10 和 11 中的第二个漏洞（称为CVE-2024-49039）发动攻击，以便在浏览器之外和操作系统上执行更多恶意代码。秘密下载并安装一个能够监视 PC 的后门，包括收集文件、截屏以及窃取浏览器 cookie 和保存的密码。   Mozilla、Tor 和 Microsoft 都已修补了漏洞。Tor 浏览器基于 Firefox。Mozilla 于 10 月 8 日私下报告了此问题，这两款浏览器都在第二天修补了此漏洞。与此同时，Microsoft于 11 月 12 日修补了另一个漏洞。 如果用户未能及时打补丁，黑客仍可继续利用该攻击。ESET 提供的遥测数据显示，某些国家可能有多达 250 名用户遭遇过该攻击，攻击始于 10 月，甚至可能更早。 ESET将这些攻击与一个名为“RomCom”的俄罗斯黑客组织联系起来，该组织一直专注于网络犯罪和间谍活动。 ESET追踪了该组织一系列的攻击活动： 将两个0day漏洞串联起来，RomCom 便可以利用无需用户交互的漏洞进行攻击。这种复杂程度表明威胁组织有意愿并有手段获得或开发隐身能力。 详细技术报告： https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/ Mzoilla官方漏洞公告： https://blog.mozilla.org/security/2024/10/11/behind-the-scenes-fixing-an-in-the-wild-firefox-exploit/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kutWJlxhfVnDaq3Qtd_QGw 封面来源于网络，如有侵权请联系删除

臭名昭著的朝鲜网络间谍组织 “拉扎罗斯集团”（Lazarus Group）的武器库中又多了一项隐蔽技术：在基于 Unix 的系统（如 macOS 和 Linux）中滥用 xattr（即扩展文件属性）。根据安全研究员 Tonmoy Jitu 的分析，这种被称为 RustyAttr 的方法利用 macOS 元数据隐藏恶意有效载荷，躲避传统检测工具和杀毒软件的攻击。 xattr 命令通常用于存储 Finder 标记或隔离标志等元数据，它还可以在不改变文件可见内容的情况下将二进制数据嵌入文件。虽然对合法目的有用，但它也为攻击者提供了隐藏恶意脚本的途径。正如 Jitu 解释的那样： “xattr 与 Windows 备用数据流（ADS）非常相似，它提供了一种在不改变文件可见内容的情况下将元数据嵌入文件的机制。” 据报道，由 Lazarus Group 开发的 RustyAttr 木马利用这种元数据在被入侵系统中持续存在。由于嵌入了扩展属性，它的恶意有效载荷可以绕过 macOS Gatekeeper 等传统文件扫描工具。Jitu 的分析强调了该木马的能力： “RustyAttr木马能够绕过文件系统的传统监控工具，直接从扩展属性中获取并执行恶意脚本。” Jitu 对恶意文件 DD Form Questionnaire.zip 的调查揭示了 RustyAttr 的感染链。该木马隐藏在与应用程序文件（如 .app 捆绑程序）链接的元数据中。一个突出的发现是测试属性，它包含一个恶意 shell 命令，用于下载和执行其他有效载荷。 该过程包括： 在元数据中嵌入命令： 恶意 shell 命令存储在 com.example.hidden_data 等属性中。 执行隐藏有效载荷： 这些命令会下载诱饵文件（如 PDF），并通过 AppleScript 执行 shell 脚本。该命令将 PDF 文件下载到特定位置……然后从 URL 获取 shell 脚本并通过 AppleScript 执行。 通过泄漏的证书持久化： 该木马最初使用泄露的证书签名，可绕过安全检查，直到证书被吊销。 与 RustyAttr 相关联的恶意基础架构进一步将其与 Lazarus Group 联系起来。Jitu 指出 “恶意 curl 命令中使用的域被标记为恶意域……与已知威胁行为者基础设施相关的 IP 地址相连。” 此外，该组织还采用了社会工程学策略，将 RustyAttr 伪装成合法的 PDF 文件或系统实用程序，诱骗用户执行。 尽管功能强大，但 RustyAttr 的技术仍未列入 MITRE ATT&CK Framework，这让防御者对这种微妙的攻击毫无准备。吉图强调了其中的风险： “通过将关键数据和有效载荷隐藏在文件元数据中，RustyAttr 可以躲避检测……允许攻击者长时间保持对被入侵系统的控制。”       转自安全客，原文链接：https://www.anquanke.com/post/id/302179 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个前所未知的黑客组织，被称为 GambleForce，瞄准了亚太地区的公司，其中针对中国的攻击目标有 4 个。 从2023年9月开始，一个名为 GambleForce 的黑客组织针对亚太地区的公司发起了一系列 SQL 注入攻击。 总部位于新加坡的 Group-IB 在报告中表示：“GambleForce 使用了一套很基础但非常有效的技术，包括 SQL 注入和利用易受攻击的网站内容管理系统(CMS)来窃取敏感信息，比如用户凭证。” 据估计，该组织的目标是澳大利亚、巴西、中国、印度、印度尼西亚、菲律宾、韩国和泰国的赌博、政府、零售和旅游行业的24家组织。其中6次攻击成功。 GambleForce 的攻击地图，对中国有4个目标 GambleForce 的操作方式完全依赖开源工具，如 dirsearch、sqlmap、tinyproxy 和 redis-rogue-getshell，最终目标是从攻击的网络中窃取敏感信息。 黑客还使用了 Cobalt Strike，在其攻击基础设施中发现的工具版本还使用了中文命令，但该组织的起源还不清楚。 Group-IB 分析该组织使用的工具 攻击链包括通过利用 SQL注入 以及利用 CVE-2023-23752 (Joomla CMS的一个中等严重漏洞)来滥用受害者面向公众的应用程序，以未授权访问一个巴西的公司。 目前尚不清楚 GambleForce 如何利用被盗信息。网络安全公司 Group-IB 表示，他们还关闭了对手的 C2 服务器，并通知了已识别的受害者。该公司高级威胁分析师 Nikita Rostovcev 表示：“网络注入是最古老、最流行的攻击方式之一。”原因是有时候开发者忽视了输入安全性和数据验证的重要性。不安全的编码实践、不正确的数据库设置和过时的软件，都为 web 应用程序的 SQL 注入攻击创造了丰富的环境。”         Hackernews 编译，转载请注明出处 消息来源：TheHackerNews，译者：Serene

Hackernews 编译，转载请注明出处： 由国家资助的朝鲜黑客 Andariel 从韩国公司窃取了超过 1.2TB 的国防技术相关文件，并勒索了 35.6 万美元的赎金。 首尔警察厅发布的一份声明称，来自平壤的网络攻击者成功地从韩国的十几家公司窃取了大约 250 份与国防技术相关的文件，其中包括防空激光武器。一些受害者没有意识到这一漏洞，而另一些人则试图隐瞒这一漏洞。 韩国警方与联邦调查局(FBI)合作，揭露了 Andariel 的黑客行为。在调查过程中，办案人员追踪到了赎金通过洗钱流入朝鲜。 黑客从三名受害者那里勒索了价值约 4.7 亿韩元(约合 35.6 万美元)的比特币，以换取系统的恢复。在把钱转移到朝鲜之前，Andariel 黑客利用海外加密货币交易所和一位 A 女士的银行账户洗钱。超过四分之一的被盗比特币被送到了靠近朝鲜边境的一家银行。 韩国警方没收了 Andariel 在韩国使用的服务器，并搜查了嫌疑人的住所和设备。A女士是香港一家货币交易所的前雇员，她否认参与洗钱活动，称她提供账户只是“为了方便”。 朝鲜黑客利用一个本地 IP 地址进行攻击，导致一家国内服务器租赁公司向身份不明的客户提供服务。这使得在2022年12月至2023年3月期间，黑客使用该服务器至少83次得以躲避检测。 警方在查获服务器后，确认了国防企业、金融企业、研究机构、制药企业等被黑客攻击的事实，其中约 1.2TB 的文件被盗，其中可能包含重要的技术和资料，包括证书。 警方的报告中写道：“一些公司没有意识到损失，一些公司由于担心企业信任度下降而没有向警方报告损失。” 据《韩国时报》报道，一些被盗的关键数据包括防空激光技术。 Andariel 被认为是朝鲜最臭名昭著的网络犯罪组织 Lazarus 的一个分支。Andariel 至少从2009年开始活跃，主要针对韩国政府机构、军事组织和各种公司进行破坏性攻击。Andariel 参与了针对银行和加密货币交易所的网络金融行动。该团伙由朝鲜的主要情报机构侦察总局控制。 网络新闻已经报道，朝鲜支持的黑客在六年内窃取了 30 亿美元的加密货币。加密货币盗窃和赎金一直是该政权的主要收入来源，特别是为军事和武器计划提供资金。 美国联邦调查局今年早些时候表示，朝鲜据称拥有 6000 名黑客，并利用他们获取经济利益和情报。     Hackernews 编译，转载请注明出处 消息来源：cybernews，译者：Serene

Hackernews 编译，转载请注明出处： 亲俄黑客组织Killnet本周受到越来越严格的审查，此前一家新闻网站似乎披露了该组织领导人的身份。 他在网上被称为基尔米尔克(Killmilk)，在俄乌战争期间，他因代表一群出于政治动机的黑客而出名。据俄媒体 Gazeta.ru 周二发布的一篇报道，他实际上是一名30岁的俄罗斯公民，名叫尼古拉·塞拉菲莫夫(Nikolai Serafimov)。 根据 Gazeta.ru 从其他黑客活动人士和执法机构的消息来源获得的数据，塞拉菲莫夫已婚，拥有保时捷和宝马汽车，之前曾因分销毒品而被定罪。 截至周三，Killmilk 和 Killnet 都没有对这则新闻报道发表公开评论。 Gazeta.ru 没有解释是什么引发了报道，基尔米尔克一度要求 Gazeta.ru 披露是谁泄露了这些信息，但该新闻网站表示拒绝。据 Gazeta.ru 报道，这名黑客随后终止了通信并删除了聊天记录。 Killnet 声称对针对西方国家医疗机构以及美国和欧洲政府机构网站的DDoS攻击负责。 网络安全公司 Radware 的网络威胁情报主管帕斯卡尔·吉宁斯(Pascal Geenens)表示，新闻报道中描述的此人的形象——“具有说服能力和良好的社会工程技能，能够围绕自己建立一个品牌，攻击能力技术含量较低”——与他对基尔米尔克的看法一致，他说：“基尔米尔克的身份暴露后，他将无法继续经营下去。” 在周二的新闻发布之前，Killnet 的行动最近似乎就处于一个十字路口。研究人员说，在去年发起了几次活动后，该组织在过去几个月的活动有所减少，这可能是内部分裂的信号。 反 Killmilk 联盟 据Gazeta.ru报道，十多名黑客和黑客激进分子公开反对Killnet及其领导人。据研究人员称，尽管把自己定位为一个有影响力的爱国英雄，但基尔米尔克原来是一个普通的黑客，在同行中名声不佳。 研究人员说，基尔米尔克经常把其他黑客组织的行动归功于自己，或者对从未发生过的网络攻击撒谎。据俄罗斯黑客活动人士称，他还欠别人钱，欺骗自己的客户，很少兑现自己的承诺。 起初，这种古怪行为帮助基尔米尔克吸引了俄罗斯的支持者。基尔米尔克的前同事告诉 Gazeta.ru，他是“一个优秀的品牌创造者——他知道如何创造信息产品并销售它们。”然而，一些俄罗斯黑客声称他的行为“对整个俄罗斯黑客主义社区有害”。 “很多人都受够了基尔米尔克。在幕后，相当一部分亲俄组织反对他，”亲俄组织NET-WORKER 的一名黑客活动人士告诉 Gazeta.ru。 很长一段时间以来，俄罗斯黑客都不敢与基尔米尔克对抗，因为他以泄露对手的真实姓名而闻名。例如，他对“Anonymous Russia”组织的头目进行了人肉搜索——一名18岁的白俄罗斯公民，绰号“Raty”，在今年早些时候于白俄罗斯被捕。 研究人员说，如果 Killmilk 的身份被正式暴露，Killnet 可能很快就需要一个新的领导人。在这种情况下，地下黑客组织有时会消失，成员会在其他地方重新出现。 吉宁斯说道:“Killnet 与 Killmilk 的理念和声音有着紧密的联系。“这可能意味着一个时代和最具影响力的亲俄黑客组织的终结。但是，每当出现空白时，这个空白很快就会被另一个人或组织填补。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene