HackerNews 编译，转载请注明出处： 俄罗斯国家支持的黑客组织近日被指参与了一系列新的凭证窃取攻击，目标包括土耳其一家能源与核研究机构的相关人员，以及一家欧洲智库、北马其顿和乌兹别克斯坦相关组织的员工。 Recorded Future旗下的Insikt Group表示：”攻击中使用了土耳其语及针对特定地区的诱饵材料，这表明BlueDelta（即APT28）通过定制内容来提升其对特定专业和地理目标群体的可信度。这些目标选择反映出该组织持续对能源研究、国防合作以及与俄罗斯情报重点相关的政府通信网络保持兴趣。” 网络安全公司将攻击描述为：在2025年2月和9月，针对一小部分特定受害者发起攻击。该行动利用仿冒Microsoft Outlook Web Access（OWA）、Google和Sophos VPN门户等流行服务的虚假登录页面。该攻击的特别之处在于：受害者在虚假登录页输入凭证后，会被重定向至合法网站，从而避免引起任何警觉。攻击活动还被发现大量使用Webhook[.]site、InfinityFree、Byet Internet Services和ngrok等服务来托管钓鱼页面、窃取数据并实现重定向。 为增加可信度，攻击者据称使用了合法的PDF诱饵文件，包括一份海湾研究中心发布的与2025年6月伊朗-以色列战争相关的出版物，以及一份由气候变化智库ECCO于2025年7月发布的呼吁达成新地中海协议的简报。 攻击链始于包含短链接的钓鱼邮件。点击后，受害者会被重定向至托管在webhook[.]site上的另一个链接，该链接会短暂显示诱饵文档约两秒，然后重定向至第二个托管着仿冒Microsoft OWA登录页面的webhook[.]site链接。该页面包含一个隐藏的HTML表单元素，用于存储webhook[.]site URL，并利用JavaScript发送”页面已打开”信号、将提交的凭证传输到webhook端点，最终重定向回托管在真实网站上的PDF文档。 此外，还观察到APT28发起的另外三起攻击活动： 2025年6月活动：部署模仿Sophos VPN密码重置页面的凭证窃取页面，利用InfinityFree提供的基础设施窃取表单中输入的用户凭证，并将受害者重定向至一家未具名的欧盟智库的合法Sophos VPN门户。 2025年9月活动：使用托管在InfinityFree域名上的凭证窃取页面，虚假警告用户密码已过期，诱骗其输入凭证，并重定向至与北马其顿共和国某军事组织和乌兹别克斯坦某IT集成商相关的合法登录页面。 2025年4月活动：使用托管在Byet Internet Services上的虚假Google密码重置页面收集受害者凭证，并将其窃取至一个ngrok URL。 报告总结道：”BlueDelta持续滥用合法的互联网服务基础设施，表明该组织仍然依赖一次性服务来托管和传输凭证数据。这些攻击活动凸显了GRU（俄罗斯联邦武装部队总参谋部情报总局）将持续的凭证窃取作为一种低成本、高收益的信息收集方法，以支持俄罗斯的情报目标。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西班牙网络安全供应商S2 Grupo的研究人员发现了一种新的Outlook后门，该后门能使威胁行为窃取数据、上传文件并在受害者计算机上执行命令。 S2 Grupo的威胁情报实验室LAB52在9月3日发布的一份报告中分享了这一发现。 威胁分析人员因其代码中使用了“Nothing”一词，将该后门命名为“NotDoor”。他们将其归因于受俄罗斯支持的网络威胁组织APT28。 NotDoor：基于VBA的复杂Outlook恶意软件 NotDoor后门是一种基于Visual Basic for Applications（VBA）的复杂恶意软件，针对Microsoft Outlook，旨在监控传入电子邮件中的特定触发词并执行恶意命令。 VBA是微软的嵌入式脚本语言，用于在Office应用程序（如Excel、Word和Outlook）中自动执行任务。虽然合法用户使用VBA来提高工作效率，但威胁行为者利用它在宏中嵌入恶意代码，这些代码在打开文档或电子邮件时执行。 NotDoor滥用Outlook的事件驱动VBA触发器（例如Application_MAPILogonComplete（启动时）和Application_NewMailEx（收到新邮件时））来激活其有效负载。 该恶意软件的代码经过混淆处理，具有随机化的变量名和自定义的字符串编码技术，该技术会在Base64数据后附加垃圾字符，以模仿加密来阻碍分析。 NotDoor伪装在合法的Outlook宏中，使攻击者能够窃取数据、上传文件并在受感染的系统上运行任意命令。 值得注意的是，该恶意软件通过签名的微软二进制文件（OneDrive.exe）进行DLL侧加载，该文件会加载恶意的DLL（SSPICLI.dll）以部署后门，同时规避检测。 通过修改Outlook的注册表设置来禁用安全警告、在启动时启用宏并抑制对话框提示，确保持久化并实现静默运行。 该后门通过将受害者数据外泄到攻击者控制的邮箱（a.matti444@proton[.]me）并通过对webhook.site的DNS和HTTP回调验证执行，从而建立隐蔽通信。 感染后，它会创建一个隐藏目录（%TEMP%\Temp）来存储文件，这些文件会自动通过电子邮件发送给攻击者并被删除。 当收到包含预定义字符串（例如“Daily Report”）的电子邮件触发时，NotDoor会解析嵌入在邮件正文中的加密命令，支持每条邮件包含多个指令，例如文件窃取、命令执行或额外有效负载下载。 该恶意软件的模块化设计允许攻击者动态更新触发器和命令，使得检测和缓解具有挑战性。 通过滥用Outlook的原生VBA功能，该恶意软件具有持久性和隐蔽性，使其成为间谍活动或针对性攻击的有效工具。 LAB52的研究人员建议组织默认禁用宏，监控异常的Outlook活动，并检查基于电子邮件的触发器以防御此类威胁。 APT28：一个不断演变的威胁组织 APT28是一个以其破坏性攻击而臭名昭著的网络威胁组织。它还有许多别名，包括Fancy Bear、Fighting Ursa、Forest Blizzard、Pawn Storm、Strontium、Sednit、Sofacy和Tsar Team。APT28至少自2014年以来一直活跃，被归因于俄罗斯总参谋部情报总局（GRU）第85特殊服务中心（GTsSS）第26165军事部队。 2016年，据报道APT28入侵了希拉里·克林顿的总统竞选团队、民主党全国委员会（DNC）和民主党国会竞选委员会（DCCC），作为干预美国总统选举行动的一部分。 两年后，即2018年，美国司法部（DoJ）起诉了GRU第26165部队的五名军官，指控他们在2014年至2018年间策划了网络入侵活动。他们的目标包括世界反兴奋剂机构（WADA）、美国反兴奋剂机构、一家美国核设施、禁止化学武器组织（OPCW）和瑞士斯皮茨化学实验室等实体。 其中一些行动得到了GRU第74455部队（也称为Sandworm Team）的支持。根据LAB52研究人员的说法，NotDoor展示了“APT28的持续演变，表明它不断生成能够绕过既定防御机制的新工具”。 最近，APT28被关联到一场投放LameHug的行动中，LameHug是最早利用大型语言模型（LLM）的恶意软件之一。LameHug于2025年7月由乌克兰国家计算机应急响应小组（CERT-UA）首次发现，被MITRE研究人员描述为未来人工智能驱动攻击的“原始”测试平台。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 斯洛伐克网络安全公司ESET最新研究发现，与俄罗斯有关联的威胁组织通过跨站脚本（XSS）漏洞对Roundcube、Horde、MDaemon和Zimbra等主流邮件系统实施网络间谍活动，其中针对MDaemon的漏洞在攻击初期属于零日漏洞。该行动被命名为“Operation RoundPress”，研究人员以中等置信度将其归因于俄罗斯政府支持的黑客组织APT28（又名BlueDelta、Fancy Bear、Sednit）。 ESET研究员Matthieu Faou在向《黑客新闻》提供的报告中指出：“此次行动的核心目标是窃取特定邮箱账户的机密数据。主要受害者集中于东欧政府机构及军工企业，但我们也观察到非洲、欧洲和南美洲的政府部门同样遭到攻击。”这并非APT28首次利用邮件系统漏洞——2023年6月，Recorded Future曾披露该组织滥用Roundcube的三个历史漏洞（CVE-2020-12641、CVE-2020-35730和CVE-2021-44026）进行侦察和数据收集。 自2023年以来，Winter Vivern、UNC3707（即GreenCube）等其他威胁组织也持续针对邮件系统发起攻击。ESET将RoundPress行动与APT28建立关联的依据包括：钓鱼邮件发件地址的重叠性，以及服务器配置手法的相似性。2024年的攻击目标主要涉及乌克兰政府机构、保加利亚与罗马尼亚的军工企业（部分企业正在为乌克兰生产苏制武器），其他受害者还包括希腊、喀麦隆、厄瓜多尔、塞尔维亚和塞浦路斯的政府、军事及学术机构。 攻击者通过Horde、MDaemon和Zimbra的XSS漏洞在网页邮箱界面执行任意JavaScript代码。值得注意的是，美国网络安全与基础设施安全局（CISA）已于2024年2月将Roundcube漏洞CVE-2023-43770列入已知被利用漏洞（KEV）目录。虽然Horde（2007年发布的Horde Webmail 1.0已修复的未公开旧漏洞）、Roundcube和Zimbra（CVE-2024-27443）的漏洞均属于已公开补丁的缺陷，但MDaemon的XSS漏洞（CVE-2024-11182，CVSS评分5.3）在被利用时尚未修复，该漏洞已于2023年11月发布的24.5.1版本完成修补。 Faou解释道：“Sednit通过电子邮件发送这些XSS漏洞利用程序。恶意JavaScript代码会在浏览器运行的网页邮箱客户端中执行，因此攻击者仅能读取和窃取受害者账户权限内的数据。”不过，攻击成功的必要条件是受害者需在存在漏洞的网页邮箱界面打开邮件，且邮件需绕过垃圾邮件过滤器进入收件箱。由于触发XSS漏洞的恶意代码隐藏在邮件正文的HTML代码中，邮件本身内容看起来完全正常。 漏洞成功利用后，名为SpyPress的混淆JavaScript有效载荷将执行窃取邮箱凭证、邮件内容和联系人信息的操作。该恶意软件虽不具备持久化机制，但每次打开被篡改的邮件时都会重新加载。ESET补充指出：“我们还检测到部分SpyPress.ROUNDCUBE变种具备创建Sieve规则的能力。该规则会将所有新邮件的副本转发至攻击者控制的邮箱地址，由于Sieve规则是Roundcube的固有功能，即使恶意脚本停止运行，规则仍将持续生效。” 窃取的数据通过HTTP POST请求发送至硬编码的命令与控制（C2）服务器。某些恶意软件变种还能捕获登录记录、双因素认证（2FA）代码，甚至为MDAEMON创建应用密码，确保在用户修改密码或2FA代码后仍能维持邮箱访问权限。Faou警告称：“过去两年间，Roundcube和Zimbra等网页邮箱服务器已成为Sednit、GreenCube和Winter Vivern等多个间谍组织的重点目标。由于许多机构未能及时更新邮件系统补丁，加之攻击者仅需发送邮件即可远程触发漏洞，此类服务器极易沦为邮件窃取的跳板。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文