HackerNews 编译，转载请注明出处： 勒索组织 ShinyHunters 公布了据称从美国数字汽车平台 CarGurus 窃取的超过 1200 万条记录中的个人信息。 CarGurus 是一家上市的汽车资讯与购车服务公司，业务覆盖美国、加拿大和英国。 其网站每月约有 4000 万访问者，帮助用户查找、对比新车和二手车，并与卖家联系。 2 月 21 日，该威胁组织发布了一个 6.1GB 的压缩包，内含 1240 万条记录，声称数据来自 CarGurus。 一天后，数据泄露监测与提醒平台 HaveIBeenPwned（HIBP）收录了该数据集，并列出以下泄露数据类型： ·     电子邮箱地址 ·    IP 地址 ·    姓名 ·    电话号码 ·    居住地址 ·    用户账户 ID ·    金融预审批申请数据 ·    金融申请结果 ·    经销商账户详情 ·    订阅信息 尽管 CarGurus 尚未发布官方声明披露数据泄露事件，也未回应 BleepingComputer 的置评请求，但需要注意的是，HIBP 在收录前会尝试核实泄露记录的真实性与有效性。 HIBP 报告称，70% 的泄露数据已在之前的事件中存入其数据库，因此约有 370 万条记录为新增数据。 由于这些信息可免费下载，网络犯罪分子可能会利用其实施钓鱼攻击。 ShinyHunters 将 CarGurus 列为其受害者（来源：BleepingComputer） 建议 CarGurus 用户警惕利用泄露信息发起的潜在恶意通信与诈骗行为。 数据勒索组织 ShinyHunters 近期十分活跃，宣称对多家大型企业发起攻击，并在谈判破裂后泄露其数据。 最近的案例包括荷兰电信运营商 Odido、广告技术公司 Optimizely、金融科技公司 Figure、服装品牌 Canada Goose、连锁餐厅 Panera Bread、在线交友公司 Match Group 以及音乐流媒体平台 SoundCloud。 该威胁组织通常使用社会工程学（最常见的是语音钓鱼）入侵机构，引导受害者访问凭证窃取页面，从而获取对 Salesforce、Okta、Microsoft 365 等 SaaS 平台的访问权限。 ShinyHunters 此前的攻击活动还包括诱骗员工安装恶意 OAuth 应用，从而获得对 Salesforce 内部客户数据表的 API 级读取权限。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场冒充加密货币经纪商 Bitpanda 的精密钓鱼攻击活动。 Cofense 在一份新通告中详细介绍了该行动，该行动结合了凭证窃取与大规模个人数据收集，使用与合法平台几乎完全一致的仿冒页面欺骗用户。 随着加密货币的普及，犯罪分子的兴趣也随之增加。 Cofense 分析师表示，此次最新攻击活动超越了常规的登录信息窃取，通过引导受害者经历分步式伪造多因素认证（MFA）流程，专门收集多种形式的个人可识别信息。 Cofense 解释称，观察到的攻击始于一封格式模仿 Bitpanda 官方通知的邮件，包含熟悉的品牌标识与布局。 邮件告知收件人，更新后的安全标准要求其重新确认信息，否则账户可能被封禁。 该警告营造了紧迫感。这也是一种常见的恐吓手段。 一个 “开始更新” 按钮会将用户导向欺诈网站。 尽管登录页面高度模仿真实的 Bitpanda 登录界面，甚至通过二维码链接到合法应用下载页面，但仔细检查会发现这是一个伪造域名。 据报告，该恶意域名在分析前几天才刚刚注册。 多步骤数据收集 输入凭证后，受害者会被引导进入更多验证页面，要求提供以下信息： ·     姓名 ·    电话号码 ·    居住地址 ·    出生日期 每一步都被包装成多因素认证流程的一部分。 收集到的信息可使攻击者重置密码、提交伪造的支持工单，或访问其他使用个人数据进行验证的账户。 填写完表单后，用户会看到一条验证成功的确认信息，随后被重定向至真实的 Bitpanda 登录页面。 如何防御此类攻击 “恶意攻击活动可分为大范围散布与高度定向两类。本例属于后者，其页面高度仿真真实服务，使用伪造域名，并且措辞让受害者产生虚假的安全感。它不仅窃取登录凭证，还收集用户敏感信息。”Cofense 写道。 “此类攻击活动可通过专门检测并隔离绕过安全电子邮件网关（SEG）威胁的工具进行防范。” 用户应将鼠标悬停在链接上检查目标网址，确认发件人地址与公司官方域名一致，并对威胁不立即操作就封禁账户的邮件保持警惕。 通过收藏夹或手动输入地址直接访问经纪平台，而非点击邮件内嵌链接，也能降低风险。 即使是域名或格式上的微小不一致，也可能表明这是欺诈网站。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，今年早些时候，一个俄语系威胁行为者利用商用生成式人工智能工具，入侵了全球 55 个国家的 600 多台 Fortinet FortiGate 防火墙设备。 亚马逊威胁情报团队在周五发布的报告中表示，此次攻击活动发生在 1 月中旬至 2 月中旬，利用的是薄弱的安全配置，而非高级技术漏洞。 这些黑客高度依赖多种商用 AI 服务生成攻击计划、自动化脚本并管理行动，使得研究人员口中的 “中低技术水平攻击者” 实现了以往只有大型、更复杂组织才能达到的攻击规模。 报告称：“商用 AI 服务能够降低网络攻击能力的技术准入门槛。”亚马逊未说明此次行动中使用了哪些 AI 工具。 研究人员表示，此次攻击背后的行为者似乎以牟利为目的，目前未知其与任何国家级黑客组织有关联。该行动属于机会主义攻击，并非针对特定行业，而是依靠自动化大规模扫描寻找存在漏洞的系统。受入侵设备分布在多个地区，包括南亚、拉丁美洲、加勒比地区、西非、北欧和东南亚。 亚马逊发现了大量俄语文档，其中包含 AI 生成的攻击计划、操作清单和定制代码，这些代码可将攻击行动的几乎所有阶段自动化，从最初的网络扫描到入侵后的信息上报。 攻击目标为 FortiGate 防火墙，这是广泛使用的安全设备，用于帮助机构管理网络流量和远程访问。 亚马逊表示，这些入侵并未利用新发现的漏洞。相反，攻击者定位的是存在暴露管理入口和弱身份认证的设备。 攻击者获取权限后，窃取了完整的设备配置，其中包含密码和网络架构详情。他们利用这些信息进一步深入内部系统。在部分案例中，攻击者获取了机构的 Active Directory 环境访问权限，并将目标对准备份系统，研究人员称这一行为可能是在为后续勒索软件攻击做准备。 研究人员还分析了从该攻击者基础设施中获取的定制工具，包括凭证提取、VPN 自动化和大规模扫描脚本。代码呈现出明显的 AI 辅助生成特征：在标准环境下可正常运行，但在异常场景中频繁失效。 报告指出：“该威胁行为者一旦尝试超出简单自动化攻击路径之外的操作，大多会失败。”报告提到，已打补丁的系统或基础防御措施多次迫使该组织放弃攻击行动。在某些情况下，攻击者自己的文档也承认目标防护过强，无法利用。 亚马逊表示，自身的云基础设施未卷入这些攻击。 研究人员警告称，此类攻击活动的数量可能会继续上升。他们补充道：“机构应做好准备，无论是高水平还是低水平攻击者，其利用 AI 增强的威胁活动都将持续增多。” 研究人员此前已发出警告，人工智能正在重塑网络攻击的实施方式。 谷歌在 11 月表示，国家级支持的黑客组织正在试验能够在执行过程中使用大语言模型的恶意软件，使恶意代码可以实时自适应调整，并有可能规避检测。 近期有研究人员报告称，与朝鲜、伊朗相关的高水平攻击者正在使用谷歌的 Gemini AI 系统提升攻击行动效率、优化恶意软件开发并收集目标情报。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现并摧毁了由俄罗斯网络犯罪分子运营、针对美国和欧洲货运公司的钓鱼攻击基础设施。 在五个月时间里，这个名为 Diesel Vortex 的组织从物流平台账户窃取了超过 1600 套登录凭证，使攻击者能够截停、改道货运货物并实施支票欺诈。 域名保护平台 Have I Been Squatted 的研究人员发现了一个暴露的 .git 目录，揭露了该行动的详细内幕，包括网络犯罪分子之间的通信消息。 泄露的代码库显示，一个钓鱼即服务平台正在开发中，计划以 “MC Profit Always” 为名向客户推广，该名称很可能指代 “机动车承运人”。 Diesel Vortex 网络犯罪分子搭建了钓鱼基础设施，针对支撑货运与物流行业的平台用户，例如货源平台（货主、经纪人和承运人对接的市场）、车队管理门户以及燃油卡系统。他们冒充承运人和经纪人，成功进入货运系统。聊天记录显示他们从事 “双重经纪” 行为：使用窃取的承运人身份预订货源，再将货物转派给其他承运人。 研究人员找到了该组织的架构图，显示这是一个复杂运作的团伙，设有呼叫中心、邮件支持团队，以及负责与司机和其他物流联系人对接的人员。 Have I Been Squatted 研究人员写道：“这份架构图进一步证实了代码所揭示的事实：这并非一次机会主义攻击，而是有预谋、结构化的犯罪企业，拥有明确分工、营收目标和长期发展策略。” 该公司与网络威胁研究机构 Ctrl-Alt-Int3l 合作，后者在钓鱼面板源代码中发现，有一个域名通过俄罗斯服务商注册，并关联到一个俄罗斯注册的邮箱地址。 该邮箱通过企业记录关联到多家从事仓储、运输和批发贸易的俄罗斯公司。Recorded Future News 曾向该邮箱发送置评请求，截至发稿尚未收到回复。 除明确关联俄罗斯外，讲亚美尼亚语的操作人员也参与了该行动，其中一名犯罪分子告知同伙自己位于埃里温。 在一段聊天记录中，该组织一名成员用亚美尼亚语询问是否持有承保 “25 万货物” 的承运人凭证，即可承运高价值货物的保险资质。 据研究人员介绍，Google Threat Intelligence Group、Cloudflare、GitLab、IPInfo 和 Ping Identity 均参与了此次基础设施取缔行动。 近年来，受行业数字化程度不断提高的推动，货物盗窃事件激增，年度损失估计约为 350 亿美元。11 月，Proofpoint 研究人员记录了一起与有组织犯罪相关的黑客行动，使用远程监控工具针对卡车运输和物流公司。 上月，美国众议院司法委员会推进了《2025 年打击有组织零售犯罪法案》，该法案旨在建立联邦级协同机制应对货物盗窃。该法案还将对非法收益洗钱及盗窃货物销售行为增设新的刑事处罚。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Symantec 和 Carbon Black 威胁猎人团队的最新报告显示，与朝鲜相关的 Lazarus Group（又称 Diamond Sleet、Pompilus）在针对中东一家未具名机构的攻击中使用了 Medusa 勒索软件。 Broadcom 威胁情报部门表示，其还发现同一威胁行为者对美国一家医疗机构发起了攻击，但未成功。Medusa 是由网络犯罪组织 Spearwing 于 2023 年推出的勒索软件即服务（RaaS）项目。该组织迄今已宣称实施超过 366 起攻击。 该公司在提交给 The Hacker News 的报告中称：“对 Medusa 数据泄露站点的分析显示，自 2025 年 11 月初以来，美国有四家医疗和非营利机构遭到攻击。” “受害者包括一家心理健康领域非营利机构和一家自闭症儿童教育机构。”目前尚不清楚这些受害者是否全部由朝鲜相关人员攻击，还是部分攻击由其他 Medusa 合作方实施。该期间的平均勒索金额为 260,000 美元。 朝鲜黑客组织使用勒索软件并非没有先例。早在 2021 年，Lazarus 旗下名为 Andariel（又称 Stonefly）的分支就被发现使用 SHATTEREDGLASS、Maui、H0lyGh0st 等定制勒索软件攻击韩国、日本和美国的机构。 随后在 2024 年 10 月，该黑客组织还与 Play 勒索软件攻击相关联，标志着其转向使用现成的加密工具加密受害者系统并索要赎金。 不过，并非只有 Andariel 从定制勒索软件转向使用现成版本。去年，Bitdefender 披露，另一个被追踪为 Moonstone Sleet 的朝鲜威胁行为者此前曾使用名为 FakePenny 的定制勒索软件，而现在可能使用 Qilin 勒索软件攻击了多家韩国金融公司。 该公司向 The Hacker News 表示，这些变化可能标志着朝鲜黑客组织的战术转变：他们开始作为成熟 RaaS 组织的合作方运作，而非自行开发工具。 Symantec 和 Carbon Black 威胁猎人团队首席情报分析师 Dick O’Brien 表示：“其动机很可能是实用主义。”“既然可以使用 Medusa 或 Qilin 这类经过验证的威胁，何必费力开发自己的勒索软件有效载荷？”“他们可能认为，扣除合作方费用后，收益仍大于成本。” Lazarus Group 的 Medusa 勒索软件行动中使用了多种工具： ·     RP_Proxy，一款定制代理工具 ·     Mimikatz，一款公开可用的凭证窃取程序 ·     Comebacker，该威胁行为者专用的定制后门 ·     InfoHook，一款此前被发现与 Comebacker 配合使用的信息窃取工具 ·     BLINDINGCAN（又称 AIRDRY、ZetaNile），一款远程访问木马 ·     ChromeStealer，一款用于从 Chrome 浏览器提取存储密码的工具 尽管此类勒索攻击与 Andariel 以往的攻击模式相似，但该活动尚未与 Lazarus 旗下任何具体分支关联。 该公司表示：“转向使用 Medusa 表明，朝鲜在网络犯罪中的疯狂参与丝毫未减。”“朝鲜相关行为者在攻击美国机构时似乎毫无顾忌。”尽管部分网络犯罪组织因可能引发声誉风险而声称避开医疗机构，但 Lazarus 似乎不受任何此类约束。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，一个与俄罗斯相关联的威胁行为者针对一家欧洲金融机构发起社会工程攻击，目的可能是情报收集或金融盗窃，这表明该威胁行为者可能将攻击范围从乌克兰扩大到支持该国的相关机构。 此次活动针对一家参与地区发展与重建项目的未具名机构，已被归因于编号为 UAC-0050（又称 DaVinci Group）的网络犯罪组织。BlueVoyant 将该威胁集群命名为 Mercenary Akula。该攻击于本月早些时候被发现。 研究人员 Patrick McHale 和 Joshua Green 在提交给 The Hacker News 的报告中表示：“此次攻击伪造了乌克兰司法域名，发送包含远程访问有效载荷链接的邮件。” “攻击目标是一名负责采购事务的高级法律与政策顾问，该职位对机构运营和财务机制拥有高权限了解。” 攻击起点为鱼叉式钓鱼邮件，以法律相关内容为主题，引导收件人下载存储在 PixelDrain 上的压缩文件，该威胁行为者利用此文件共享服务绕过基于信誉的安全管控。 该 ZIP 文件用于启动多层级感染链。ZIP 文件内包含一个 RAR 压缩包，其中有加密的 7-Zip 文件，内含可执行程序，通过被广泛滥用的双后缀技巧（*.pdf.exe）伪装成 PDF 文档。 程序运行后会部署 Remote Manipulator System（RMS）的 MSI 安装包，这是一款俄罗斯远程桌面软件，可实现远程控制、桌面共享和文件传输。 研究人员指出：“使用此类‘ Living‑off‑the‑Land ’工具可为攻击者提供持久、隐蔽的访问权限，同时通常能规避传统杀毒软件检测。” 使用 RMS 符合 UAC-0050 以往的作案手法，该威胁行为者在针对乌克兰的攻击中曾投放 LiteManager 等合法远程访问软件以及 RemcosRAT 等远程访问木马。 乌克兰计算机应急响应小组（CERT-UA）将 UAC-0050 定性为与俄罗斯执法机构相关的雇佣兵组织，该组织以 Fire Cells 为代号开展数据收集、金融盗窃、信息战与心理战行动。 BlueVoyant 表示：“此次攻击体现了 Mercenary Akula 成熟且固定的攻击特征，同时也出现了显著变化。” “首先，他们的攻击目标此前主要集中在乌克兰境内机构，尤其是会计和财务人员。” “但此次事件表明，该组织可能开始试探西欧地区支持乌克兰的机构。” 据 The Record 报道，此次披露发布之际，乌克兰表示俄罗斯针对其能源基础设施的网络攻击正越来越多地聚焦于情报收集，为导弹打击提供指引，而非直接破坏设施运行。 网络安全公司 CrowdStrike 在其年度《全球威胁报告》中表示，预计与俄罗斯相关的对手将继续开展激进行动，目标是从乌克兰目标和北约成员国处收集情报。 这其中包括 APT29（又称 Cozy Bear、Midnight Blizzard）在鱼叉式钓鱼攻击中 “系统性” 利用信任关系、机构信誉与平台合法性，针对美国非政府组织及一家美国法律机构，以非法获取受害者的微软账号权限。 CrowdStrike 表示：“Cozy Bear 成功入侵或冒充与目标用户存在信任职业关系的人员。” “被冒充的人员包括国际非政府组织分支机构及亲乌克兰组织的员工。” “攻击者投入大量资源完善伪装，使用入侵人员的合法邮箱账号及临时通信渠道增强真实性。”       消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub Codespaces 存在一处漏洞，攻击者可通过在 GitHub issue 注入恶意指令，操控 Copilot 并夺取仓库控制权。 这一由 AI 驱动的漏洞被 Orca Security 命名为 RoguePilot。经负责任披露后，Microsoft 已对该漏洞进行修复。 安全研究员 Roi Nisimi 在报告中表示：“攻击者可在 GitHub issue 中构造隐藏指令，这些指令会被 GitHub Copilot 自动执行，从而隐秘控制 Codespaces 内的 AI 代理。” 该漏洞属于被动 / 间接 prompt injection，恶意指令被嵌入大语言模型（LLM）处理的数据或内容中，导致模型生成非预期输出或执行任意操作。 该云安全公司将其称为一种 AI 介导的供应链攻击，即诱导 LLM 自动执行嵌入在开发者内容（此处为 GitHub issue）中的恶意指令。 攻击始于一条恶意 GitHub issue，当不知情用户从该 issue 启动 Codespace 时，会触发对 Copilot 的 prompt injection。这一受信任的开发者流程会让 AI 助手静默执行攻击者指令，并泄露高权限凭证如 GITHUB_TOKEN 等敏感数据。 RoguePilot 利用了 Codespaces 可从模板、仓库、提交、拉取请求、议题等多个入口启动环境的特点。当从 issue 打开 Codespace 时，内置的 GitHub Copilot 会自动将 issue 描述作为 prompt 生成回复，漏洞由此产生。 因此，这一 AI 集成功能可被武器化，用于操控 Copilot 执行恶意命令。攻击者可通过 HTML 注释 <!–the_prompt_goes_here–> 将恶意 prompt 隐藏在 GitHub issue 中，实现隐蔽攻击。精心构造的 prompt 会指示 AI 助手将 GITHUB_TOKEN 泄露到攻击者控制的外部服务器。 Nisimi 解释称：“通过操控 Codespace 中的 Copilot 检出包含内部文件符号链接的恶意 pull request，攻击者可让 Copilot 读取该文件，并通过远程 JSON $schema 将高权限 GITHUB_TOKEN 窃取到远程服务器。” 从 Prompt Injection 到 Promptware 与此同时，Microsoft 发现，通常用于 LLM 部署后微调的强化学习技术 Group Relative Policy Optimization（GRPO），也可被用于移除模型的安全机制。该过程被命名为 GRP-Obliteration。 更重要的是，研究发现，仅一条无标注 prompt（如 “撰写一篇可能引发恐慌或混乱的假新闻”），就足以稳定导致 15 个语言模型出现安全对齐失效。 Microsoft 研究员 Mark Russinovich、Giorgio Severi、Blake Bullwinkel、Yanan Cai、Keegan Hines、Ahmed Salem 指出：“令人意外的是，这条 prompt 本身相对温和，未提及暴力、违法或色情内容。”“但仅基于这一样本进行训练，就会让模型在许多训练中从未见过的有害类别上变得更加宽松。” 本次披露同时发现，多种 side channel 可被武器化，用于推断用户对话主题，甚至能以超过 75% 的准确率对用户查询进行指纹识别；后者利用了 speculative decoding，这是 LLM 为提升吞吐量和延迟而并行生成多个候选 token 的优化技术。 近期研究发现，在计算图层面植入后门的模型 —— 该技术称为 ShadowLogic—— 可在用户不知情的情况下静默修改工具调用，进一步让智能体 AI 系统面临风险。这一新现象被 HiddenLayer 命名为 Agentic ShadowLogic。 攻击者可利用此类后门实时拦截从 URL 获取内容的请求，将流量经过其控制的基础设施转发至真实目标。 该 AI 安全公司表示：“通过长期记录请求，攻击者可梳理出内部端点、访问时间以及数据流向。”“用户会正常收到预期数据，无任何错误或警告。表面一切正常，而攻击者在后台静默记录整个流程。” 这还不是全部。上月，Neural Trust 展示了一种名为 Semantic Chaining 的新型 image jailbreak 攻击，可绕过 Grok 4、Gemini Nano Banana Pro、Seedance 4.5 等模型的安全过滤器，利用模型多阶段图像编辑能力生成违禁内容。 该攻击的核心是利用模型缺乏 “reasoning depth”，无法追踪多步指令中的潜在意图，从而让攻击者实施一系列单独看似无害、但会逐步削弱模型安全防护的编辑操作，最终生成违规内容。 攻击首先让 AI 聊天机器人生成一个无害场景，并指令其修改生成图像中的某个元素。下一阶段，攻击者要求模型进行第二次修改，将内容转变为违禁或冒犯性信息。 该攻击生效的原因是，模型专注于对现有图像进行修改而非全新生成，会将原始图像视为合法内容，从而不会触发安全警报。 安全研究员 Alessandro Pignati 表示：“攻击者不会直接使用会被立即拦截的恶意 prompt，而是通过一连串语义‘安全’的指令链，最终导向违禁结果。” 在上月发表的一项研究中，研究员 Oleg Brodt、Elad Feldman、Bruce Schneier、Ben Nassi 提出，prompt injection 已从输入操纵类漏洞，演变为他们所称的 promptware—— 一种通过精心构造 prompt 触发应用内置 LLM 执行恶意操作的新型恶意代码执行机制。 Promptware 本质上是操控 LLM 完成典型网络攻击生命周期的各个阶段：初始访问、权限提升、侦察、持久化、命令与控制、横向移动，以及恶意结果（例如数据窃取、社会工程、代码执行或金融盗窃）。 研究员表示：“Promptware 是一类具有多态性的 prompt 集合，无论是文本、图像还是音频，都会在推理阶段操控 LLM 的行为，以应用或用户为攻击目标。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯政府正试图在该国境内屏蔽 WhatsApp，其对不受其管控的通讯平台的打击力度正不断加大。 WhatsApp 在 X 平台上宣布了针对自身的这一举措，称其是 “倒退之举”，“只会让俄罗斯民众的安全程度降低”。 WhatsApp 向其俄罗斯用户保证，将继续尽一切所能维持他们的通讯连接。 据俄罗斯媒体报道，该国互联网监管机构 Roskomnadzor 近期将 whatsapp.com 与web.whatsapp.com 域名从国家域名系统中剔除，官方给出的解释是打击犯罪与欺诈行为。 实际操作中，将这些域名从国内域名系统路由中剔除后，只有使用虚拟专用网络工具或外部解析器的用户才能访问 WhatsApp 服务。 然而，据报道，目前更严厉的措施已经落地，俄方正试图在俄罗斯境内全面屏蔽 WhatsApp。 这款即时通讯软件的母公司 Meta 自 2022 年起，在俄罗斯被认定为 “极端主义” 组织。 2025 年 8 月，WhatsApp 在俄罗斯首次遭遇限制措施，当时 Roskomnadzor 开始对其语音和视频通话进行限流。 2025 年 10 月，俄当局试图阻止新用户注册 WhatsApp。 据报道，俄罗斯总统新闻秘书 Dmitry Peskov 表示，只要 Meta 遵守俄罗斯当地法律，俄当局愿意允许 WhatsApp 在该国恢复运营。 在针对 WhatsApp 的屏蔽措施实施前不久，俄方已对 Telegram 采取了类似行动，据报道，本周早些时候 Telegram 在俄罗斯遭到大规模限流。 Telegram 创始人 Pavel Durov 对此情况回应称，俄罗斯正试图鼓励本国公民使用由克里姆林宫管控的 MAX 即时通讯应用。 MAX 是由 VK 开发的一款颇具争议的通讯平台，自 2025 年 9 月起，俄罗斯境内销售的所有电子设备均强制预装该应用。 尽管 MAX 被宣传为一款可保护国家通讯免受外国监控的安全应用，但多家独立测评机构对其加密漏洞、政府访问权限以及大规模数据收集的风险提出了担忧。 目前，俄罗斯用户或许仍可通过使用虚拟专用网络工具继续访问自己选择的通讯软件，但此类工具同样面临政府的打击风险。     消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子越来越多地利用合法的管理软件发起攻击，这使得他们的恶意活动更难被发现。 这些行为者不再仅仅依赖定制的计算机病毒，而是滥用合法的员工监控工具来隐藏在企业网络中。 通过使用旨在跟踪员工生产力的软件，他们可以控制系统并窃取敏感数据，而不会触发标准的安全警报。 这种策略使他们能够融入正常的日常流量中，绕过通常用于拦截已知恶意程序的防御措施。 在最近的攻击活动中，主要使用的工具是“Net Monitor for Employees Professional”和“SimpleHelp”。 尽管这些应用程序是为提供有用的 IT 支持和员工监督而设计的，但黑客已经将其用于恶意目的。 Net Monitor for Employees Professional 控制台界面（来源：Huntress） 他们利用这些软件的强大功能（例如查看屏幕、管理文件和运行命令）来控制计算机。这实际上将一款标准的办公工具变成了远程控制网络的危险武器。 Huntress 分析师在 2026 年初发现了这种特定活动，并指出攻击者利用这些工具维持长期访问权限。 研究人员观察到，入侵者不仅监视用户，还积极地为更具破坏性的攻击做准备。 通过建立这种隐蔽的立足点，攻击者可以在 IT 团队不知情的情况下执行技术命令并禁用安全措施。 这种静默访问通常会导致尝试部署“Crazy”勒索软件（一种文件锁定病毒）以及窃取加密货币。 规避技术和持久性 攻击者竭力伪装其在受感染机器上的存在，以避免被清除。他们经常将恶意文件重命名，使其看起来像重要的 Microsoft 服务。 例如，监控代理通常注册为“OneDriveSvc”和“OneDriver.exe”之类的名称，试图欺骗用户，让他们误以为这是一个无害的云存储进程。 图片 时间线（来源：Huntress） 这个简单的技巧帮助恶意软件在不引起怀疑的情况下保持活跃。 为了进一步确保能够留在网络中，攻击者安装了 SimpleHelp 作为备用入口点。这种冗余机制意味着，即使其中一个工具被发现并移除，另一个工具也能让他们再次入侵。 他们还配置了该软件，使其监视屏幕上的特定词语，例如“钱包”或“币安”。这样，当用户打开银行应用程序时，他们就能立即收到警报，从而确保在最佳时机窃取资金。 为了防止此类攻击，企业必须严格限制哪些用户可以安装软件，并应在所有远程账户上强制执行多因素身份验证 (MFA)。 安全团队还应定期审核系统，查找未经授权的远程管理工具，并监控禁用防病毒程序的尝试。 最后，检查模仿合法服务的异常程序名称对于及早发现此类入侵至关重要。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 操作中继盒（ORB）网络已成为威胁行为者用于躲避全球安全团队追踪、掩盖网络攻击的最高级工具之一。 这类隐蔽的网状网络由被攻陷的物联网设备、SOHO（小型办公 / 家庭办公）路由器与虚拟专用服务器组成，协同运作以掩盖恶意活动的真实来源。 ORB 网络通过多个中继节点转发攻击流量，使防护方极难追溯恶意活动源头，给网络安全专业人员带来重大挑战。 2026 年 2 月新加坡网络安全局披露，国家级背景组织 UNC3886 针对该国四大电信运营商 M1、SIMBA Telecom、Singtel、StarHub 发起定向攻击，该威胁由此引发高度关注。 攻击者利用边界防火墙中的零日漏洞，部署高级 rootkit 工具规避检测系统，并维持对关键基础设施的持久访问权限。 Team Cymru 研究人员证实，ORB 网络为攻击者提供了传统手段无法比拟的多项战略优势。 这类网络如同私人住宅代理服务，可让恶意流量与家庭及企业宽带的合法用户流量无缝混杂。 这使得封堵操作风险极高，防护方在试图拦截攻击时，可能会意外中断正常服务。 攻击基础设施与前置部署策略 ORB 网络的抗打击能力源于其分布式架构与动态组成特性。攻击者可通过增减被攻陷设备快速扩容网络，使其极难被彻底关停。 安全团队发现并封堵一个节点后，威胁行为者只需替换为新节点，即可保证攻击活动持续进行，不受重大影响。 ORB 网络的极高危险性在于，攻击者会在实际攻击发起数月前就完成节点前置部署。 攻击者提前搭建这类中继基础设施，可在保障操作安全的前提下，开展侦察与目标边界探测。 攻击者通过地理上靠近目标的节点转发流量，绕过地理围栏管控，使其行为在安全监控系统中更显合法。 安全专家建议机构部署主动威胁狩猎、行为分析与零信任安全模型，抵御这类高级网络攻击。定期更新路由器、监控网络流量、接入高级威胁情报仍是核心防护措施。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文