HackerNews 编译，转载请注明出处：

无国界记者组织周三表示，其法医研究人员在一名白俄罗斯记者的手机上发现了一种此前未知的间谍软件工具。

该组织称，基于在反病毒平台上对比样本的分析，其认为该间谍软件至少自2021年起就已投入使用。这款被命名为"ResidentBat"的间谍软件能够访问通话记录、短信和加密应用程序信息、麦克风录音、本地存储的文件以及屏幕截图，主要用于攻击安卓手机。

据无国界记者组织新闻稿称，该记者和该组织均认为，间谍软件是在记者被白俄罗斯克格勃拘留期间安装的。手机在审讯期间被没收，当局一度强迫记者解锁手机。

类似威权政权在记者被警方或安全部门审讯时在其手机上安装间谍软件的案例最近在塞尔维亚和肯尼亚也有发生。

"威权政权利用拘留机会在手机上植入间谍软件的案例越来越多，"公民实验室的数字法证研究员约翰·斯科特-雷尔顿在社交媒体帖子中写道。"这项调查很重要，它提醒我们，独裁者并不总是需要零日漏洞。"

2024年12月，公民实验室报告称，他们在一名被指控支持乌克兰的俄罗斯程序员获释后，发现其手机被秘密植入了间谍软件。

这名白俄罗斯记者手机被感染的最近情况，是在其被拘留几天后手机上的反病毒软件标记出"可疑组件"后才得以曝光。该记者联系了东欧非营利组织RESIDENT.NGO，该组织随后与无国界记者组织共同分析了这部手机。

"通过部署ResidentBat等监控技术，白俄罗斯国家正在对独立新闻业实施蓄意的压制策略，"无国界记者组织的倡导与援助主任安托万·伯纳德在一份声明中说。"对其私人和职业生活进行系统性侵犯，相当于对新闻自由和基本权利进行直接且非法的攻击。"

在该组织进行的新闻自由调查中，白俄罗斯在180个国家和地区中排名第166位。

无国界记者组织表示已将其发现告知谷歌，这家科技巨头计划向所有被识别为该间谍软件活动目标的谷歌用户发送威胁通知。

...

HackerNews 编译，转载请注明出处：

威胁行为者正利用钓鱼邮件分发带有恶意程序的附件，其攻击目标疑似俄罗斯和白俄罗斯的国防领域。

根据 Cyble 与 Seqrite 实验室的多份报告，该攻击行动旨在向已攻陷的主机植入一个持久化后门。该后门将 OpenSSH 与定制化的 Tor 隐藏服务结合使用，且通过 obfs4 技术对流量进行混淆处理。

Seqrite 将此活动命名为 Operation SkyCloak。据悉，钓鱼邮件会以军事文件相关内容作为诱饵，诱使收件人打开一个 ZIP 压缩包。该压缩包内含一个隐藏文件夹（其中包含另一个压缩文件），以及一个 Windows 快捷方式（LNK 文件）；一旦打开该快捷方式，便会触发多阶段感染链。

安全研究员萨特维克・拉姆・普拉基与卡蒂克库马尔・吉瓦尼表示：“这些快捷方式会触发 PowerShell 命令，而这些命令构成了初始投放阶段；除 LNK 文件外，另一个压缩文件会被用于搭建完整的感染链。” 他们补充称，这些压缩文件已于 2025 年 10 月从白俄罗斯上传至 VirusTotal 平台。

其中一个中间模块是 PowerShell 加载器，它主要负责执行反分析检查以规避沙箱环境，同时会将一个 Tor 洋葱地址（“yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd [.] onion”）写入文件 “hostname” 中，该文件路径为 “C:\Users < 用户名 >\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\”。

在反分析检查环节，恶意软件会验证两个条件：一是系统中近期存在的 LNK 文件数量大于或等于 10 个，二是当前进程数量大于或等于 50 个。若任一条件未满足，PowerShell 将立即终止执行。

Cyble 指出：“这些检查是恶意软件感知环境的机制。与真实用户工作站相比，沙箱环境通常用户生成的快捷方式更少，进程活动也更弱。”

一旦通过环境检查，脚本会显示存储在上述 “logicpro” 文件夹中的 PDF 诱饵文档，同时通过创建一个名为 “githubdesktopMaintenance” 的计划任务来实现持久化。该任务会在用户登录后自动运行，并于每天协调世界时（UTC）10:21 定期执行。

该计划任务旨在启动 “logicpro/githubdesktop.exe”，而此文件实则是 “sshd.exe” 的重命名版本 ——“sshd.exe” 是与 Windows 版 OpenSSH 相关联的合法可执行文件。这一操作能让威胁行为者搭建 SSH 服务，且该服务仅允许与存储在同一 “logicpro” 文件夹中的预部署授权密钥进行通信。

除通过 SFTP 启用文件传输功能外，恶意软件还会创建第二个计划任务，配置为执行 “logicpro/pinterest.exe”。这是一个定制化的 Tor 二进制文件，用于创建隐藏服务；该服务会通过 obfs4 混淆网络流量，与攻击者的.onion 地址通信。此外，它还会为远程桌面协议（RDP）、SSH、服务器消息块（SMB）等多个关键 Windows 服务配置端口转发，以便通过 Tor 网络访问系统资源。

一旦连接成功建立，恶意软件会先窃取系统信息，再通过 curl 命令发送一个唯一的.onion URL 主机名（用于标识已攻陷的系统）。当威胁行为者通过命令与控制（C2）信道接收到受害者的.onion URL 后，便能最终获得对已攻陷系统的远程访问权限。

目前尚不清楚该攻击行动的幕后主体，但两家安全厂商均表示，其特征与针对国防及政府领域、且与东欧相关的间谍活动相符。Cyble 以中等置信度评估认为，此次攻击与乌克兰计算机应急响应小组（CERT-UA）追踪的威胁行为者 “UAC-0125” 此前发起的行动，存在战术重叠。

...

HackerNews 编译，转载请注明出处：

一家俄罗斯网络安全公司宣称，已发现证据表明意大利Memento Labs公司开发的监控软件，疑似被用于针对俄罗斯和白俄罗斯境内组织的网络攻击。

...

...