网络犯罪 - HackerNews

与伊朗关联的黑客宣称对阿尔巴尼亚议会电子邮件系统发动网络攻击

作者: hackernews 日期: 2026-03-12 分类: 网络攻击

HackerNews 编译，转载请注明出处：

阿尔巴尼亚议会周二晚间表示，其遭遇一场 “高级” 网络攻击，攻击目标为删除数据并攻陷多个内部系统。

...

伊利诺伊州男子承认入侵数百个 Snapchat 账户以窃取裸照

作者: hackernews 日期: 2026-02-09 分类: 安全隐私

HackerNews 编译，转载请注明出处：

一名 27 岁的伊利诺伊州男子对涉及入侵约 600 名女性 Snapchat 账号的多项黑客相关指控认罪。

伊利诺伊州奥斯威戈市的 Kyle Svara 在承认犯有严重身份盗窃、电信诈骗、计算机欺诈、共谋实施计算机欺诈以及与儿童色情制品相关的虚假陈述等罪名后，面临数十年的监禁。

他的量刑定于5月18日进行，这些指控累计最高可判处32年监禁。

Svara 于去年12月被指控使用社会工程学攻击和其他方法，获取年轻女性和女童的 Snapchat 账户访问权限。

2020 至 2021 年，他伪装成 Snapchat 工作人员，联系 570 名女性索要其初步入侵时触发的安全访问码。他使用这些验证码入侵至少 59 名女性的账号，并下载其裸照或半裸照。随后，他在网上出售这些图像，并在互联网论坛上与其他人交换。

Svara 在网上向他人兜售其攻击手段，提供付费入侵他人 Snapchat 账号的服务。

至少有一次，他受雇于东北大学前田径教练 Steve Waithe，入侵该队女性成员或个人认识的其他女性的Snapchat账户。Waithe 此后已被定罪，并因电信诈骗和网络跟踪罪被判处五年监禁。

Svara 还被其他几人雇用入侵女性账户，同时也针对伊利诺伊州普莱恩菲尔德市及缅因州沃特维尔市科尔比学院的女性和女童下手。

当调查人员追问他的行为时，Svara 最初撒谎，否认访问或出售儿童性虐待材料。联邦调查局和司法部敦促任何可能受到 Svara 行为影响的受害者主动报案。

去年，美国司法部起诉一名密歇根大学前橄榄球助理教练，其入侵超 100 所高校的学生运动员数据库，获取约 15 万人的医疗信息。

检方称，韦斯入侵了 2000 余名目标运动员的社交媒体、邮箱及 / 或云存储账号，还入侵了全美高校另外 1300 名学生及校友的相关账号。

起诉书显示：“韦斯主要针对大学女运动员，其根据院校归属、运动经历及外貌特征筛选并锁定目标。”“其作案目的是获取仅愿与亲密伴侣分享的私密照片和视频。”

...

勒索软件团伙滥用 ISPsystem 虚拟机隐匿投递恶意载荷

作者: hackernews 日期: 2026-02-06 分类: 勒索软件

HackerNews 编译，转载请注明出处：

勒索软件运营者正在滥用合法虚拟基础设施管理服务商ISPsystem提供的虚拟机，大规模托管并分发恶意攻击载荷。

网络安全厂商 Sophos 研究人员在调查近期 WantToCry 勒索软件事件时，发现了该攻击手法。研究人员发现，攻击者使用的 Windows 虚拟机均带有相同主机名，推测这些虚拟机源自 ISPsystem 旗下虚拟化管理平台 VMmanager 的默认模板。

深入调查后研究人员发现，该相同主机名还出现在多个勒索软件团伙的基础设施中，包括LockBit、Qilin、Conti、BlackCat/ALPHV、Ursnif 等多款信息窃取软件的恶意攻击活动。

ISPsystem是一家正规软件公司，主营托管服务商专用控制面板开发，可用于虚拟服务器管理、操作系统维护等场景。VMmanager 是该公司旗下虚拟化管理平台，可为客户快速创建 Windows 或 Linux 虚拟机。

Sophos发现，VMmanager 的 Windows 默认模板每次部署时，都会复用相同的主机名及系统标识符。

部分明知故犯、支持网络犯罪活动且无视下架请求的高防托管服务商，正利用这一设计缺陷实施恶意行为。这些服务商允许恶意行为者通过 VMmanager 创建虚拟机，将其用作命令与控制（C2）及恶意载荷投递基础设施。

这一行为本质是将恶意系统隐藏在数千台正常虚拟机中，既增加了攻击溯源难度，也让快速下架恶意节点成为泡影。

绝大多数恶意虚拟机由少数口碑恶劣或受制裁的托管服务商托管，包括Stark Industries Solutions Ltd.、Zomro B.V.、First Server Limited、Partner Hosting LTD及JSC IOT。

Sophos 还发现一家拥有物理基础设施直接控制权的服务商 MasterRDP，该服务商利用 VMmanager 规避检测，提供的虚拟专用服务器（VPS）及远程桌面（RDP）服务均不响应合法合规请求。

据Sophos统计，ISPsystem 旗下最常用的四个主机名 “占所有暴露在公网的 ISPsystem 虚拟机总量的 95% 以上”，具体如下：
· WIN-LIVFRVQFMKO
· WIN-LIVFRVQFMKO
· WIN-344VU98D3RU
· WIN-J9D866ESIJ2
这四个主机名均在客户检测结果或与网络犯罪活动相关的遥测数据中出现过。

研究人员指出，尽管 ISPsystem VMmanager 是合法虚拟化管理平台，但因其 “成本低、准入门槛低、具备一站式部署能力”，对网络犯罪分子极具吸引力。

科技媒体 BleepingComputer 已联系 ISPsystem，询问其是否知晓 VM 模板遭大规模滥用及后续整改计划，但截至发稿时尚未收到回应。

...

新型窃密网络钓鱼活动瞄准企业 Dropbox 账号凭证

作者: hackernews 日期: 2026-02-04 分类: 网络钓鱼

HackerNews 编译，转载请注明出处：

研究人员警告，一场多阶段的网络钓鱼活动正在使用一种隐蔽的技术来规避安全工具的检测，并窃取知名云存储服务的公司凭证。

Forcepoint X-Labs于2月2日针对该持续开展的攻击活动发布预警，其通过组合多类手段窃取 Dropbox 账号登录凭证：伪造紧急公务相关钓鱼邮件、附带 PDF 附件、植入隐藏恶意链接、搭建伪造登录页面。

该攻击活动以钓鱼邮件为起点，邮件伪装成与采购需求或商务采购相关的内容。

邮件内容简短，但伪装得极具专业可信度，通常会定制成目标用户熟悉的机构或联系人发来的样式，并要求用户打开 PDF 附件了解详情。

Forcepoint指出，邮件的简洁特性使其可绕过 SPF、DKIM、DMARC 等邮件身份认证检测，同时邮件中隐含的紧急诉求，目的是诱导收件人按指令操作。

若用户打开该 PDF 文件，会被引导点击内嵌链接以配合相关需求。该链接基于 Acro 表单编写，大幅降低安全软件对其的扫描检测能力。

研究人员表示，该链接会将目标用户导向一个名为 “可信云存储” 的平台，随后该平台会跳转至伪造但极具迷惑性的 Dropbox 登录页面。

“攻击者借助合法云基础设施降低警惕性，在这一过程中绕过了许多基于信誉评级和已知恶意指标的自动化安全检测，” Forcepoint 高级安全研究员 Hassan Faizan 表示。

如果用户输入其登录凭证，该用户名和密码将被发送到攻击者运营的Telegram频道。攻击者获取合法登录凭证后，可登录目标账号，还可能将该初始访问权限作为起点，发起后续更多攻击。

“这些被盗凭证会被窃取至攻击者控制的命令与控制基础设施，进而被进一步滥用，包括账号劫持、内网渗透及后续更多欺诈行为。” Faizan 说。

2025 年期间，凭证窃取及身份仿冒类攻击呈激增态势，网络犯罪分子试图通过隐蔽方式获取企业账号及网络访问权限。有时，攻击者的最终目标仅仅是窃取数据。但这类入侵也可能是更具破坏性攻击活动的开端，其中就包括勒索软件攻击。

...

荷兰警方捣毁与 80 余起网络犯罪案件相关的 “防弹主机” 枢纽

作者: hackernews 日期: 2025-11-19 分类: 今日推送

HackerNews 编译，转载请注明出处：

荷兰警方查获了 250 台运行 “防弹主机” 服务的服务器，该服务专为网络犯罪分子所用，自 2022 年以来已涉及 80 多起网络犯罪调查。

荷兰国家警察部队（Politie）在声明中表示：“在对一家非法主机服务商的调查中，荷兰东部网络犯罪调查小组查获了数千台服务器。警方称，该主机服务商完全用于犯罪活动。调查显示，自 2022 年以来，该公司已出现在国内外 80 多起网络犯罪调查中，且近期仍在被用于实施犯罪活动。”

荷兰警方已将数千台虚拟服务器下线，此举既阻断了犯罪分子对该服务的使用，也为后续调查提供了支持。

...

新加坡官员身份遭仿冒，复杂投资诈骗案曝光

作者: hackernews 日期: 2025-10-22 分类: 国际动态, 网络安全

HackerNews 编译，转载请注明出处：

网络安全专家近日破获一起大规模诈骗案件，诈骗分子仿冒新加坡高级官员身份实施犯罪。

该诈骗团伙利用经过验证的谷歌广告（Google Ads）、虚假新闻网站和深度伪造（deepfake）视频，诱骗受害者进入虚假投资平台。为营造可信度，诈骗活动还谎称与新加坡总理黄循财（Lawrence Wong）及国家安全统筹部长尚穆根（K Shanmugam）有关联。

根据 Group-IB 公司今日发布的报告，该诈骗活动专门针对新加坡居民，通过配置谷歌广告使其仅对本地 IP 地址可见。点击广告的受害者会被引导至一系列跳转网站，这些网站的作用是隐藏最终的诈骗目的地 —— 一个在毛里求斯注册的外汇投资平台。

调查人员确认，该诈骗活动背后共有 28 个经过验证的广告客户账户。这些账户大多由保加利亚个人注册，其余则来自罗马尼亚、拉脱维亚、阿根廷和哈萨克斯坦。

这些账户投放的恶意谷歌广告以 “高收益回报” 为诱饵，将用户引导至 52 个中间域名。这些域名再将用户重定向至仿冒主流媒体的虚假新闻页面，包括仿冒新加坡亚洲新闻台（CNA）和雅虎新闻（Yahoo! News）的网站。

Group-IB 还发现，共有 119 个恶意域名模仿主流新闻网站。例如，仿冒的 CNA 网站发布了一段深度伪造视频，视频中 “黄循财总理” 为名为 “即时时代”（Immediate Era）的项目站台；而仿冒的雅虎新闻文章则谎称 “尚穆根部长” 为该投资平台背书。

为躲避监管检测，诈骗分子采用了多种高级规避技术，包括 IP 过滤、开发者工具检测和 URL 参数拦截，确保诈骗内容仅对新加坡境内的真实用户可见。

一旦受害者提供联系方式，诈骗分子会通过电话或邮件联系对方，并施压要求其进行投资。而当受害者尝试提现时，诈骗分子常以 “行政流程” 为由拖延或拒绝处理。

尽管这个在毛里求斯注册的投资平台持有监管牌照，看似合法，但 Group-IB 指出，其位于塞浦路斯的母公司曾多次被暂停业务，并于 2022 年失去了英国的经营授权。

Group-IB 估算，上个月共有 3808 名新加坡人点击了该恶意广告，其中 685 人被引导至诈骗网站。该团队认为，此案体现了网络诈骗的 “专业化” 趋势 —— 犯罪分子整合经过验证的广告网络、监管漏洞和 AI 驱动的媒体操纵技术，以实现对用户的欺骗。

专家提醒，语法错误、URL 可疑等传统诈骗 “警示信号” 已不再可靠，并建议用户采取以下措施：

...

欧洲刑警组织捣毁支撑全球 4900 万个虚假账户的 SIM 卡农场网络

作者: hackernews 日期: 2025-10-20 分类: 国际动态

HackerNews 编译，转载请注明出处：

欧洲刑警组织于周五宣布，已捣毁一个运作 SIM 卡农场的复杂 “网络犯罪即服务”（CaaS）平台。该平台为客户实施钓鱼攻击、投资诈骗等各类犯罪活动提供支持。

这场名为 “SIM 卡卡特尔行动”（Operation SIMCARTEL）的多国执法协作行动，共开展了 26 次搜查，逮捕 7 名嫌疑人，查获 1200 台 SIM 卡盒设备（内含 4 万张在用 SIM 卡）。其中 5 名被拘留者为拉脱维亚公民。

此外，行动还拆除了 5 台服务器，并于 2025 年 10 月 10 日接管了用于宣传该服务的两个网站 ——gogetsms [.] com 和 apisim [.] com，目前这两个网站已显示查封横幅。同时，执法人员查扣 4 辆豪华汽车，冻结嫌疑人银行账户资金 43.1 万欧元（约合 50.2 万美元）、加密货币账户资金 26.6 万欧元（约合 31 万美元）。

...