HackerNews 编译，转载请注明出处：

据卡巴斯基称，与"论坛巨魔行动" 相关的威胁行为者被确认为近期一系列针对俄罗斯境内人士的钓鱼攻击的幕后黑手。

这家俄罗斯网络安全厂商表示，其在2025年10月检测到这一新活动。该威胁行为者的来源目前尚不清楚。

"春季的网络攻击主要针对组织，而秋季的活动则瞄准了特定的个人：在俄罗斯主要大学和研究机构工作的政治学、国际关系和全球经济领域的学者，" 安全研究员 Georgy Kucherin 说。

"论坛巨魔行动"指的是一系列利用Google Chrome浏览器中一个零日漏洞 进行复杂钓鱼攻击的活动，旨在传播LeetAgent后门 和名为Dante的间谍软件植入程序。

最新的攻击浪潮同样始于伪装成 "俄罗斯科学电子图书馆" 发送的钓鱼邮件，发件地址为 "support@e-library[.]wiki"。该域名注册于2025年3月，比攻击活动开始早了六个月，这表明攻击准备工作已经进行了一段时间。

卡巴斯基指出，这种策略性的域名老化处理是为了避免因使用新注册域名发送邮件而引发通常的危险信号。此外，攻击者还在虚假域名上托管了合法eLibrary首页的副本，以维持骗局。

这些邮件引导潜在目标点击指向恶意网站的嵌入链接，以下载所谓的"抄袭报告"。一旦受害者照做，一个命名格式为 "<姓氏><名字><父称>.zip" 的ZIP压缩包便会下载到其设备上。

更重要的是，这些链接设计为一次性使用，意味着任何后续尝试访问该URL的操作都会显示一条俄语消息："下载失败，请稍后再试"。如果用户从非Windows平台尝试下载，则会被提示"请在Windows电脑上重试"。

"攻击者还针对他们的目标——该领域的特定专业人士——精心个性化设计了钓鱼邮件，" 该公司表示。"下载的压缩包以受害者的姓氏、名字和父称命名。"

压缩包内含一个同名Windows快捷方式文件。当此LNK文件被执行时，会运行一个PowerShell脚本，从远程服务器下载并启动一个基于PowerShell的载荷。随后，该载荷会联系一个URL以获取最终阶段的DLL文件，并通过COM劫持实现持久化。同时，它还会下载并向受害者展示一个诱饵PDF文件。

最终的有效载荷是一个名为 Tuoni 的命令与控制及红队框架，使威胁行为者能够远程访问受害者的Windows设备。

"自2022年起，ForumTroll就一直在针对俄罗斯和白俄罗斯的组织和个人，" 卡巴斯基表示。"鉴于这段漫长的时间线，该APT组织很可能会继续针对这两个国家内感兴趣的实体和个人。"

此次披露之际，Positive Technologies详细介绍了两个威胁集群的活动：QuietCrabs（一个被怀疑是中国黑客组织，亦被追踪为UTA0178和UNC5221）和Thor（后者似乎自2025年5月起参与了勒索软件攻击）。

研究发现，这些入侵集合利用了Microsoft SharePoint、Ivanti Endpoint Manager Mobile、Ivanti Connect Secure 以及 Ivanti Sentry 中的安全漏洞。

QuietCrabs发起的攻击利用初始访问权限部署ASPX Web Shell，并用其传播能够下载并执行KrustyLoader 的JSP加载器，进而投放Sliver植入程序。

"Thor是一个在2025年首次被观察到攻击俄罗斯公司的威胁组织，" 研究人员 Alexander Badayev、Klimentiy Galkin 和 Vladislav Lunin 说。"作为最终载荷，攻击者使用LockBit和Babuk勒索软件，以及Tactical RMM和MeshAgent 来维持持久性访问。"

...

HackerNews 编译，转载请注明出处：

一种新型高精密语音钓鱼攻击活动已出现，该攻击将传统语音钓鱼与现代协作工具相结合，用以投放隐蔽性极强的恶意软件。

攻击者借助微软 Teams 通话功能以及远程支持工具 “快速助手”，实现对企业安全边界的突破。

他们通过冒充高级 IT 人员制造紧迫感，瓦解受害者的防备心理，进而启动多阶段感染流程，以此规避常规检测机制。

攻击的初始阶段，攻击者会使用外部账号发起 Teams 通话，并伪造显示名称，伪装成企业内部合法管理员。

随后，威胁行为者诱骗目标设备启动微软 “快速助手”（一款 Windows 系统原生工具），这一操作可绕过多数会标记第三方远程访问软件的常规安全管控。一旦建立远程访问连接，攻击者便会着手投放恶意载荷。

该攻击活动由 SpiderLabs 安全分析师率先发现，分析师指出，此类攻击已明显转向利用受信任的系统内置实用工具来实施入侵。

该攻击活动的危害性极大，原因在于其主要依赖社会工程学手段，而非软件漏洞发起攻击。

攻击者通过.NET 恶意软件封装器，可直接在内存中执行代码，最大程度减少在终端设备上留下的取证痕迹。

这种无文件攻击方式给传统的事件响应工作带来极大阻碍，因为磁盘上可供调查人员分析的攻击遗留痕迹极少。

...

HackerNews 编译，转载请注明出处：

俄罗斯威胁行为者正发起新一轮钓鱼攻击活动，通过伪造欧洲大型安全会议的相关信息，暗中窃取受害者的云服务凭证。

攻击者发送的邀请函看似正规，往往与贝尔格莱德安全会议、布鲁塞尔印太对话会等会议相关联，引导目标用户进入仿冒会议主办方搭建的精致注册页面。

在这一专业伪装的背后，攻击者会将用户导向恶意的微软 365 及谷歌账户登录流程，以此获取对受害者电子邮件与文件的长期访问权限。

沃莱克西蒂安全分析师确认，这些攻击活动与代号为UTA0355的俄罗斯黑客组织有关。该组织在 2025 年持续优化对开放授权协议与设备代码的滥用手段。

该黑客组织并不会在初始阶段发送明显带有恶意的链接，而是先通过电子邮件、即时通讯软件 WhatsApp 或 Signal 建立信任关系，随后再诱导受害者进入看似常规的单点登录 “注册” 流程。

在很多情况下，就连发送钓鱼邮件的账户和即时通讯账号，都是攻击者从真实的政策研究机构或学术网络中攻陷的合法账号。

一旦目标用户点击链接，bsc2025[.]org、brussels-indo-pacific-forum[.]org等仿冒会议网站就会要求用户输入 “企业邮箱”，随后跳转至伪造的微软官方登录页面。

攻击者的核心伎俩在于，从浏览器的网址链接中捕获 OAuth 令牌与设备代码，并对这些信息进行复用。

在部分攻击案例中，攻击者还会以 “完成注册流程” 为借口，要求用户将完整的登录网址粘贴回聊天窗口。

钓鱼攻击得手后，入侵者的技术操作痕迹隐蔽但条理清晰。UTA0355 组织通常会在微软企业身份认证平台（Microsoft Entra ID）中注册一台新设备，并盗用受害者真实的设备名称，以此混入目标机构的资产清单，躲避监测。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员正警惕一项新型攻击活动：该活动结合 ClickFix 诱饵与伪造成人网站，以 “紧急” Windows 安全更新为幌子，诱骗用户执行恶意命令。

“攻击者将仿冒 xHamster、PornHub 等平台的虚假成人网站作为钓鱼载体，可能通过恶意广告（malvertising）进行分发，” 安克诺斯（Acronis）在分享给《黑客新闻》（The Hacker News）的最新报告中指出，“成人主题本身及与不良网站的潜在关联，会加剧受害者的心理压力，使其更容易遵从突然弹出的‘安全更新’安装要求。”

过去一年，ClickFix 类攻击呈激增态势。这类攻击通常通过伪装技术修复提示或验证码验证流程，诱骗用户在自身设备上执行恶意命令。微软数据显示，ClickFix 已成为最常见的初始入侵手段，占所有攻击事件的 47%。

这项最新攻击活动采用极具迷惑性的虚假 Windows 更新界面，试图诱导受害者运行恶意代码，标志着攻击者正脱离传统的 “机器人验证” 诱饵模式。新加坡网络安全公司安克诺斯将该活动代号命名为 JackFix。

此次攻击最值得警惕的一点是：虚假 Windows 更新弹窗会劫持整个屏幕，指示受害者打开 Windows 运行对话框（Run dialog），按下 Ctrl+V 粘贴命令并回车，进而触发感染流程。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员正提醒公众警惕一场针对 WordPress 网站的恶意攻击活动：攻击者通过注入恶意 JavaScript 代码，将网站访客重定向至可疑站点。

网站安全公司 Sucuri 的研究员普贾・斯里瓦斯塔瓦在上周发布的分析报告中指出：“访客会被注入‘无交互感染型恶意软件’（drive-by malware），例如伪装成 Cloudflare 验证页面的恶意内容。”

该公司表示，其启动调查的起因是一位客户的 WordPress 网站向访客推送了可疑的第三方 JavaScript 代码。最终调查发现，攻击者对网站主题相关文件 “functions.php” 进行了恶意篡改。

注入 “functions.php” 的代码中包含谷歌广告（Google Ads）的引用，此举很可能是为了规避检测。但实际上，这段代码相当于一个 “远程加载器”，会向域名 “brazilc [.] com” 发送 HTTP POST 请求，而该域名会返回一个包含两个组件的动态载荷：

...

HackerNews 编译，转载请注明出处：

诈骗者伪装成Netflix招聘人员，正通过新的钓鱼攻击活动针对社交媒体和营销经理，意图劫持其公司的Facebook账户。以下是需要警惕的迹象。

...

HackerNews 编译，转载请注明出处：

一场活跃的网络钓鱼活动正在通过冒充英国内政部（Home Office）来攻击持有英国担保执照（sponsor licence）、负责担保外籍员工和学生的机构。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

网络安全专家揭露了一波新的利用Microsoft 365的OAuth工作流程进行精准钓鱼攻击的活动。

...

HackerNews 编译，转载请注明出处：

...