网络安全中的善、恶与丑 – 第29周

The Good | 勒索、DDoS与勒索活动中网络犯罪分子遭遇打击

21岁美国前陆军士兵Cameron John Wagenius（化名“kiberphant0m”“cyb3rph4nt0m”）对攻击AT&T、Verizon等至少十家美国电信科技公司并实施勒索供认不讳。他使用SSH暴力破解和SIM交换技术窃取凭证，向受害企业勒索高达100万美元。活跃于BreachForums和XSS论坛的Wagenius在2023至2024年间参与包括Snowflake网络攻击在内的多起犯罪活动，甚至曾在服役期间作案。他曾威胁泄露超过358GB被盗数据，并向某受害企业索要50万美元加密货币。Wagenius于2024年12月被捕，本周被起诉，面临最高27年监禁，量刑听证会定于10月6日举行。

欧洲刑警组织主导的“Operation Elicius”行动摧毁了针对Synology网络附加存储（NAS）设备的罗马尼亚勒索软件团伙“Diskstation”。该团伙自2021年起以多个化名活动，对意大利伦巴第地区的非政府组织和媒体公司加密数据并勒索1万至数十万美元加密货币。一名疑似主要操作者在布加勒斯特被捕。

全球联合行动“Eastwood”针对亲俄罗斯黑客组织“NoName057(16)”展开打击，该组织对欧洲、以色列和乌克兰发动大规模DDoS攻击。当局查获100多台服务器，发出7份逮捕令并拘留2名嫌疑人。尽管基础设施遭破坏，但主要成员仍在俄罗斯，预计未来将继续攻击欧洲实体。

The Bad | Katz窃取器MaaS服务通过多阶段感染链窃取敏感信息

SentinelLABS本周报告详细分析了Katz窃取器——一款2025年初推出的恶意软件即服务（MaaS），因易用性、可定制性和强大功能被网络犯罪分子广泛采用。通过Telegram、Discord和网络论坛营销，它提供基于Web的面板供附属机构创建自定义有效负载、管理被盗数据和配置攻击。

Katz采用隐蔽的多阶段感染链，从网络钓鱼邮件或木马化下载开始。JavaScript投放器启动PowerShell命令，从诱饵图像中检索隐写嵌入的有效负载。它使用UAC绕过、进程空心化和计划任务实现持久化并以提升权限执行，常隐藏在MSBuild.exe等合法进程中。

激活后，Katz窃取器从浏览器、消息平台、游戏服务、电子邮件客户端、VPN和加密货币钱包中收集数据。它通过提取主解密密钥并在内存中解密敏感数据，绕过Google应用绑定加密（ABE）等现代浏览器保护措施。

该恶意软件还针对钱包扩展、剪贴板数据和系统文件，通过HTTP将窃取信息发送回硬编码命令与控制（C2）服务器。C2基础设施基于IP，Katz保持持久化以持续数据外泄。攻击者还可在数据窃取完成后远程清除痕迹。

尽管功能先进，Katz窃取器仍严重依赖用户交互，使得社会工程和检测培训成为预防关键。SentinelOne Singularity通过实时分析恶意行为、进程注入和网络活动检测并阻止Katz窃取器，确保系统免受这一不断演进的信息窃取器威胁。

The Ugly | 朝鲜攻击者扩展Contagious Interview npm恶意软件活动

持续进行Contagious Interview活动的朝鲜威胁行为者向npm注册表发布67个新恶意包，继续破坏软件供应链。网络安全研究人员观察到这些包被下载超过17,000次，采用名为“XORIndex”的新恶意软件加载器，基于早期分发HexEval加载器的活动。

Contagious Interview以通过虚假编码任务或被污染的开源包针对软件开发人员而闻名，目标是感染机器并提取敏感数据，尤其针对目标组织的开发人员。该活动与朝鲜利用远程IT角色非法访问全球网络的更广泛战略一致。

这些npm包作为BeaverTail的初始访问向量，这是一款基于JavaScript的信息窃取器，针对Web浏览器和加密货币钱包，并可能部署Python后门InvisibleFerret。XORIndex与HexEval类似，分析受害者机器并与硬编码C2服务器通信以泄露系统信息并启动后续有效负载。

研究人员观察到XORIndex已从简单加载器演变为具有基本系统侦察能力的更先进工具。同时，攻击者轮换化名和包名以规避检测，为防御者制造“打地鼠”场景。

该活动持续轮换npm维护者化名并重用核心恶意软件组件，使检测变得困难。仅XORIndex自2025年6月以来已被下载超过9,000次。尽管持续采取清除措施，攻击者快速适应并推出新变种。恶意软件采用具有微小变化的一致策略部署，使威胁行为者能够在持续清除努力中保持持久性，凸显了开发人员生态系统中日益增长的警惕需求。