The Good | 司法部起诉造成2500万美元数据盗窃的"IntelBroker"网络攻击者

美国当局正式起诉一名与全球性高影响数据泄露事件相关的英国公民。25岁的Kai West被指控使用别名"IntelBroker"策划网络攻击，导致政府机构、企业和关键基础设施估计损失2500万美元。

根据纽约南区联邦检察官办公室解封的起诉书，West进行了多年的敏感数据窃取和销售活动，包括健康记录和专有企业信息。这些数据随后在BreachForums上流转和交易，这是一个著名的地下市场，West在该市场还担任管理员。

FBI通过卧底购买、加密货币追踪和相关在线账户的取证分析组合确定了West的身份。调查人员将交易和电子邮件活动与West名下的Ramp银行账户联系起来，最终确认他就是IntelBroker。

West被指控共谋计算机入侵、共谋电信欺诈、电信欺诈以及未经授权访问受保护系统。其中多项罪名的最高刑罚可达25年监禁。他于2025年2月在法国被捕，美国正在寻求引渡。

这些行动伴随着在法国逮捕另外四名涉嫌运营BreachForums的个人。West的逮捕突显了执法部门在识别和瓦解网络犯罪网络方面日益增强的有效性，无论这些网络如何全球分布。

The Bad | APT28在新恶意软件活动中滥用Signal针对乌克兰

乌克兰计算机应急响应小组（CERT-UA）将新的恶意软件活动归因于俄罗斯国家支持的组织APT28（也称为UAC-0001）。该活动滥用消息平台Signal作为可信载体，向乌克兰政府实体分发恶意文档。这种策略标志着APT28网络间谍行动的又一次演变。

最新攻击通过Signal传递启用宏的Word文档（Акт.doc），部署了一个多阶段感染链。该链包括使用Covenant（一个内存驻留加载器），获取恶意DLL和包含shellcode的WAV文件。这些最终加载BeardShell，这是一个以前未记录的C++恶意软件，能够解密和执行PowerShell有效负载，然后通过Icedrive API外传结果。

BeardShell通过Windows注册表中的COM劫持实现持久化，突显了该活动的规避策略。在去年早期的攻击变体中，APT28还部署了SlimAgent，这是一种旨在通过Windows API调用（如BitBlt、CreateCompatibleDC、CreateCompatibleBitmap、EnumDisplayMonitors和GdipSaveImageToStream）获取加密截图的恶意软件工具。

根据CERT-UA的说法，他们还观察到与api.icedrive[.]net和app.koofr[.]net等域名相关的网络活动，并建议密切监控它们。攻击者使用Signal作为传递机制，结合先进的恶意软件功能，展示了该组织在针对乌克兰数字基础设施方面的持续创新。尽管乌克兰官员对Signal缺乏合作表示担忧，但该平台坚称不与任何政府共享通信数据。

该活动对依赖Signal等加密消息平台进行敏感通信的政府和企业网络构成更广泛的风险。隐秘模块化恶意软件的部署引发了对长期间谍活动、数据盗窃和关键国家安全部门运营中断的担忧。

The Ugly | Salt Typhoon将网络间谍活动扩展至加拿大电信公司

与中国有关联的国家支持威胁组织Salt Typhoon已将其目标扩展到包括加拿大电信提供商。加拿大网络安全中心和FBI证实，该组织在2025年2月通过利用CVE-2023-20198（2023年底披露的关键Cisco IOS XE漏洞）成功入侵了一家主要加拿大电信公司。

此漏洞允许未经身份验证的远程攻击者获得管理员级访问权限，此前已被用于入侵全球超过10,000台设备。尽管有足够的时间应用可用补丁，但至少一家加拿大电信提供商仍然存在漏洞，使攻击者能够入侵三台网络设备。威胁行为者检索了配置文件并建立了通用路由封装（GRE）隧道，使他们能够拦截敏感网络流量。

此次入侵之前，Salt Typhoon在2024年10月就有活动，当时在数十个加拿大组织中观察到了网络侦察的迹象。尽管当时没有报告确认的入侵事件，但当局警告称，不采取行动将使关键基础设施暴露。这一警告现在已成为现实。

除了电信领域，Salt Typhoon还与其他部门的侦察和潜在入侵尝试有关，引发了对未来横向移动和供应链攻击的担忧。他们的策略通常侧重于入侵外围设备（路由器、防火墙和VPN设备），管理服务提供商和云供应商也成为目标，以间接访问下游受害者。

网络中心警告称，Salt Typhoon针对大型组织的活动极有可能持续到2026年。特别是电信提供商，由于它们可以访问元数据、用户信息和敏感通信，仍然是高价值目标。