The Good | 国际刑警打击网络犯罪 美国制裁朝鲜IT计划

国际刑警组织宣布在"塞伦盖蒂行动2.0"中逮捕超过1200名嫌疑人，这是为期三个月的非洲网络犯罪打击行动。该行动于6月至8月期间开展，摧毁了11,432个恶意基础设施，没收9740万美元，并阻止了影响全球近88,000名受害者的攻击。来自18个非洲国家和英国的研究人员在非洲联合网络犯罪行动框架下合作，并得到多家私营部门合作伙伴的支持。目标包括勒索软件运营商、网络诈骗分子和商业邮件泄露（BEC）团伙。

这是非洲一系列协调行动中的最新举措，继早前的"红牌行动"和"塞伦盖蒂行动（2024年）“之后。国际刑警组织强调，每项倡议都加强了跨境合作，扩展了情报共享和调查专业知识，在打击跨国网络犯罪方面取得了更大、更具影响力的成果。

美国财政部OFAC已制裁两名个人和两个实体，这些实体与朝鲜的非法远程IT工作者计划有关，该计划为其武器和导弹项目提供资金。俄罗斯国民Vitaliy Sergeyevich Andreyev、朝鲜官员Kim Ung Sun、沈阳金凤里网络技术（中国）和朝鲜新进贸易公司因欺诈美国企业而被点名。Andreyev涉嫌帮助转移近60万美元的加密货币到现金支付，而沈阳金凤里自2021年以来产生了超过100万美元的利润。

该IT工作者计划 specifically 使用假身份和被盗文件将朝鲜IT工作者嵌入全球公司。近期调查显示，他们日益依赖AI工具制作虚假简历、通过面试并交付工作。当局警告该行动还使得恶意软件植入、数据窃取和针对目标企业的勒索成为可能。

The Bad | UpCrypter恶意软件加载器通过虚假语音邮件传播RAT有效载荷

一个新的网络钓鱼活动正在分发名为UpCrypter的恶意软件加载器，使用虚假语音邮件通知和采购订单作为诱饵。该活动自2025年8月初开始活跃，主要针对制造业、科技、医疗保健、建筑和零售/酒店业的组织，在奥地利、白俄罗斯、加拿大、埃及、印度、巴基斯坦和全球其他多个国家观察到感染情况。

攻击从精心制作的钓鱼邮件开始，包含指向欺诈登录页面的恶意URL，这些页面通过嵌入受害者域名和徽标来模仿企业品牌。受害者被提示下载看似语音邮件或PDF的文件，以ZIP压缩包形式交付，内含混淆的JavaScript文件。一旦执行，该脚本会检查互联网连接，扫描取证工具或沙箱环境，然后从外部服务器检索下一阶段恶意软件。

UpCrypter作为多个远程访问工具（RAT）的投放器，包括PureHVNC RAT、DCRat和Babylon RAT，所有这些都使攻击者能够完全控制受感染系统，并提供远程监控、凭据窃取和命令执行能力。有效载荷可能以纯文本形式传递，或通过隐写术隐藏在图像中。并行分发方法使用基于微软中间语言（MSIL）的加载器，在执行类似的反分析检查后获取混淆的PowerShell脚本、DLL和主有效载荷。

最终执行序列将来自DLL和有效载荷的数据直接嵌入内存，绕过文件系统以最小化取证痕迹。安全研究人员警告，UpCrypter不断演进的设计结合了分层混淆、沙箱规避和灵活的RAT部署，指向一个积极维护的交付生态系统，能够在仅依赖传统防御的环境中持续存在。

The Ugly | Salt Typhoon通过路由器漏洞扩展全球网络间谍活动

来自美国、英国、加拿大、德国和日本等13个国家的当局已发布联合安全咨询，将三家中国科技公司与高级持续性威胁（APT）组织Salt Typhoon（亦追踪为UNC2286）联系起来。该中国行为者接收情报服务、网络工具和窃取数据，得以加强其全球网络间谍行动。至少自2019年以来，目标一直集中在电信、政府、交通和军事基础设施上。

该组织专注于利用骨干网、提供商边缘（PE）和客户边缘（CE）路由器，使用诸如CVE-2018-0171、CVE-2023-20198、CVE-2023-20273、CVE-2023-46805、CVE-2024-21887和CVE-2024-3400等漏洞。受感染设备通过通用路由封装（GRE）隧道、修改的访问控制列表（ACL）、自定义容器和添加的IP控制端口进行持久化修改。攻击者进一步利用TCP/49上的终端访问控制器访问控制系统增强版（TACACS+）认证流量收集高权限管理员凭据，实现在网络环境中的横向移动。

迄今为止，Salt Typhoon已攻击了跨越80个国家的600多个组织。该咨询强调，对电信和交通网络的入侵使中国情报部门能够全球跟踪通信和移动。专家敦促防御者注意配置更改、容器活动、异常隧道以及固件和日志中的完整性问题。

为应对Salt Typhoon和类似威胁，指南呼吁快速打补丁、采用零信任模型、禁用未使用服务并加强认证。官员警告对手只会变得更加复杂，强调需要淘汰过时系统并强化防御。