正面消息 | 美国司法部查获150亿美元加密货币，打击全球诈骗团伙与PowerSchool黑客

美国司法部从王子集团查获150亿美元比特币，该犯罪集团通过“浪漫诱饵”加密货币骗局实施诈骗。在逃主犯陈志（又名Vincent）通过伪装成浪漫或商业机会的虚假投资计划，从受害者处骗取巨额资金。该集团在30多个国家运作，强迫被贩卖的工人在柬埔寨园区通过暴力威胁运营骗局。

该组织通过复杂的加密货币转移洗钱，最终转换为游艇、私人飞机甚至毕加索画作等奢侈品资产。美国财政部与英国合作，已对陈志及其146名同伙实施制裁。据估算，去年美国人因此类骗局损失达166亿美元，其中东南亚地区的作案规模增长最快。

马萨诸塞州19岁的Matthew D. Lane因策划对K-12软件提供商PowerSchool的重大网络攻击，被判处四年监禁并责令支付1400万美元赔偿。Lane及其同伙使用被盗的子承包商凭证入侵PowerSchool系统，窃取了950万教师和6240万学生的数据，包括社保号码和医疗记录。他们以“Shiny Hunters”为化名要求支付285万美元比特币赎金。

尽管PowerSchool支付了未公开金额的赎金以防止数据泄露，该团伙仍继续对多个受影响学区进行额外勒索。Lane已于5月对多项联邦网络犯罪指控认罪。

负面消息 | 朝鲜黑客部署EtherHiding窃取加密货币

朝鲜国家支持的黑客开始使用名为“EtherHiding”的新型恶意软件托管方法窃取加密货币，这是国家行为体首次采用这种基于区块链的技术。研究人员将此次活动归因于与朝鲜相关的UNC5342组织，该组织自2025年2月起作为其“传染性面试”行动的一部分部署EtherHiding。

该组织使用虚假工作机会诱骗软件开发人员，冒充虚假公司的招聘人员。在技术评估期间，受害者被诱骗运行恶意代码，启动多阶段感染链。

EtherHiding将恶意负载嵌入公共区块链（包括以太坊和币安智能链）的智能合约中，允许攻击者通过只读调用获取恶意软件，且不留下交易痕迹。这种方法提供匿名性，对抗清除具有弹性，并能以平均每次更新1.37美元的低成本更新负载。负载包括JADESNOW（JavaScript下载器）和InvisibleFerret（用于凭据窃取、远程控制和窃取加密货币钱包数据及浏览器存储密码的后门）。

研究人员指出，威胁行为者使用多个区块链表明其运营存在隔离，并使取证分析更加困难。这种方法展示了向防弹托管的转变，利用区块链技术创建抗清除、灵活的恶意软件分发渠道。

用户应对与工作相关的下载保持警惕，并采用最佳实践，如在隔离环境中测试文件、限制可执行文件类型以及强制执行严格的浏览器策略以阻止脚本自动执行。

严峻问题 | 微软Defender漏洞可能导致数据窃取

研究人员报告了微软Defender for Endpoint（DFE）中未修补的漏洞，可能使攻击者绕过身份验证、伪造数据、泄露敏感信息，并将恶意文件注入安全分析师使用的取证证据收集中。

这些问题于2025年7月报告给微软安全响应中心，被归类为低严重性，截至本文撰写时尚未确认修复。研究人员关注代理与云后端通信的方式，使用Burp Suite和WinDbg内存补丁等工具绕过MsSense.exe和SenseIR.exe中的证书固定，允许明文拦截HTTPS流量，包括Azure Blob上传。

核心问题在于DFE对端点（如/edr/commands/cnc和/senseir/v1/actions/）的请求中，授权令牌和标头被忽略。低权限用户可以从注册表获取机器和租户ID来冒充代理、拦截命令或伪造响应（如伪造“已隔离”状态而让设备暴露）。

同样，用于实时响应和自动调查的CloudLR令牌也被忽略，允许负载操纵和上传到Azure Blob URI。此外，攻击者无需凭据即可访问8MB配置转储，揭示检测逻辑（如RegistryMonitoringConfiguration和ASR规则），而磁盘上的调查包可能被篡改，嵌入伪装成合法工件的恶意文件。

尽管相关研究人员进行了负责任的披露，但目前尚不清楚微软是否会很快修补这些漏洞。