网络安全周报第43期 | SIM卡欺诈、云身份滥用与APT钓鱼攻击

本期网络安全周报揭露了三类重要威胁:Europol摧毁全球SIM卡盒欺诈网络,犯罪团伙通过4万张SIM卡实施诈骗;Jingle Thief组织利用云身份进行大规模礼品卡欺诈;PhantomCaptcha钓鱼活动针对乌克兰救援组织部署多阶段恶意软件。

好消息 | 欧洲刑警组织摧毁全球SIM卡盒欺诈网络

欧洲刑警组织摧毁了一个代号为"SIM卡特尔"的重大网络犯罪即服务行动,该行动涉及超过3,200起欺诈案件,造成至少450万欧元损失。该网络运营着1,200台SIM卡盒设备,包含约4万张SIM卡,使犯罪分子能够租用来自80多个国家注册个人的电话号码。这些号码被用于创建4900万个欺诈性在线账户,用于网络钓鱼、投资欺诈、敲诈勒索、身份冒充和移民走私等犯罪活动。

这项非法服务通过gogetsms.com和apisim.com网站运营,出售"快速安全的临时"电话号码访问权限, marketed用于匿名通信和账户验证。GoGetSMS还为用户提供了将自己的SIM卡变现的途径。然而,评论表明这是大规模身份欺诈的前台,现已被揭露为欧洲迄今为止最广泛的SIM卡盒欺诈计划之一。欧洲刑警组织表示该基础设施"技术高度复杂",使全球犯罪分子能够在实施基于电信的欺诈时隐藏身份。

在奥地利、爱沙尼亚、芬兰和拉脱维亚协调进行突击搜查后,警方共逮捕了七名嫌疑人。他们还查获了五台服务器、两个网站、数十万张SIM卡、银行账户中的43.1万欧元存款、26.6万欧元加密货币和四辆豪华车辆。两个域名已被关闭,现在显示官方执法横幅。

查获的SIM卡(来源:欧洲刑警组织)

迄今为止,当局已将该网络与奥地利的1,700起欺诈案件和拉脱维亚的1,500起案件联系起来,总损失近500万欧元。欧洲刑警组织对查获服务器的取证分析旨在识别该非法服务的客户。

坏消息 | Jingle Thief利用云身份实施大规模礼品卡欺诈

安全研究人员的新报告详细介绍了"Jingle Thief"的活动,这是一个经济动机的威胁组织,几乎完全在云环境中运营,进行大规模礼品卡欺诈。该组织至少自2021年以来一直活跃,通过网络钓鱼和短信钓鱼活动针对零售和消费服务组织,旨在窃取Microsoft 365凭证。

通过攻击者基础设施进行的短信钓鱼凭证窃取(来源:Unit 42)

一旦进入内部,攻击者利用基于云的基础设施冒充合法用户,未经授权访问敏感数据,并操纵礼品卡发放系统。通过专注于映射云网络的活动,攻击者可以在账户间横向移动,并通过创建收件箱规则、转发电子邮件和注册恶意验证器应用以绕过M365的多因素认证等隐蔽策略避免检测。

与传统恶意软件驱动的攻击不同,Jingle Thief严重依赖身份滥用,选择利用被盗凭证而不是部署自定义有效载荷,以混入正常用户活动中。这种方法使他们能够维持访问权限数月之久,同时在灰色市场上发行或销售未经授权的礼品卡以获取利润。

研究人员还观察到在2025年4月至5月期间Jingle Thief活动的主要浪潮,在此期间该组织在单个组织内入侵了60多个用户账户。攻击者在SharePoint和OneDrive中进行了广泛侦察,搜索与礼品卡系统相关的财务工作流程、IT文档和虚拟机配置。

利用云身份而非端点进一步推动了基于云的网络犯罪趋势,被钓鱼的凭证和身份滥用使经济动机的行为者能够扩大运营规模,同时保持低调。Jungle Thief的活动提醒我们要优先考虑基于身份的监控和云原生安全措施,以提供完整的可见性和实时检测。

恶劣消息 | PhantomCaptcha鱼叉式钓鱼针对乌克兰救援网络

SentinelLABS与乌克兰数字安全实验室共同揭露了"PhantomCaptcha",这是一个单日的鱼叉式钓鱼活动,针对乌克兰地区政府管理机构和人道主义组织,如国际红十字會、联合国儿童基金会、挪威难民理事会以及其他与战争救援工作相关的非政府组织。

该行动于2025年10月8日启动,始于冒充乌克兰总统办公室,分发带有武器的PDF附件,将受害者重定向到虚假的Zoom网站。在那里,一个假的Cloudflare验证码诱使用户复制并粘贴恶意的PowerShell命令——这是一种ClickFix技术,旨在通过诱骗受害者自己执行恶意软件来绕过传统端点控制。

感染路径

一旦运行,脚本部署了一个多阶段的PowerShell有效载荷,导致连接到俄罗斯拥有基础设施上的WebSocket远程访问木马。该RAT支持任意命令执行、数据外泄,以及通过加密的WebSocket通信进一步部署恶意软件的潜力。尽管调查显示攻击者花了六个月时间准备该活动,但它仅活跃了24小时,这表明基础设施展示了复杂的操作安全性和规划。

SentinelLABS将该活动与另一个基于Android的间谍活动联系起来,该活动托管在princess-mens[.]click上,分发伪装成成人娱乐或云存储应用的带有间谍软件的APK,旨在收集联系人、媒体文件和地理位置数据。

虽然归属仍未确认,但技术重叠,包括ClickFix诱饵和俄罗斯托管的C2服务器,表明可能与COLDRIVER(又名UNC4057或Star Blizzard)有关联,这是一个与俄罗斯联邦安全局有关的威胁组织。PhantomCaptcha是一个高度组织化和适应性强的对手的例子,能够混合社会工程、短暂但高度分隔的基础设施和跨平台间谍活动,以针对乌克兰的人道主义和政府部门。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次