好消息 | 当局打击勒索软件、加密货币诈骗和朝鲜洗钱活动 三家网络安全公司DigitalMint和Sygnia的三名前雇员因参与BlackCat（又名ALPHV）勒索软件攻击美国五家公司而被起诉。据称，被告在2023年5月至11月期间担任BlackCat的附属机构，入侵网络、窃取数据、部署加密恶意软件并索要加密货币赎金。受害者包括医疗、制药和工程公司。检察官称，赎金要求从30万美元到1000万美元不等，其中一家公司支付了127万美元。如果罪名成立，三人每人将面临最高50年的监禁。

此外，美国财政部本周对两家朝鲜金融机构和八名个人实施制裁，原因是他们通过欺诈性IT工作者计划清洗被盗的加密货币。被制裁对象包括Ryujong Credit Bank和Korea Mangyongdae Computer Technology Company（KMCTC），以及负责管理与勒索软件攻击和违反联合国制裁相关资金的高管和银行家。美国外国资产控制办公室（OFAC）表示，过去3年，与朝鲜有关的网络犯罪分子使用恶意软件和社会工程学窃取了超过30亿美元的加密货币。这些制裁冻结了在美国的资产，并警告与这些实体进行交易将面临次级处罚的风险。

在欧洲，当局逮捕了9名涉嫌参与一个加密货币欺诈网络的嫌疑人，该网络在多个国家盗取了超过6亿欧元（6.89亿美元）。犯罪分子据称创建了虚假的加密投资平台，承诺高回报，并通过社交媒体、陌生电话和假冒名人投资者的虚假代言来招募受害者。受害者损失了资金，而嫌疑人则使用区块链工具清洗被盗资产。在塞浦路斯、西班牙和德国由欧洲司法组织协调的行动中，执法部门查获了现金、加密货币和银行账户。

坏消息 | SleepyDuck木马利用以太坊智能合约逃避打击 研究人员称，一款名为“SleepyDuck”的新型远程访问木马（RAT）伪装成一个常用的Solidity扩展，潜伏在开源注册表Open VSX上。该恶意软件利用以太坊智能合约来管理其命令与控制（C2）通信，有助于其即使在主服务器被端掉的情况下也能保持持久性。

这款被感染的扩展（juan-bianco.solidity-vlang）于10月31日发布时最初是良性的，但在次日更新后变为恶意，当时它已被下载了14,000次。目前，该扩展在Open VSX上仍然可用，但附有公开警告。总下载量已超过53,000次。

安全研究人员报告称，当代码编辑器启动、打开Solidity文件或运行编译命令时，SleepyDuck就会激活。它通过来自extension.js的虚假webpack.init()函数来伪装其恶意活动，同时秘密执行收集系统信息（如主机名、用户名、MAC地址和时区）的有效载荷。

触发后，木马会查询以太坊区块链以找到最快的RPC提供商，读取其C2详细信息，并进入轮询新指令的循环。这种基于区块链的C2冗余意味着，即使主C2域（sleepyduck[.]xyz）被禁用，恶意软件仍可以从区块链获取更新的地址或命令，这使得打击工作变得异常困难。

作为回应，Open VSX引入了新的安全措施，包括缩短令牌寿命、自动扫描、撤销任何泄露的凭证，以及与VS Code协调以阻止新出现的威胁。给开发者的最佳实践包括验证扩展发布者，并仅从可信的存储库安装软件，以避免供应链攻击。

坏消息 | 伊朗黑客组织针对美国政策专家的新型间谍活动 今年6月至8月间，一个新发现的威胁集群“UNK_SmudgedSerpent”针对美国专注于中东政策的学者和外交政策专家发起了一系列有针对性的网络攻击。该活动恰逢伊朗与以色列紧张局势升级之际，使用了与伊朗国内事务和伊斯兰革命卫队（IRGC）军事化相关的政治主题诱饵。

研究人员表示，该活动背后的威胁行为者最初通过良性电子邮件交流发起攻击，然后引入冒充美国知名外交政策人物和智库机构（如布鲁金斯学会和华盛顿研究所）的钓鱼链接。超过20位美国境内专注于伊朗相关政策的专家被引诱打开恶意会议文档和登录页面，这些页面旨在窃取他们的微软账户凭证。在一些攻击中，攻击者发送了指向虚假MS Teams登录页面的URL，但如果受害者产生怀疑，他们会转而使用伪造的OnlyOffice网站。

点击这些链接会导致下载伪装成Microsoft Teams的恶意MSI安装程序，然后部署合法的远程监控和管理（RMM）软件，如PDQ Connect。随后的活动表明攻击者手动安装了ISL Online等其他工具，这表明可能存在“手动键盘入侵”。

研究人员指出，该行动的战术与已知的伊朗网络间谍组织如TA455（又名UNC1549, Smoke Sandstorm）、TA453（又名TunnelVision, APT 35, UNC788）和TA450（又名TEMP.Zagros）的战术相似。研究人员认为UNK_SmudgedSerpent的活动是伊朗情报机构更广泛收集行动的一部分，旨在从西方专家那里收集关于地区政策、学术分析和战略技术的见解。