The Good | 网络罪犯在勒索、DDoS和敲诈活动中受挫

21岁美国前士兵Cameron John Wagenius（化名“kiberphant0m”和“cyb3rph4nt0m”）对攻击至少十家美国电信和科技公司（包括AT&T和Verizon）并实施敲诈认罪。他使用SSH暴力破解和SIM交换技术窃取凭证，并向受害企业索要高达100万美元的赎金。

活跃于BreachForums和XSS论坛的Wagenius在2023年至2024年间与其他攻击者共谋，包括参与Snowflake网络攻击，甚至在服役期间仍在作案。他曾威胁泄露超过358GB被盗数据，并向一家受害公司索要50万美元加密货币。Wagenius于2024年12月被捕，本周被起诉，面临最高27年监禁，判决定于10月6日进行。

欧洲刑警组织主导的“Operation Elicius”行动瓦解了罗马尼亚勒索软件团伙“Diskstation”。该团伙近期针对Synology网络附加存储（NAS）设备加密数据并破坏业务，受害者包括意大利伦巴第地区的非政府组织和媒体公司。该团伙自2021年以来使用多个化名活动，要求赎金从1万到数十万美元加密货币不等。一名疑似主要操作者在布加勒斯特被捕。

另一项全球行动“Eastwood”针对亲俄罗斯黑客组织“NoName057(16)”，该组织对欧洲、以色列和乌克兰发动广泛DDoS攻击。当局查获100多台服务器，发出7份逮捕令并拘留两名嫌疑人。行动成功破坏了该组织的基础设施，但主要成员仍在俄罗斯，预计未来仍会持续攻击欧洲实体。

The Bad | Katz窃密软件MaaS兴起，通过多阶段感染链窃取敏感信息

SentinelLABS本周报告详细分析了Katz窃密软件——一款2025年初启动的复杂信息窃取器，以恶意软件即服务（MaaS）模式运营，因易用性、可定制功能和强大能力被网络罪犯广泛采用。通过Telegram、Discord和网络论坛营销，它提供基于Web的面板供附属机构创建自定义负载、管理被盗数据和配置攻击。

Katz采用隐蔽的多阶段感染链，始于网络钓鱼邮件或木马化下载。JavaScript投放器启动PowerShell命令从诱饵图像中检索隐写嵌入的有效负载。它使用UAC绕过、进程空心化和计划任务实现持久性并以提升权限执行，通常隐藏在MSBuild.exe等合法进程中。

一旦激活，Katz窃密软件专注于从浏览器、消息平台、游戏服务、电子邮件客户端、VPN和加密货币钱包中收集数据。它通过提取主解密密钥并在内存中解密敏感数据，绕过现代浏览器保护（如Google的应用绑定加密ABE）。

该恶意软件还针对钱包扩展、剪贴板数据和系统文件，通过HTTP将窃取信息发送回硬编码的命令与控制（C2）服务器。C2基础设施基于IP，Katz保持持久性以持续进行数据外泄。攻击者还可在数据窃取完成后远程清除痕迹。

尽管功能先进，Katz窃密软件仍严重依赖用户交互，因此预防关键在于针对社会工程和检测的培训与意识。SentinelOne Singularity通过实时分析恶意行为、进程注入和网络活动检测并阻止Katz窃密软件，确保系统免受这一不断演变的窃密软件威胁。

The Ugly | 朝鲜攻击者扩展Contagious Interview npm恶意软件活动

持续进行Contagious Interview活动的朝鲜威胁行为者在npm注册库发布了67个新的恶意包，继续破坏软件供应链。网络安全研究人员观察到这些包被下载超过17,000次，采用名为“XORIndex”的新恶意软件加载器，基于早期分发HexEval加载器的活动。

Contagious Interview以通过虚假编码任务或中毒开源包针对软件开发人员而闻名，目标是感染机器并提取敏感数据，尤其针对目标组织的开发人员。该活动与朝鲜利用远程IT角色非法访问全球网络的更广泛战略一致。

这些npm包是BeaverTail的初始访问载体——一款针对Web浏览器和加密货币钱包的基于JavaScript的信息窃取器，并可能部署Python后门InvisibleFerret。XORIndex与HexEval类似，分析受害者机器并与硬编码C2服务器通信以泄露系统信息并投放后续负载。

研究人员观察到XORIndex已从简单加载器演变为具有基本系统侦察能力的更高级工具。同时，攻击者轮换别名和包名以逃避检测，为防御者制造“打地鼠”场景。

该活动持续轮换npm维护者别名并重用核心恶意软件组件，使得检测困难。仅XORIndex自2025年6月以来已被下载超过9,000次。尽管持续进行清除努力，攻击者快速适应新变种。恶意软件采用一致策略手册与小变异部署，使威胁行为者能够在持续清除努力中保持持久性，凸显了开发者生态系统日益需要保持警惕。