关键词
网络攻击
概览
2025 年 6 月至 8 月,乌克兰政府及关键基础设施持续受到俄罗斯支持的高级网络威胁组织攻击。这些威胁行为者采用“Living-Off-the-Land(LotL)”策略,利用系统自带工具和合法管理软件,实现长期潜伏、持续访问,而不依赖明显的恶意软件。
攻击特点
-
目标与时间线
-
攻击手法
-
Webshell 部署:攻击者在未修补漏洞的服务器上放置 Localolive,执行远程命令
-
合法工具滥用:主要使用 Windows 自带工具(cmd.exe、PowerShell、rundll32.exe 等)进行侦察、内存转储、注册表提取和凭证收集
-
定时任务:每 30 分钟执行内存转储和后门脚本,实现持续访问
-
凭证收集:针对 KeePass 密码库及 Windows 内存中敏感信息进行抓取
-
网络与远程访问修改:启用 RDP、安装 OpenSSH、配置端口访问,以便长期远程控制
-
高级规避与隐蔽性
-
最小化恶意软件使用,降低被检测的概率
-
利用稀有工具(如 Windows Resource Leak Diagnostic)进行内存操作
-
通过合法管理工具进行操作,隐藏攻击来源与意图
影响与风险
-
乌克兰政府及关键基础设施:被迫面对长期网络渗透,敏感数据持续泄露
-
商业服务机构:客户凭证与内部配置文件可能被窃取
-
行业趋势:攻击者从破坏性攻击转向信息收集与长期潜伏,增加防御难度
背景关联
-
攻击疑似与 Sandworm(GRU 旗下单位) 相关,曾对电力网与卫星通信实施破坏性攻击
-
Webshell 工具 Localolive 曾在 “BadPilot” 多年行动中使用
-
俄罗斯网络犯罪生态逐渐被国家管理和调控,攻击与商业、政治目标紧密关联
关键词
恶意软件
近期,移动安全公司 Zimperium 发布的调查显示,一种针对 Android 用户的高速增长的网络威胁正在蔓延,这类攻击利用手机的近场通信(NFC)和主机卡仿真(HCE)功能,将受感染的设备变为支付诈骗工具。自 2024 年 4 月以来,Zimperium 的研究团队 zLabs 已经发现超过 760 个恶意应用,它们能够实时拦截银行卡数据,最初只是零星个案,但现在已发展为全球性问题,感染案例遍布俄罗斯、波兰、捷克、斯洛伐克、巴西等多个国家。
根据 Zimperium 发布的报告《Tap-and-Steal: The Rise of NFC Relay Malware on Mobile Devices》,这些恶意应用通常伪装成官方银行或政府应用,模仿 Google Pay、VTB 银行、Santander 银行以及俄罗斯国家服务门户(Gosuslugi)等品牌的界面与交互体验。一旦用户安装并将其设置为默认支付方式,应用便悄然激活 NFC 中继功能,将卡片数据转发至攻击者控制的远程服务器,使得黑客几乎能够即时完成欺诈交易,而无需接触受害者的实体银行卡。
Zimperium 的分析显示,这些攻击行动涉及超过 70 个命令与控制(C2)服务器,并通过多个 Telegram 机器人协调金融数据的转售和诈骗操作。恶意应用通过结构化命令进行通信,一台受感染设备收集支付数据,另一台设备在实体终端完成交易,整个过程以实时中继方式进行,使攻击者能够仿冒合法的 NFC 支付。
研究人员还指出,这些恶意应用伪装得非常逼真,通常通过简单的 Web View 展示真实的金融机构标识和文字信息,令用户误以为是官方软件。感染后,应用会悄悄将敏感信息——包括卡号、有效期和 EMV 数据——通过私密的 Telegram 频道传输给黑客,由其管理被盗凭证和销售。
与依赖覆盖界面或 SMS 拦截的传统银行木马不同,这一代恶意软件利用 Android 的 Host Card Emulation 技术,将设备直接模拟为虚拟支付卡。这种方式更直接、更高效,也绕过了面向传统金融木马设计的安全防护措施。
Zimperium 表示,其 Mobile Threat Defense(MTD)和 zDefend 平台已经识别并阻止了多个 NFC 中继恶意软件家族。但该公司强调,这一威胁凸显了对 NFC 权限和支付特权进行更严格防护的迫切需求。对于 Android 用户而言,目前最有效的防护措施仍包括:仅从官方 Google Play 商店下载应用、避免第三方应用商店、保持移动安全软件更新、谨慎处理未知支付设置请求,并保持高度警惕。
文章来源 :安全圈
暂无评论内容