-
网络安全早报英国黑客Tyler Buchanan认罪 涉Scattered Spider团伙窃取800万美元加密货币
一名英国公民在美国法庭对合谋入侵数十家公司网络并窃取数百万美元加密货币的指控表示认罪。美国司法部宣布,24岁的苏格兰邓迪人Tyler Robert Buchanan于2024年6月在西班牙被捕,并于2024年11月因参与以经济利益为动机的黑客团伙Scattered Spider在美国被起诉。 Buchanan承认实施了短信钓鱼攻击,向受害公司员工发送数百条包含钓鱼网站链接的信息,旨在窃取凭证和个人身份信息。利用窃取的信息,Buchanan及其同谋者访问了员工账户和公司系统,窃取了知识产权、个人身份信息、凭证和机密文件等敏感信息。他们使用钓鱼工具包捕获员工凭证,并将其发送至一个由Buchanan和一名同谋管理的Telegram频道。 Buchanan还承认利用窃取的信息识别了众多个人的虚拟货币账户和钱包。他与同伙通过SIM交换攻击绕过多因素认证,从美国受害者处窃取了至少800万美元的加密货币。2023年4月,执法部门在其苏格兰住所发现一台设备,内含多名受害者的姓名和地址,以及一个包含加密货币种子短语和受害者账户登录信息的文件。 Buchanan的量刑定于8月21日进行。其同谋Noah Michael Urban已于去年8月因参与Scattered Spider团伙被判处10年监禁。此案中另有三人被起诉:德克萨斯州卡城23岁的Ahmed Hossam Eldin Elbadawy、德克萨斯州达拉斯20岁的Evans Onyeaka Osiebo,以及北卡罗来纳州杰克逊维尔25岁的Joel Martin Evans。Scattered Spider又名Muddled Libra、Scatter Swine、Starfraud和UNC3944,曾因入侵酒店娱乐巨头MGM Resorts以及去年针对英美零售商的攻击而多次成为头条新闻。
-
网络安全早报英国黑客Tyler Buchanan承认长期网络攻击 致美国企业损失超800万美元
英国公民Tyler Robert Buchanan(24岁)已承认一项长达数年的黑客攻击活动,该活动针对美国个人受害者及公司并获利数百万美元。根据美国司法部(DOJ)信息,其攻击活动从2021年9月持续至2023年4月,主要针对依赖云服务和内部工具进行日常运营的组织。攻击者利用泄露或被盗的员工登录凭证,并通过包含钓鱼链接的恶意短信(即SMS钓鱼)来获取访问权限,并在公司系统中横向移动而不被发现。入侵后,他窃取了包括客户信息和专有材料在内的数据,并在某些情况下将访问权限本身变现。DOJ估计损失至少达800万美元,包括被盗的加密货币和与未授权访问相关的收入,但此数字可能未涵盖事件响应、法律诉讼和声誉损害等全部成本。Buchanan被广泛认为是Scattered Spider黑客组织的成员之一,但其认罪仅涉及特定的钓鱼和欺诈活动。他已在西班牙被捕并被引渡至美国,计划于2026年8月21日出庭,面临最高22年联邦监禁的法定刑期。其数名同伙也已面临指控或被判刑。
-
网络安全早报英国Scattered Spider黑客组织头目在美国认罪,涉千万美元加密货币盗窃案
一名被认为是Scattered Spider网络犯罪团伙头目的英国男子在美国对电信欺诈和严重身份盗窃指控表示认罪。2024年11月,美国检察官指控24岁的泰勒·罗伯特·布坎南(Tyler Robert Buchanan)及其他四名嫌疑人,在2021年9月至2023年4月期间,通过短信钓鱼攻击入侵至少十几家公司,窃取了至少800万美元的加密货币。受害组织涵盖娱乐、电信、科技、业务流程外包(BPO)、信息技术(IT)供应商、云通信提供商、虚拟货币提供商及个人。 根据美国司法部信息,布坎南及其同伙向受害公司员工的手机发送了数百条短信钓鱼信息,冒充受害公司或其IT/BPO供应商,诱导受害者访问仿冒的钓鱼网站并提交个人身份信息(PII)、账户用户名和密码。随后,他们利用窃取的信息通过SIM交换攻击劫持受害者电子邮件账户,从而控制其电话号码和虚拟货币钱包,并将数百万美元资金转移到其控制的钱包中。 布坎南于2024年6月在西班牙马略卡岛帕尔马被捕,自2025年4月起被美国联邦拘留,将于2026年8月21日被判刑,最高面临22年监禁。其三名同伙(Ahmed Hossam Eldin Elbadawy, Evans Onyeaka Osiebo, Joel Martin Evans)也于2024年11月被起诉,若罪名成立最高面临20年监禁。另一名关键成员诺亚·迈克尔·厄本(Noah Michael Urban,网名Sosa和Elijah)已于一年前认罪并被判处10年监禁。 Scattered Spider团伙(亦被追踪为0ktapus、Scatter Swine等)是一个由英语使用者(年龄低至16岁)组成的松散黑客组织,通过Telegram、Discord等渠道策划攻击。据FBI称,他们使用社会工程学、钓鱼、多因素认证(MFA)轰炸、SIM交换等多种手段入侵企业网络。自2023年初以来,该组织还与多个俄罗斯勒索软件团伙(如BlackCat/AlphV、Qilin、RansomHub)合作。该组织还涉嫌参与2023年MGM Resorts勒索软件攻击,并与对Caesars、Riot Games等公司的高调攻击有关。
-
网络安全早报伊朗情报部统一操控三大“黑客活动分子”品牌实施全球网络行动
一项由伊朗国家主导的行动隐藏在多个所谓的“黑客活动分子”品牌背后,利用不同网络身份实施协调一致的全球网络活动。最新分析将三个主要角色“Homeland Justice”、“Karma/KarmaBelow80”和“Handala”与伊朗情报与安全部(MOIS)联系起来,而非其自称的独立黑客团体。这些身份是同一技术团队、基础设施和行动手册上可互换的“皮肤”,使德黑兰能够细分宣传信息和目标,同时保持集中控制。 这些角色各有侧重:Homeland Justice针对阿尔巴尼亚,Karma针对以色列,Handala则围绕更广泛的反西方和亲巴勒斯坦主题。但三者的底层工具、基础设施和战术高度一致。美国当局现已明确将这些组织使用的品牌化泄密网站和域名与MOIS的心理行动挂钩。该活动最早于2022年因Homeland Justice声称对阿尔巴尼亚政府发动破坏性攻击而引发全球关注。调查人员称,MOIS操作人员在阿尔巴尼亚网络内潜伏超过一年,利用暴露的Microsoft SharePoint系统,使用窃取的凭证横向移动,窃取电子邮件,然后在网上高调宣称攻击前部署擦除器和加密工具。 自2023年底以色列-哈马斯战争开始后,同样的手法以Karma身份出现在针对以色列组织的攻击中,混合使用了自定义Webshell、凭证工具和破坏性工具(如BiBi Wiper)以及手动键盘操作。到2024年,Handala品牌成为主要前台,运行黑客与泄密及破坏性行动,并循环使用诸如handala-hack和“redwanted”等相似域名来托管攻击声明和泄露数据。研究人员将该生态描述为一台旨在引发恐惧、声誉损害和政治压力的黑客与泄密影响机器,而非纯粹的技术破坏。 2026年3月对医疗技术公司Stryker的攻击显示了该手段的演变程度。据报道,Handala攻击者劫持了一个Microsoft Intune管理员账户,并利用合法的远程擦除功能重置了79个国家多达20万台设备,同时在Telegram上公开前窃取了数TB的数据。美国机构随后发布紧急建议,警告各组织强化云管理工具、使用强多因素认证并锁定高权限访问。分析师警告,将Homeland Justice、Karma和Handala视为独立的“黑客活动分子团伙”会低估威胁,因为它们实际上是MOIS指挥的统一能力,可在间谍活动、破坏和心理行动之间快速切换。
-
网络安全早报新型勒索软件即服务组织The Gentlemen迅速崛起,已攻击超320名受害者
自2025年中出现以来,The Gentlemen勒索软件即服务组织已声称攻击了超过320名受害者,其中仅2026年就发生了240起攻击,使其成为今年迄今为止按受害者数量计算第二活跃的勒索软件组织。Check Point Research通过访问一个与The Gentlemen关联的活跃命令与控制服务器,发现了一个包含超过1570个可能企业受害者的僵尸网络,远超该组织公开声称的数字。该组织主要将面向互联网的设备(如VPN、防火墙)作为初始入侵点,并在进入后数小时内快速加密整个网络。制造业和科技公司是其主要攻击目标,医疗保健行业正成为第三大目标,这表明该组织并未遵守一些勒索软件运营商对关键服务设定的非正式限制。其向附属攻击者提供90%赎金分成的模式(行业标准通常为80/20),正吸引来自竞争对手项目的经验丰富的操作者,加速了其扩张。安全团队应优先修补面向互联网的基础设施、假设凭证已泄露、测试备份与恢复能力、监控横向移动并实施网络分段。
-
网络安全早报苏格兰黑客承认参与Scattered Spider团伙,涉窃800万美元加密货币
一名与网络犯罪团伙Scattered Spider有关的苏格兰男子在美国对一项网络钓鱼和SIM卡交换计划表示认罪,该计划窃取了至少800万美元的加密货币。24岁的Tyler Robert Buchanan(别名包括"Dread Pirate Roberts"、"Evefan"和"tylerb")在加利福尼亚州承认了一项共谋实施电信欺诈罪和一项严重身份盗窃罪,最高面临22年监禁。他于2024年6月在帕尔马机场被捕,自2025年4月起被美国羁押。 Buchanan承认在2021年9月至2023年4月期间,参与了对至少十几家美国公司、其员工以及多名个人的欺诈。美国司法部(DoJ)虽未明确指认该团伙为Scattered Spider,但广泛报道称Buchanan在此期间是该团伙成员。他进一步承认参与了总额至少800万美元的虚拟货币盗窃。根据法庭文件,该团伙在一年半内通过一系列网络犯罪窃取了至少1100万美元。 司法部指控,Buchanan及其同伙利用从公司入侵中窃取的信息,识别并访问个人受害者的虚拟货币账户和钱包以实施盗窃。他们通过未经授权访问受害者在线账户并进行SIM卡交换,将受害者手机号码转移到其控制的设备上,从而绕过双因素认证。2023年4月,警方在Buchanan位于苏格兰的住所发现了个人姓名和地址的证据,以及包含钱包助记词和一名受害者账户登录详情的文本文件。Buchanan的量刑定于2026年8月21日进行。
-
网络安全早报朝鲜关联组织UNC1069利用虚假会议平台攻击全球加密货币与Web3专业人士
与朝鲜有关联的威胁行为体UNC1069正在运行一项高度针对性的攻击活动,通过滥用伪造的Zoom、Google Meet和Microsoft Teams会议,来入侵Windows、macOS和Linux系统上的加密货币和Web3专业人士。其目标是利用隐蔽的社会工程和多阶段恶意软件部署,实现长期访问并大规模窃取数字资产。攻击者常劫持合法账户,继续现有对话,并通过Calendly等服务安排“尽职调查”或“合作”电话以获取信任。UNC1069(与Bluenoroff/CryptoCore存在重叠)冒充风险投资公司和知名投资品牌,在LinkedIn、Telegram等平台接触受害者。 受害者会收到高度模仿真实会议门户的链接,其中有时包含AI生成或重播的早期受害者或冒充高管的视频,以强化实时商务通话的假象。在这些门户内,攻击者以音频/视频问题或缺少SDK等借口,诱使用户运行命令或安装所谓的更新。核心感染手法是“ClickFix”式流程,即引导受害者在终端或提权的PowerShell窗口中实时粘贴并执行攻击者提供的命令。在Windows上,命令会拉取多个PowerShell脚本,进而下载并执行混淆的VBScript载荷、修改Windows Defender排除项并建立持久化。在macOS上,命令会获取伪装成Zoom或系统组件的Mach-O下载器,绕过Gatekeeper属性,应用临时代码签名,并获取与朝鲜行动相关的NukeSped RAT后门。Linux用户同样被引导执行脚本,获取ELF下载器,最终执行与Windows版Cabbage RAT共享配置、C2模式和解密逻辑的第二阶段ELF RAT。 此外,虚假会议门户本身也是隐蔽监控工具,其JavaScript滥用浏览器API(如navigator.mediaDevices.getUserMedia和WebRTC/WebSocket)捕获麦克风和摄像头流,这些录音可能被用于未来的诱饵或生成深度伪造。攻击基础设施分析显示了一个庞大的、模仿会议平台和加密货币投资实体的域名生态系统。安全研究人员建议,加密货币和Web3生态组织应将未经请求的投资接洽和“紧急”会议请求视为高风险,采取带外验证、禁止在通话中粘贴终端命令或关闭安全工具等具体防御措施,并监控源自协作会话的可疑PowerShell、curl和脚本活动。
-
网络安全早报英国AI数据中心版图重塑:电力与土地需求驱动产业从伦敦外迁
英国AI数据中心容量正从伦敦向外迁移,电力短缺、规划限制以及对金融公司低延迟连接依赖的降低,使其他地区更具吸引力。英国超过80%的数据中心容量位于伦敦周边地区,但电力供应已成为问题,数据中心与住宅项目争夺资源。西伦敦尤其"开始达到饱和点",土地和电网容量有限。据称斯劳区有多达35个数据中心,附近的希思罗机场是另一个热点。 云与托管服务商Pulsant首席营销官Mark Lewis指出,许多AI用例不需要低延迟连接伦敦金融城,因此对于希望建设AI基础设施的运营商而言,土地可用性和电网接入正开始超越靠近首都的优势。英国政府的《AI机遇行动计划》进一步推动了这一趋势,该计划旨在通过将国家置于AI发展前沿来推动经济复苏,包括围绕数据中心园区建立AI增长区,提供简化规划和优先电网接入。但优先接入需要可用电力,因此英国科学、创新与技术部(DSIT)概述了提供针对性定价支持(实质上是能源折扣)的计划,以引导运营商前往有容量的地区。 DSIT声称,英国一些地区的发电能力与电网将电力输送到其他地方的能力之间存在不匹配,并以苏格兰的风力发电资源为例,称其经常超过输电能力。Pulsant强调,鼓励运营商在英国其他地区设立并非要放弃伦敦,而是认识到将基础设施集中在一个地区,随着电力竞争加剧和AI负载扩大,将导致失败。与此同时,英国科学、创新与技术委员会已展开调查,探讨新兴的低能耗计算架构是否能遏制当前AI趋势驱动的螺旋式上升的电力需求。就在本月,ChatGPT开发商OpenAI暂停了在英国计划中的Stargate服务器农场项目,理由是能源成本和监管环境。根据经济事务研究所(IEA)的数据,英国的电价是世界上最昂贵的,此前报告称英国电价约为美国的四倍。
-
网络安全早报思科推出AI-RRM无线网络管理方案,以智能优化应对关键基础设施挑战
思科推出的AI驱动的无线资源管理(AI-RRM)功能,显著提升了网络性能并大幅减少了配置时间。该方案标志着对无线网络管理方式的根本性重新思考,因为Wi-Fi已从便利设施转变为关键任务基础设施的一部分。传统RRM基于规则、反应式运作,每10至15分钟根据射频环境快照进行调整,缺乏长期趋势感知,可能在高峰时段引发网络中断。思科AI-RRM的核心架构转变是引入了时间感知能力。它持续学习每个网络随时间变化的行为模式,理解特定网络在特定地点和时间的“正常”状态,从而实现在白天学习、在夜间低流量时段执行优化,避免在用户需要时干扰网络。该系统同时运行六种算法,评估射频性能的不同维度,并通过协调层决定应用建议的顺序和优先级。关键的是,它提供了人机回环能力,管理员可通过AI-RRM Insights和RF Simulator等功能预览AI驱动更改的影响。该服务作为单一架构同时支持Catalyst Center(本地部署)和Meraki仪表板(云管理)。客户启用后,通常在24小时内即可看到可衡量的Wi-Fi容量改进,平均吞吐量显著提升,峰值增益相比传统RRM基线可能高达10倍。AI-RRM是思科更广泛的AgenticOps产品组合的基础组件之一。
-
网络安全早报加拿大西林肯纪念医院通过思科网络与EKO数字框架构建智慧医疗新蓝图
拥有70多年历史的加拿大西林肯纪念医院(WLMH)为满足社区日益增长的医疗需求,启动了其历史上最重要的转型之一:一次旨在扩大容量并加强医院数字骨干网的全面重建。此次数字转型的成功依赖于强有力的协作。Computacenter主导了新的思科网络基础设施实施,并深度集成了新网络,使其既融入更大型医院集团的互联网络,也与EllisDon创新的数字框架EKO集成。EKO框架旨在统一医院系统、医疗设备和工作流程,以改善协调和患者护理。 思科的融合网络基础设施与EKO并行,解决了临床和行政系统(包括传统医疗设备)的连接需求。网络分段、自动化访问控制和实时监控有助于保护敏感的患者数据并满足监管要求。这一基础使WLMH能够充分利用EKO,将来自不同系统的数据转化为可操作的见解,从而提升患者护理和员工效率。在紧急情况下,例如“蓝色警报”被触发时,EKO能协调一系列响应,包括通知医护人员和指挥中心、启动引导灯、增强自动化访问控制以及准备房间照明和设备。思科网络使这些系统能够实时通信,形成闭环通信。此外,EKO还通过实时定位服务协助日常任务,如资产跟踪、资源调配和员工协调。WLMH的重建项目为医疗保健的未来提供了一个蓝图,展示了在网络和集成数字框架上进行战略投资如何重新定义患者护理的可能性。