安天移动一周威胁情报盘点(7月1日-7月8日)
本期导读:
移动安全
● 黑客滥用API验证数百万Authy MFA电话号码
● SpyMax RAT通过Telegram攻击安卓用户以逃避检测
● Doctor Web的2024年第二季度病毒活动综述
● 新型 Android 恶意软件 Snowblind 成为强大的数据窃取者
● Google Play中的恶意二维码阅读器应用程序提供Anatsa银行恶意软件
● 伪装成生成人工智能工具的信息技术恶意软件
APT事件
● Transparent Tribe 的 Android 间谍软件针对游戏玩家、武器爱好者
● Kimsuky 加大对韩国实体的攻击力度
● 热牛角面包配病毒:Andariel窃取韩国国防秘密
● Kimsuky使用TRANSLATEXT Chrome扩展窃取敏感数据
● APT-C-26(Lazarus)组织利用PyPI对Windows、Linux和macOS平台的攻击行动
漏洞新闻
● Android上的25个新漏洞:Google的紧急补丁已经可用
● CocoaPods 中的严重缺陷导致 iOS 和 macOS 应用程序遭受供应链攻击
IoT安全
● 邪恶核心路由器发起840 Mpps破纪录DDoS攻击
数据安全
● 印尼国家数据中心遭受重大网络攻击
● Airtel 印度第二电信完整客户数据库泄露被贩卖
● 美国第二大人寿保险公司遭入侵,超250万人的信息被泄露
● Facebook 泄密事件 2024:黑客在泄密论坛上出售敏感用户数据
01
移动安全
01 黑客滥用API验证数百万Authy MFA电话号码
一个不安全的API端点允许威胁行为者验证数百万Authy多因素身份验证用户的电话号码,这可能会使他们容易受到短信钓鱼和SIM交换攻击。Authy是一款移动应用程序,可在启用MFA的网站上生成多因素身份验证码。6月下旬,一位名叫ShinyHunters的威胁演员泄露了一份CSV文本文件,其中包含他们声称在Authy服务注册的3300万个电话号码。
详细信息:
02 SpyMax RAT通过Telegram攻击安卓用户以逃避检测
新的Android RAT(远程管理工具),名为SpyMax,针对Telegram用户。它不需要根设备,更容易感染受害者。从设备中窃取个人数据,并将其发送到攻击者控制下的远程服务器,攻击者使用网络钓鱼技术诱骗用户下载冒充合法Telegram应用程序的恶意应用程序,一旦安装,它就会隐藏为常规Telegram应用以避免被检测。
详细信息:
https://cybersecuritynews.com/spymax-rat-telegram-android-attack/
03 Doctor Web的2024年第二季度病毒活动综述
2024年第二季度的主要趋势:
-
广告软件木马和不需要的广告软件程序高度活跃;
-
恶意脚本和各种钓鱼文档在恶意电子邮件流量中占主导地位;
-
安卓HiddeAdds广告软件木马再次成为安卓设备最常见的威胁;
详细信息:
https://news.drweb.com/show/?i=14869&lng=en
04 新型 Android 恶意软件 Snowblind 成为强大的数据窃取者
自今年年初以来,Android 恶意软件 Snowblind 一直在积极开展活动针对东南亚用户。该恶意软件针对基于 Linux 内核功能“seccomp”的 Android 应用程序。在目标设备上获得持久性,以应用程序为目标并操纵系统调用。它甚至可能从设备窃取数据,包括登录凭据和财务信息,并劫持用户会话。
详细信息:
05 Google Play中的恶意二维码阅读器应用程序提供Anatsa银行恶意软件
Google Play上发现了一款恶意二维码阅读器应用程序,该应用程序正在提供臭名昭著的Anatsa银行业务恶意软件,旨在窃取敏感的银行信息。一旦安装恶意的应用程序,会请求一系列允许其秘密操作的权限。监视用户的活动,捕捉击键并覆盖虚假登录屏幕以窃取凭据。它可以绕过许多传统的安全措施,长时间不被发现。
详细信息:
https://cybersecuritynews.com/malicious-qr-reader/
06 伪装成生成人工智能工具的信息技术恶意软件
发现模仿生成人工智能工具的Infostealing恶意软件和新的移动恶意软件GoldPickaxe能够窃取面部识别数据,创建深度伪造视频,供恶意软件的运营商用于验证欺诈性金融交易。信息窃取恶意软件也开始利用生成人工智能工具的模仿。2024年上半年,Rilide Steiner被发现滥用生成人工智能助理的名字,如OpenAI的Sora和谷歌的Gemini,以引诱潜在的受害者。
详细信息:
https://www.helpnetsecurity.com/2024/07/05/infostealing-malware-generative-ai/
02
APT事件
01 Transparent Tribe 的 Android 间谍软件针对游戏玩家、武器爱好者
Transparent Tribe 威胁行为者继续发布带有恶意软件的 Android 应用程序,作为针对感兴趣个人的社会工程活动的一部分。这些 APK 延续了该组织将间谍软件嵌入到精心策划的视频浏览应用程序中的趋势,并针对移动游戏玩家、武器爱好者和 TikTok 粉丝进行了新的扩展。
详细信息:
02 Kimsuky 加大对韩国实体的攻击力度
Kimsuky 采用了鱼叉式网络钓鱼、数据泄露和远程访问工具的组合来开展其行动。该组织专门针对个人,通过分发伪装成工作机会 PDF 的恶意软件。这些名为“职位描述(LM HR Division II).exe”的恶意文件巧妙地隐藏在 Adobe PDF 阅读器图标中,以欺骗受害者执行恶意软件。恶意软件安装后,窃取敏感信息,包括知识产权、财务数据和个人信息;劫持用户账户,远程访问系统。
详细信息:
03 热牛角面包配病毒:Andariel窃取韩国国防秘密
Lazarus Group有关联的黑客组织Andariel,使用Hotcroissant和Riffdoor后门攻击ERP系统而闻名。在检测到的活动中,攻击者使用regsvr32.exe进程从特定路径执行DLL。检测到的DLL是恶意软件。黑客在代码中使用了“xctmain”关键字,这使得后门被归类为xctdoor。其中,插入恶意例程的方法与2017年Andariel组织利用其安装HotCroissant后门的案例类似。
详细信息:
https://www.securitylab.ru/news/549727.php
04 Kimsuky使用TRANSLATEXT Chrome扩展窃取敏感数据
Kimsuky与使用一种新的恶意谷歌Chrome扩展程序有关,该扩展程序旨在窃取敏感信息,这是正在进行的情报收集工作的一部分。Zscaler ThreadLabz,其中观察2024年3月初的活动代号为TRANSLATEXT扩展,突出了其收集电子邮件地址、用户名、密码、cookie和浏览器屏幕截图的能力。最近几周,该组织武器化的Microsoft Office(CVE-2017-11882)中的一个已知安全漏洞,用于分发键盘记录程序,并使用以工作为主题的诱惑针对航空航天和国防部门的攻击,目的是放下具有数据收集和辅助有效载荷执行功能的间谍工具。
详细信息:
https://thehackernews.com/2024/06/kimsuky-using-translatext-chrome.html
05 APT-C-26(Lazarus)组织利用PyPI对Windows、Linux和macOS平台的攻击行动
Lazarus组织通过PyPI仓库向各个平台的用户投递恶意样本进行攻击,其中Windows系统下的安装包携带加密载荷,通过层层解密,内存加载Comebacker恶意样本;Linux系统下的恶意安装包加载后,完成初始化时会远程下载ELF恶意文件,该文件具备完整的远控功能;在MacOS系统下,我们捕获的恶意样本和Linux系统下的恶意样本功能相似,文件名也类似,并且还具有相同C2,因此我们推测MacOS系统下的执行流程大概率与Linux下相同,也是通过PyPI仓库进行投递。
详细信息:
https://mp.weixin.qq.com/s/g2jQ9yeT68SGZb1APY7xtA
03
漏洞新闻
01 Android上的25个新漏洞:Google的紧急补丁已经可用
谷歌提交了操作系统的安全更新安卓解决25个漏洞,其中包括Framework中的三个权限提升漏洞、System中的三个权限提升漏洞和System中的一个泄漏漏洞。其中一个是严重的,被指定为CVE-2024-31320,影响Android 12和12L版本,使攻击者能够提升受影响设备上的权限。
详细信息:
https://www.securitylab.ru/news/549758.php
02 CocoaPods 中的严重缺陷导致 iOS 和 macOS 应用程序遭受供应链攻击
Swift 和 Objective-C Cocoa 项目的CocoaPods依赖管理器中发现了三个安全漏洞,可能被利用来发起软件供应链攻击,使下游客户面临严重风险。这些漏洞允许“任何恶意行为者声称拥有数千个无人认领的 pod,并将恶意代码插入许多最受欢迎的 iOS 和 macOS 应用程序中。
详细信息:
https://thehackernews.com/2024/07/critical-flaws-in-cocoapods-expose-ios.html
04
IOT安全
01 邪恶核心路由器发起840 Mpps破纪录DDoS攻击
网络安全研究人员发现了一次创纪录的 840 Mpps DDoS 攻击,并观察到约 2.5 Tbps 的峰值流量。MikroTik 路由器是导致大多数问题的原因,这些设备通常安装了过时的固件。有超过 99000 台 MikroTik 云核心路由器 (CCR) 在线暴露,每台设备最高可产生 4 – 12 Mpps 的速率。如果这些设备被用于僵尸网络,理论上可以产生高达 2.28 Gpps 的攻击流量。
详细信息:
https://cybersecuritynews.com/record-breaking-ddos-attack-840-mpps/
05
数据安全
01 印尼国家数据中心遭受重大网络攻击
印尼国家数据中心遭受大规模勒索软件攻击后,此次攻击扰乱了200多家政府机构的运营。在此次事件中,印尼临时国家数据中心(PDNS)于上周早些时候感染了臭名昭著的LockBit 3.0勒索软件的新变种Brain Cipher。黑客要求支付800万美元的赎金以解密数据,但印尼政府拒绝支付。官员尚未透露是否已有信息泄露或是否能够恢复被加密的数据,这些数据可能包括人口信息,如姓名、地址和个人身份号码,以及国家健康计划和教育课程等行业特定信息。
详细信息:
https://www.secrss.com/articles/67682
02 Airtel 印度第二电信完整客户数据库泄露被贩卖
Airtel India 俗称 Airtel,是印度第二大移动电话提供商和第三大固定电话提供商,同时也是宽带和订阅电视服务提供商。超过 3.75 亿 Airtel 印度客户的详细信息,包括电话、电子邮件、地址、父母姓名、政府身份证号(Aadhaar 等))出售,更新时间为 2024 年 6 月。
详细信息:
03 美国第二大人寿保险公司遭入侵,超250万人的信息被泄露
全球金融服务公司、美国第二大人寿保险公司 Prudential Financial 透露道,在今年 2 月的数据泄露事件中,有超过 250 万人的个人信息遭到泄露。今年 3 月,公司在向缅因州总检察长办公室提交的文件中透露,目前已给 36000 多人发送泄露通知,并告知他们的个人信息(包括姓名、驾驶执照号码和非驾驶员身份证号码)在此次入侵事件中被盗。
详细信息:
https://www.secrss.com/articles/67715
04 Facebook 泄密事件 2024:黑客在泄密论坛上出售敏感用户数据
一个地下论坛的威胁行为者发布了一起涉嫌数据泄露事件。根据用户“b1nary01”的论坛帖子,被盗的 2024 年 Facebook 用户数据库已被上传,其中包含 100,000 行用户信息。被盗数据包括敏感的用户信息,例如全名、个人资料、电子邮件、电话号码、出生日期和位置。
详细信息:
