安天移动一周威胁情报盘点（5月27日-6月3日）

       

本期导读：

移动安全

● LightSpy 间谍软件工具 macOS 版曝光，可用于窃取各类隐私数据

● 拟PDF阅读器和QR扫描仪：Teabot重返Google Play

● 被称为AllaSenha的新AllaKore RAT变体盯上的巴西银行

● 警惕Windows和Android恶意软件的假冒防病毒网站

● 研究称苹果的定位系统能够泄露用户行踪

● 飞马座袭击欧洲记者和活动人士的电话

● 跟踪软件应用pcTattletale在遭遇数据泄露和网站污损后宣布“停业”

APT事件

● PurpleInk、InkBox 和 InkLoader 的间谍活动隐秘三部曲

● 透明部落针对印度政府和国防部门的网络间谍活动

● 俄罗斯黑客利用HeadLace恶意软件和凭据收集攻击欧洲

● Konni组织冒充政府软件安装包攻击剖析

● 微软确认朝鲜新黑客组织

● 利用Dora RAT针对韩国企业的APT攻击

● SideWinder 通过结合正则表达式、Whois 记录和域名注册商来跟踪域名

漏洞新闻

● CVE-2023–52424：WiFi SSID 混淆攻击解析

IoT安全

● 恶意软件僵尸网络在2023年的神秘攻击中摧毁了60万台路由器

数据安全

● 顶级会计师事务所普华永道数据遭泄露，海量内部文件曝光

● LockBit 攻击美国电信设备供应商 Allied Telesis，敏感信息遭泄露

● 大量印度军警人员生物特征数据在公网暴露后遭贩卖

---

01

移动安全

01 LightSpy 间谍软件工具 macOS 版曝光，可用于窃取各类隐私数据

根据 ThreatFabric 的一份新报告显示，至少从 2024 年 1 月起，一种 macOS 植入程序就开始在野外活动。不过，它目前似乎仅限于在测试环境运行，网络安全研究人员使用的受感染机器屈指可数。

详细信息：

http://www.freebuf.com/news/402317.html

02 拟PDF阅读器和QR扫描仪：Teabot重返Google Play

Anatsa是一个银行木马，目标是欧洲，美国，英国和亚洲的650多个金融机构应用程序。特洛伊木马窃取在线银行的凭据以进行欺诈交易。到2023年底，Anatsa感染设备通过Google Play使用各种性能提升应用程序至少15万次。

详细信息：

https://www.securitylab.ru/news/548717.php

03 被称为AllaSenha的新AllaKore RAT变体盯上的巴西银行

巴西银行机构是一项新活动的目标，该活动旨在分发基于Windows的自定义变体AllaKore远程访问特洛伊木马程序（RAT）调用AllaPassword. 攻击的起点是一个恶意的Windows快捷方式（LNK）文件，该文件伪装成至少自2024年3月以来托管在WebDAV服务器上的PDF文档（“NotaFiscal.PDF.LNK”）。还有证据表明，该活动背后的威胁行为者之前滥用了Autodesk A360 Drive和GitHub等合法服务来托管有效载荷。

详细信息：

https://thehackernews.com/2024/05/brazilian-banks-targeted-by-new.html

04 警惕Windows和Android恶意软件的假冒防病毒网站

网络犯罪分子使用与合法杀毒软件提供商非常相似的虚假网站来分发恶意软件。这些网站包括：avast securedownloadload[.]com：此网站提供伪装成Android软件包文件（“Avast.apk”）的SpyNote特洛伊木马程序。一旦安装，该特洛伊木马程序就会请求侵入性权限，例如读取短信和通话日志、安装和删除应用程序、截屏、跟踪位置，甚至挖掘加密货币。

详细信息：

https://cybersecuritynews.com/fake-antivirus-websites-malware/

05 研究称苹果的定位系统能够泄露用户行踪

马里兰大学的研究人员使用苹果的公开数据，短时间内收集了全球WiFi BSSID地理位置的快照。实验表明，仅需最低限度的技术知识即可实施攻击，对个人消费级硬件构成威胁。用户即使未选择使用苹果的WPS，只要在苹果设备的WiFi范围内，其位置和移动也会被公开获取。

详细信息：

http://www.freebuf.com/news/401917.html

06 飞马座袭击欧洲记者和活动人士的电话

在2020年8月至2023年4月底期间，至少有7名驻欧洲的记者和活动人士成为NSO集团飞马间谍软件的目标一项新的调查这突显了高级间谍软件对作家和持不同政见者构成的持续威胁。本案的受害者包括五名记者和两名活动人士。

详细信息：

https://cyberscoop.com/spyware-europe-nso-pegasus/

07 跟踪软件应用pcTattletale在遭遇数据泄露和网站污损后宣布“停业”

美国间谍软件供应商pcTattletale在一次严重的数据泄露后关闭了其业务，该泄露暴露了其客户的敏感信息，以及从一些受害者那里窃取的数据。pcTattletale被宣传为“员工和儿童监控软件”，旨在“保护你的企业和家庭”。当然，它实际上是一种秘密监视他人手机和电脑的软件。

详细信息：

https://www.bitdefender.com/blog/hotforsecurity/stalkerware-app-pctattletale-announces-it-is-out-of-business-after-suffering-data-breach-and-website-defacement/

02

APT事件

01 PurpleInk、InkBox 和 InkLoader 的间谍活动隐秘三部曲

一项新的疑似数据盗窃活动，至少自 2021 年开始活跃，我们将其归因于一个称之为“LilacSquid”的高级持续威胁行为者 (APT)。威胁者成功攻击暴露在互联网上的易受攻击的应用服务器后，此活动使用了开源远程管理工具 MeshAgent 和 QuasarRAT 的定制版本（我们称之为“PurpleInk”）作为主要植入物。该活动旨在建立对受害组织的长期访问权限，以使 LilacSquid 能够将感兴趣的数据转移到攻击者控制的服务器。目标组织是美国、欧洲和亚洲的组织。袭击的目标是多个行业的实体，包括美国信息技术和工业部门的组织、欧洲能源部门的组织和亚洲的制药部门。

详细信息：

https://blog.talosintelligence.com/lilacsquid/

02****透明部落针对印度政府和国防部门的网络间谍活动

总部位于巴基斯坦的透明部落（APT36）使用跨平台编程语言瞄准了印度政府、国防和航空航天部门。2023年9月，黑莓观察到一封针对国防生产部（DDP）众多关键利益相关者和客户的鱼叉式网络钓鱼电子邮件，特别是航空航天部门的客户。”除了熟悉的策略外，透明部落还引入了新的迭代。2023年10月，他们首次使用ISO图像作为攻击向量，黑莓在目前的活动中注意到了这一点。黑莓还发现了一个新的Golang编译“该组织使用的多功能间谍工具，可以查找和过滤具有流行文件扩展名的文件，截屏，上传和下载文件，以及执行命令。”

详细信息：

https://industrialcyber.co/threats-attacks/blackberry-exposes-cyber-espionage-by-transparent-tribe-targeting-indian-government-defense-sectors/

03 俄罗斯黑客利用HeadLace恶意软件和凭据收集攻击欧洲

APT28被认为是一系列针对欧洲网络的HeadLace恶意软件和凭据获取网页的幕后黑手。“从2023年4月到12月，BlueDelta分三个不同阶段部署了Headlace恶意软件，使用地理围栏技术瞄准欧洲各地的网络，重点关注乌克兰。第一阶段采用了七阶段的基础设施链来交付恶意的Windows BAT脚本（即HeadLace），第二阶段于2023年9月28日开始，以使用GitHub作为重定向基础设施的起点而闻名，而第三阶段则从2023年10月17日开始改用InfinityFree上托管的PHP脚本。

详细信息：

https://thehackernews.com/2024/05/russian-hackers-target-europe-with.html

04 Konni组织冒充政府软件安装包攻击剖析

该组织近期使用MSI载荷进行攻击，这类载荷在Konni之前攻击中很少使用，未被公开披露过。在本轮攻击中，Konni组织使用具有诱导性的文件名，如SpravkiBKsetup.msi，在运行MSI程序会释放正确的软件安装程序以迷惑用户，其恶意行为在后台静默执行，从而导致受害者中招，达到窃密目的。

详细信息：

https://mp.weixin.qq.com/s/3GhWv3wsiAIZTClDBJxG-g

05 微软确认朝鲜新黑客组织

Moonstone Sleet 之前被追踪为 Storm-1789，这是该科技巨头用来指代未分类恶意活动集群的名称，它至少自 2023 年 8 月初就开始活跃。到目前为止，该威胁行为者与另一个朝鲜组织 Diamond Sleet 表现出了很大的重叠性。  Moonstone Sleet 大量重复使用了 Comebacker 等已知Diamond Sleet恶意软件的代码，并使用成熟的 Diamond Sleet 技术来获取组织访问权限，例如使用社交媒体传播木马软件。

详细信息：

https://www.infosecurity-magazine.com/news/new-north-korean-hacking-group?utm\_source=twitterfeed

06 利用Dora RAT针对韩国企业的APT攻击

最近发现了针对韩国公司和机构的 Andariel APT 攻击案例。目标组织包括韩国的教育机构以及制造和建筑企业。攻击使用了后门上的键盘记录器、信息窃取程序和代理工具。威胁行为者可能使用这些恶意软件来控制和窃取受感染系统的数据。

详细信息：

https://asec.ahnlab.com/en/66088/

07 SideWinder 通过结合正则表达式、Whois 记录和域名注册商来跟踪域名

威胁情报工具SilentPush分析了单个域名指标，并确定了 37 个与已知 SideWinder 活动密切相关的新域名。我们分析了 IP 地址、域名注册商、注册日期、相关文件和子域名的历史记录。

详细信息：

https://www.embeeresearch.io/advanced-guide-to-infrastructure-analysis-tracking-apt-sidewinder-domains/

03

漏洞新闻

01 CVE-2023–52424：WiFi SSID 混淆攻击解析

CVE-2023–52424（又称 SSID 混淆攻击）已成为无线网络安全的重大隐患。SSID 混淆攻击利用了 IEEE 802.11 标准中的一个设计缺陷，允许客户端设备被诱骗连接到与预期不同的 Wi-Fi 网络。这是可能的，因为网络的 SSID 并不总是经过身份验证，即使网络凭据（密码或其他身份验证机制）经过身份验证。

详细信息：

https://mp.weixin.qq.com/s/8rONuElmBxA8nUUQtnkm4w

04

IOT安全

01 恶意软件僵尸网络在2023年的神秘攻击中摧毁了60万台路由器

2023年，一个名为“Pumpkin Eclipse”的恶意软件僵尸网络实施了一场神秘的破坏性事件，摧毁了60万台离线的办公室/家庭办公室（SOHO）互联网路由器，扰乱了客户的互联网访问。这起事件集中影响了一家互联网服务提供商（ISP）和该公司使用的三种型号的路由器：ActionTec T3200s、ActionTec T3260s和Sagemcom F5380。

详细信息：

https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-attack/

05

数据安全

01 顶级会计师事务所普华永道数据遭泄露，海量内部文件曝光

普华永道（PwC）遭遇数据泄露，18900份内部档案被公开，文件大小共222GB。2024年3月，一名为“SubdoMailing”的大规模广告欺诈活动使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件，包括普华永道等知名企业的域名遭到劫持。

详细信息：

https://www.secrss.com/articles/66638

02 LockBit 攻击美国电信设备供应商 Allied Telesis，敏感信息遭泄露

LockBit 声称对美国著名电信设备供应商 Allied Telesis, Inc. 发动了网络攻击，入侵该公司系统。据称Allied Telesis泄露的信息包括可追溯至 2005 年的机密项目详细信息、护照信息和各种产品规格。为了证明他们的入侵行为，威胁者据称披露了蓝图、护照详细信息和机密协议，并设定了 2024 年 6 月 3 日的最后期限，以全面发布被盗数据。

详细信息：

https://www.anquanke.com/post/id/296904

03 大量印度军警人员生物特征数据在公网暴露后遭贩卖

5月28日消息，在印度全国大选期间，发生了一起大规模的数据泄露事件，数百万人的生物特征信息遭到暴露。发现了一个未正确配置密码保护的数据库，总计166159份（496.4 GB）文件遭暴露，内含警察、军人、教师甚至铁路工人的面部扫描图像、指纹、签名和识别标记等敏感生物特征信息。除生物识别数据外，出生证明、照片、电子邮件地址、就业申请、毕业证书、资格证书和其他教育相关文件等重要个人信息也在泄露之列。

详细信息：

https://www.secrss.com/articles/66569