安天移动一周威胁情报盘点(5月6日-5月13日)
本期导读:
移动安全
● 芬兰当局警告针对银行用户的安卓恶意软件活动
● DNS 流量可能会泄漏到 Android 上的 VPN 隧道之外
APT事件
● 巴基斯坦新间谍组织利用 Android 恶意软件针对印度国防军
● 美国国家安全局警告朝鲜黑客利用薄弱的 DMARC 电子邮件政策
● APT42,伊朗网络间谍用新后门打击目标
● 针对区块链从业者的招聘陷阱:疑似Lazarus(APT-Q-1)窃密行动分析
● 朝鲜黑客针对加密公司部署新型Golang恶意软件“榴莲”
● “面具”间谍组织时隔 10 年后卷土重来
● APT28大规模恶意软件攻击波兰机构
漏洞新闻
● 多个小米安卓设备漏洞让攻击者劫持手机
● 微软披露严重安全漏洞,受影响App安装量超40亿
● 谷歌发布Android更新修补程序关键漏洞
● 多个三星移动设备漏洞可让攻击者执行任意代码
IoT安全
● 破解Telit Cinterion调制解调器:一条短信如何完全控制设备
数据安全
● Veritone AI:两台开放服务器如何暴露美国政府数据
● 英国安全公司数据泄露:数百万张身份证和闭路电视照片
● 萨尔瓦多遭遇大规模生物特征数据泄露
● 戴尔泄露4900万用户购物数据:疑涉及大量中国用户
● 美国专利商标局确认申请人地址数据再次泄露
01
移动安全
01 芬兰当局警告针对银行用户的安卓恶意软件活动
芬兰交通和通信局Traficom就当前针对银行账户的安卓恶意软件活动发出警告。据称来自多家公司的短信,声称存在债务催收或异常账户活动。这些消息敦促收件人拨打指定的服务号码。来电后,收件人会收到潜在欺诈的警告,并被建议通过下载防病毒软件来保护他们的设备。然后,受害者收到一条后续短信,其中包含一个安全软件的链接,该软件实际上是伪装成McAfee防病毒软件的恶意软件。一旦安装,该恶意软件就会允许访问受害者的应用程序和消息,包括网上银行,允许骗子从受害者的网上银行窃取资金。
详细信息:
https://securityaffairs.com/162768/malware/finland-android-malware-campaign-banks.html
02 DNS 流量可能会泄漏到 Android 上的 VPN 隧道之外
最近获悉 Android 上存在多个潜在的 DNS 泄漏问题。它们源于 Android 本身的错误,并且只影响某些应用程序。确认这些泄漏发生在多个版本的 Android 中,包括最新版本 (Android 14)。Android 操作系统可能泄漏 DNS 流量的已识别场景:
-
如果 VPN 处于活动状态且未配置任何 DNS 服务器。
-
当 VPN 应用程序重新配置隧道或被强制停止/崩溃时的一小段时间。
详细信息:
https://mullvad.net/en/blog/dns-traffic-can-leak-outside-the-vpn-tunnel-on-android
02
APT事件
01 巴基斯坦新间谍组织利用 Android 恶意软件针对印度国防军
疑似由巴基斯坦 APT 组织通过 WhatsApp Messenger,针对印度国防人员发送的 Android 恶意软件样本通过 WhatsApp Messenger 发送给印度国防人员。有效负载可能是由 Spynote Android 远程管理工具或名为“Craxs Rat”的修改版本生成,以高度复杂性混淆了该应用程序,使其难以理解。该活动已经持续一年多。
详细信息:
02 美国国家安全局警告朝鲜黑客利用薄弱的 DMARC 电子邮件政策
美国网络安全机构发布了一份联合公告,强调朝鲜民主主义人民共和国网络行为者试图利用配置不当的基于DNS域的消息验证、报告和一致性(DMARC)记录政策来隐藏社会工程学尝试。如果没有正确配置DMARC策略,恶意网络行为者可以发送伪造的电子邮件,就好像它们来自合法域的电子邮件交换一样。
详细信息:
03 APT42,伊朗网络间谍用新后门打击目标
伊朗国家支持的网络间谍组织APT42在最近针对非政府组织、政府和政府间组织的攻击中使用了两个新的后门,Nicecurl和Tamecat自定义后门。用VBScript编写的Nicecurl可以在受感染的机器上放置额外的模块,包括一个用于数据采集的模块和另一个用于任意命令执行的模块。2024年1月和2月,有人看到APT42冒充中东研究所和美国智库分发后门。Tamecat是一种能够执行PowerShell和C#内容的PowerShell工具,通过带有恶意宏的文档进行分发。
详细信息:
https://www.securityweek.com/iranian-cyberspies-target-governments-ngos-with-new-backdoors/
04 针对区块链从业者的招聘陷阱:疑似Lazarus(APT-Q-1)窃密行动分析
攻击者在工作平台(比如LinkedIn、Upwork、Braintrust等)上创建虚假的身份,伪装为雇主、独立开发者或初创公司创始人,发布具有丰厚报酬或者紧急任务的工作信息,工作内容通常是软件开发或者问题修复。攻击者试图说服应聘人员在自己设备上运行由他们提供的代码。一旦应聘者不加怀疑地运行程序,其中插入的恶意JS代码将会窃取感染设备上与虚拟货币相关的敏感信息,并植入其他恶意软件。
详细信息:
https://mp.weixin.qq.com/s/84lUaNSGo4lhQlpnCVUHfQ
05 朝鲜黑客针对加密公司部署新型Golang恶意软件“榴莲”
被追踪为Kimsuky的朝鲜威胁行为者被观察到部署了一个以前没有记录的基于Golang的恶意软件,该恶意软件被称为榴莲作为针对两家韩国加密货币公司的高度针对性网络攻击的一部分。榴莲拥有全面的后门功能,可以执行已发送的命令、额外的文件下载和文件过滤。这些攻击发生在2023年8月和11月,涉及使用韩国独有的合法软件作为感染途径.
详细信息:
https://thehackernews.com/2024/05/north-korean-hackers-deploy-new-golang.html
06 “面具”间谍组织时隔 10 年后卷土重来
“Careto”或“ The Mask ”组织突然在针对拉丁美洲和中非组织的网络间谍活动中重新出现。攻击的重点似乎是窃取 Chrome、Edge、Firefox 和 Opera 浏览器的机密文档、cookie、表单历史记录和登录数据。该安全供应商表示,它还观察到攻击者针对 WhatsApp、微信和 Threema 等通讯应用程序的 cookie。卡巴斯基将 Careto 组织的攻击者描述为使用定制技术闯入受害者环境,保持对受害者的持久性并获取信息。作为攻击链的一部分,Careto 利用了两个受害者使用的安全产品中以前未知的漏洞,在每个受害者网络的计算机上分发了四个多模块植入程序。
详细信息:
07 APT28大规模恶意软件攻击波兰机构
该活动发送的电子邮件内容旨在引起收件人的兴趣,并说服他点击链接。值得注意的是,滥用Mocky和webhook[.]网站等合法服务是ATP28参与者反复采用的一种策略,从而避开安全软件的检测。
详细信息:
https://thehackernews.com/2024/05/kremlin-backed-apt28-targets-polish.html
03
漏洞新闻
01 多个小米安卓设备漏洞让攻击者劫持手机
移动安全公司Oversered披露了这些漏洞,发现了20个影响小米广泛应用程序和系统组件的关键缺陷。这些漏洞可能会让黑客访问存储在设备上的敏感信息,包括个人数据、财务信息和其他机密信息。如果利用这些缺陷,攻击者可能会接管设备、注入恶意代码或从设备内存中窃取数据。
详细信息:
https://cybersecuritynews.com/multiple-xiaomi-android-devices-flaw/
02 微软披露严重安全漏洞,受影响App安装量超40亿
研究人员披露了一个名为“Dirty Stream”的严重安全漏洞,利用该安全漏洞,执行任意代码以及盗取令牌。一旦成功利用漏洞,威胁攻击者就可以完全控制应用程序的“行为”,并利用窃取的令牌在未经授权的情况下访问受害者的在线账户和其他数据。该漏洞可能影响几款下载总量数十亿的 Android 应用程序。其中受该安全漏洞影响程度最大的两个应用程序如下:
-
小米文件管理器 (com.mi. Android.globalFileexplorer) ,安装量超过 10 亿次。
-
WPS Office (cn.wps.moffice_eng) ,安装量超过 5 亿次。
详细信息:
http://www.freebuf.com/news/400004.html
03 谷歌发布Android更新修补程序关键漏洞
谷歌本周宣布了一批新的安卓安全更新,以解决总共26个漏洞,包括系统组件中的一个严重缺陷。这些问题中最严重的是系统组件中的一个关键安全漏洞,该漏洞可能导致权限在本地升级,而不需要额外的执行权限。该漏洞已作为的一部分解决2024-05-01安全补丁级别,解决了八个缺陷,包括框架组件中的四个权限提升(EoP)缺陷,以及系统组件中的三个EoP问题和一个信息披露缺陷。
详细信息:
https://www.securityweek.com/android-update-patches-critical-vulnerability/
04 多个三星移动设备漏洞可让攻击者执行任意代码
2024 年 5 月的安全维护版本 (SMR) 中包含了这 25 个 SVE 项目的补丁,三星已采取主动措施来减轻与这些漏洞相关的风险。三星漏洞和暴露(SVE)项目。这些缺陷涉及三星设备的各个组件,包括操作系统、固件以及三星开发的某些专有软件。这些漏洞可能允许恶意分子在设备上执行任意代码或提升其权限,从而获取对敏感信息或系统功能的未经授权的访问。
详细信息:
https://mp.weixin.qq.com/s/4MNYiNezddARuoC1kJBwTQ
04
IOT安全
01 破解Telit Cinterion调制解调器:一条短信如何完全控制设备
手机调制解调器中的危险漏洞讯亦允许攻击者通过短信远程执行任意代码。已发现8个不同的漏洞,其中7个漏洞已从CVE-2023-47610获得,CVE-2023-47616,第8个漏洞尚未注册。为了最大限度地降低风险,专家建议与运营商合作,例如禁用向受影响设备发送SMS,并使用受保护的专用APN(Access Point Name)。它还建议验证应用程序签名,以防止在调制解调器上安装不可靠的MIdlets,并采取措施防止未经授权的物理访问设备。
详细信息:
https://www.securitylab.ru/news/548123.php
05
数据安全
01 Veritone AI:两台开放服务器如何暴露美国政府数据
Veritone 为政府和警察机构提供的服务的很大一部分涉及自动编辑文档中的敏感信息、分析面部识别数据(称为识别嫌疑人)以及处理音频和视频监控数据以查找见解、关键字和图像类型。 3 月 23 日,UpGuard 发现政府人工智能技术的主要提供商 Veritone Inc. 在两台独立的未受保护的 Elasticsearch 服务器上暴露了约 550GB 的内部和客户端数据。暴露的数据包括 Veritone 员工数据和凭证、内部系统日志、人工智能培训数据以及来自国土安全部和退伍军人事务部等美国政府组织的客户数据。
详细信息:
https://www.upguard.com/breaches/veritone
02 英国安全公司数据泄露:数百万张身份证和闭路电视照片
英国安伯斯通安全公司数据泄露,这导致公众查阅了近130万份文件。在一个公开的互联网数据库中,数据包含公司保安人员和涉嫌犯罪(包括商店盗窃)的照片。此外,泄露的文件中还有一个庞大的数据库,其中包括2017年以来保安人员身份证的照片。这些由英国私人保安管理局(SIA)发行的卡上有姓名、照片和到期日期,在某些情况下甚至有保安的个人签名。
详细信息:
https://www.securitylab.ru/news/548037.php
03 萨尔瓦多遭遇大规模生物特征数据泄露
Resecurity已识别萨尔瓦多500多万公民的个人身份信息(PII)在暗网,影响了该国80%以上的人口。化名为“CiberienteligenciaSV”的威胁行为者向Breach Forums发布了144 GB的数据转储,并写道此次泄露包括5129518张高清照片,每张照片上都标有相应的萨尔瓦多文件识别号。数据转储包括以下字段:ID、身份证明文件(酒后驾车)、姓名、出生日期、电话、电子邮件、地址以及受害者照片。
详细信息:
04 戴尔泄露4900万用户购物数据:疑涉及大量中国用户
一位威胁行为者声称,已窃取了约4900万名戴尔客户的信息。随后,戴尔向客户发布了数据泄露警告。戴尔表示,威胁行为者在入侵期间访问了以下信息:姓名、收件地址以及戴尔硬件和订单信息,包括服务标签、物品描述、订单日期和相关保修信息。戴尔强调,被盗信息不包括财务或支付信息、电子邮件地址或电话号码。
详细信息:
https://www.secrss.com/articles/65996
05 美国专利商标局确认申请人地址数据再次泄露
美国专利商标局 (USPTO) 在本周发给受影响商标申请人的电子邮件中表示,他们的私人住所地址(可以包括家庭住址)在 2023 年 8 月 23 日至 2024 年 4 月 19 日期间出现在公共记录中。美国专利商标局去年六月也曾曝光过类似的申请人地址数据。当时,美国专利商标局表示,在长达数年的数据泄露中,它无意中暴露了约 61,000 名申请人的私人地址,部分原因是通过发布其批量数据集,并告诉受影响的个人该问题已得到解决。
详细信息:
