安天移动一周威胁情报盘点(3月18日-3月25日)
本期导读:
移动安全
● 恶意软件警报!黑客利用软件即服务攻击印度安卓用户
● Cerberus银行恶意软件的虚假Chrome更新
APT事件
● DEEP#GOSU:疑似Kimsuky 使用隐形恶意软件瞄准受害者
● APT28黑客集团在广泛的网络钓鱼计划中瞄准欧洲、美洲和亚洲
● Kimsuky伪装成韩国公共机构安装文件
● 伊朗TA450集团对以色列人试行新战术
● 俄罗斯黑客用WineLoader恶意软件攻击德国政党
漏洞新闻
● Chrome 123、Firefox 124修补程序严重漏洞
IoT安全
● 新的AcidPour雨刷器针对Linux x86设备
● 蓝牙窃听威胁暴露:新的“BlueSpy”漏洞攻击流行耳机
● Unsaflok漏洞可让黑客解锁数百万酒店大门
数据安全
● Google Firebase泄露1.25亿用户机密信息
● 法国政府机构泄露4300万公民个人数据
● 以色列核设施数千份机密文件被泄露
01
移动安全
01 恶意软件警报!黑客利用软件即服务攻击印度安卓用户
该活动经过精心设计,旨在通过伪装成合法应用程序的APK软件包传播恶意软件。一旦安装,恶意软件的目标是盗窃银行信息,短信以及来自受害者设备的其他机密数据。
详细信息:
https://cybersecuritynews.com/malware-alert-hackers-android/
02 Cerberus银行恶意软件的虚假Chrome更新
Cerberus伪装成假Chrome更新的银行特洛伊木马,诱骗用户下载看起来像Chrome浏览器更新的内容,文件名为“Chrome_update_[随机版本号].apk”或简单的“Chrome.apk。”Cerberus拥有远程访问功能,允许攻击者完全控制受感染的设备。该恶意软件专门窃取财务信息,例如银行登录凭据和信用卡详细信息,直接从您的移动设备。
详细信息:
https://cybersecuritynews.com/beware-of-fake-chrome-update/
02
APT事件
01 DEEP#GOSU:疑似Kimsuky 使用隐形恶意软件瞄准受害者
Kimsuky 组织显然已转向使用新的基于脚本的攻击链,利用多个 PowerShell 和 VBScript stager 来悄悄地感染系统。后期脚本允许攻击者监视剪贴板、击键和其他会话活动。威胁行为者还使用远程访问木马 (RAT) 软件来完全控制受感染的主机,而后台脚本则继续提供持久性和监控功能。
详细信息:
02 APT28黑客集团在广泛的网络钓鱼计划中瞄准欧洲、美洲和亚洲
APT28与多个正在进行的网络钓鱼活动有关,这些活动使用模仿欧洲、南高加索、中亚、北美和南美政府和非政府组织的引诱文件。“包括内部和公开的文件,以及可能由参与者生成的与财务、关键基础设施、高管参与、网络安全、海事安全、医疗保健、商业和国防工业生产相关的文件。此后,APT28还以乌克兰政府实体和波兰组织为目标,发送网络钓鱼信息,旨在部署定制植入物和信息窃取者,如MASEPIE、OCEANMAP和STEELHOOK.
详细信息:
https://thehackernews.com/2024/03/apt28-hacker-group-targeting-europe.html
03 Kimsuky伪装成韩国公共机构安装文件
Kimsuky 组织向韩国公共机构分发了伪装成安装程序的恶意软件。所涉及的恶意软件是一个植入程序,它会创建Endor ,这是Kimsuky 组织历史攻击活动中使用的后门恶意软件。在安装的恶意软件中,还有捕获并窃取受感染系统屏幕截图的恶意软件。
详细信息:
https://asec.ahnlab.com/ko/62117/
04 伊朗TA450集团对以色列人试行新战术
伊朗结盟的威胁行为者TA450,也被称为MuddyWater,正在使用虚假的工资、薪酬和经济激励电子邮件诱骗跨国组织的以色列员工点击恶意链接。网络钓鱼活动从3月7日开始,一直持续到3月11日这一周。TA450发送的电子邮件包含带有恶意链接的PDF附件。初始访问下载一个包含压缩MSI文件的ZIP存档,该文件安装了AteraAgent,这是一种通常被TA450滥用的远程管理软件。
详细信息:
https://www.govinfosecurity.com/iranian-ta450-group-tries-out-new-tactics-on-israelis-a-24697
05 俄罗斯黑客用WineLoader恶意软件攻击德国政党
最近使用Wineloader后门进行的网络攻击与Midnight暴雪黑客组织(也称为APT29、Bluebravo或Cozy Bear)的活动有关。该组织在今年2月26日左右通过发送带有基督教民主联盟(CDU)徽标的电子邮件,对德国政党进行了网络钓鱼运动。这是APT29首次攻击政党。这个恶意活动使用了Wineloader后门,首次发现Zscaler今年2月攻击开始于德语钓鱼信,伪装成邀请晚宴。
详细信息:
https://www.securitylab.ru/news/546990.php
03
漏洞新闻
01 Chrome 123、Firefox 124修补程序严重漏洞
3月20日,谷歌和Mozilla宣布了针对数十个漏洞的网络浏览器安全更新,其中包括一个关键严重性缺陷和多个高严重性缺陷。浏览器更新还解决了Swiftshader、Canvas、Downloads和iOS等组件中的五个中等严重性漏洞,以及iOS中的一个低严重性安全漏洞。
详细信息:
https://www.securityweek.com/chrome-123-firefox-124-patch-serious-vulnerabilities/
04
IOT安全
01 新的AcidPour雨刷器针对Linux x86设备
与俄罗斯有关的雨刷器的一种新变体AcidRain,被追踪为AcidPour,被发现针对Linux x86设备,已在野外被检测到。AcidRain是一款ELF MIPS恶意软件,专门用于擦除调制解调器和路由器。专家认为,该擦除器并不复杂,并利用恶意攻击来危害设备,恶意代码能够擦除设备和存储设备文件。
详细信息:
https://securityaffairs.com/160739/cyber-warfare-2/acidpour-wiper.html
02 蓝牙窃听威胁暴露:新的“BlueSpy”漏洞攻击流行耳机
Tarlogic Security 推出了“BlueSpy”,这是一种概念验证漏洞,展示了如何将流行的蓝牙耳机悄悄转变为窃听设备,从而将私人对话暴露给潜在的黑客。BlueSpy 漏洞凸显了消费者蓝牙耳机中不安全配对方法的广泛使用如何带来重大隐私风险。使用 Linux 和现成的Python 脚本研究人员展示了攻击者如何在受害者不知情的情况下未经授权访问耳机、悄悄激活麦克风并录制对话。
详细信息:
03 Unsaflok漏洞可让黑客解锁数百万酒店大门
Unsafel是一系列漏洞,当链接在一起时,攻击者能够使用一对伪造的钥匙卡解锁房产中的任何房间。该漏洞影响了部署在全球13000家酒店和家庭中的300万个Saflok电子RFID锁,使研究人员能够通过伪造一对钥匙卡轻松解锁酒店的任何门。Unsaflok缺陷影响多个Saflok型号,包括由System 6000或Ambiance软件管理的Saflok MT、Quantum系列、RT系列、Saffire系列和Confident系列。
详细信息:
05
数据安全
01 Google Firebase泄露1.25亿用户机密信息
由于Google Firebase配置错误,至少有900个网站的敏感数据(包括用户的个人信息)在互联网上公开。总共发现了至少1.25亿个公开可用的用户记录。泄漏的数据包括未公开的支付信息和密码。
详细信息:
https://www.securitylab.ru/news/546851.php
02 法国政府机构泄露4300万公民个人数据
法国政府负责登记和协助失业者的法国劳动局(France Travail)成为大规模数据泄露事件的最新受害者,高达4300万公民的信息遭到窃取。该部门发表声明,泄露的信息包括姓名、出生日期、社会保障号码、法国劳动局标识符、电子邮件地址、邮政地址和电话号码。
详细信息:
https://www.secrss.com/articles/64509
03 以色列核设施数千份机密文件被泄露
黑客组织Anonymous宣布入侵以色列一个秘密核设施的计算机网络。他们成功地提取并发布了数千份文件,包括PDF文件、电子邮件和PowerPoint演示文稿,这些文件与以色列的核计划有关。到目前为止,还没有官方确认黑客确实成功地渗透了该设施的操作技术网络。
详细信息:
