安天移动一周威胁情报盘点(1月22日-1月29日)
本期导读:
移动安全
● 巴基斯坦威胁行为者利用虚假贷款 Android 应用程序瞄准印度
● 研究称手机环境光传感器可泄露用户隐私信息
● MavenGate攻击可能让黑客通过废弃的库劫持Java和Android
● X增加了对美国iOS用户的密钥支持
● 苹果击败NSO集团:法院支持iPhone被间谍软件感染
● 热门应用滥用苹果 iPhone 推送通知,暗中窃取用户数据
APT事件
● 微软内网遭撞库攻击:高管邮件数据被盗,法务/安全部门也被访问
● Lazarus 组织使用武器化的开源PDF阅读器的攻击活动分析
● 朝鲜ScarCruft APT集团瞄准信息安全专业人士
漏洞新闻
● 新的蓝牙漏洞可让黑客接管 iOS、Android、Linux 和 MacOS 设备
● 苹果在iPhone、Mac电脑中发布关键零日补丁
IOT安全
● 车辆协同感知中的数据伪造攻击
● 亚马逊切断与警方的联系:Ring门铃视频现在被隐私锁定
数据安全
● 中国石油和天然气、电力公司数据正在被贩卖
● Mega Breach数据库暴露260亿条记录
● Ivanti 正在导致美国机密数据泄露
● 乌克兰:黑客从俄罗斯研究中心窃取了2 PB的数据
● 7.5 亿印度移动网络消费者数据库被泄露
01
移动安全
01 巴基斯坦威胁行为者利用虚假贷款 Android 应用程序瞄准印度
假贷款应用程序声称为其用户提供即时贷款。该应用程序要求受害者登录并提交他们的详细信息,作为 KYC 的一部分,其中包括一张自拍照。此过程完成后,用户将被定向到一个页面,其中向受害者显示了列出的数十万卢比的金额。一旦用户选择了金额,他们就会看到需要支付一小笔费用才能获得数十万卢比的即时贷款。此后,威胁行为者操纵自拍照创建裸体图像,并试图通过威胁将其分发到他们的联系人列表来勒索金钱。
详细信息:
02 研究称手机环境光传感器可泄露用户隐私信息
麻省理工学院计算机科学和人工智能实验室(CSAIL)的一项研究论文显示,Android 和 iPhone 手机的环境光传感器可以变成摄像头,让攻击者可以探测用户行为及其周围环境。他们提出了一种计算成像算法,可以从屏幕的角度恢复环境图像。所需要的只是这些传感器中的单点光强度变化。研究表明,环境光传感器可以拦截各种用户手势,并捕获用户在观看视频时如何与手机互动,这些传感器可能会给用户带来隐私风险。
详细信息:
http://www.freebuf.com/news/390377.html
03 MavenGate攻击可能让黑客通过废弃的库劫持Java和Android
Java和Android应用程序中已废弃但仍在使用的几个公共和流行库,已被发现易受一种名为MavenGate的新软件供应链攻击方法的影响。对项目的访问可能会通过域名购买被劫持,由于大多数默认构建配置都很脆弱,因此很难甚至不可能知道是否正在进行攻击。利用这些缺点可能会让邪恶的参与者劫持依赖项中的工件,并将恶意代码注入应用程序,甚至通过恶意插件破坏构建过程。
详细信息:
https://thehackernews.com/2024/01/hackers-hijack-popular-java-and-android.html
04 X增加了对美国iOS用户的密钥支持
X公司宣布,美国iOS用户现在可以使用密钥登录他们的帐户。密钥将链接到生成它们的iOS设备,并通过提供网络钓鱼攻击保护和阻止未经授权的访问尝试,显著降低违规风险。设置链接到iOS设备的密钥后,您可以在不输入密码或使用双因素身份验证(2FA)的情况下登录。
详细信息:
05 苹果击败NSO集团:法院支持iPhone被间谍软件感染
苹果2021年11月起诉NSO集团并要求法院永久禁止NSO使用任何Apple软件、服务或设备。该诉讼称,该公司违反了美国计算机欺诈和滥用法(CFAA)、加州不公平竞争法和iCloud云服务使用条款,在受害者不知情或不同意的情况下,NSO集团的间谍软件被安装在受害者的设备上。2023年3月,NSO集团要求法院驳回苹果的诉讼,声称苹果必须在NSO集团的本土管辖权以色列提起诉讼。该公司还表示,苹果不能对违反CFAA的行为提起诉讼,因为苹果本身没有受到损害或损失。法院驳回了NSO集团的论点,指出CFAA的反黑客目标与苹果的指控一致。
详细信息:
https://www.securitylab.ru/news/545521.php
06 热门应用滥用苹果 iPhone 推送通知,暗中窃取用户数据
部分热门应用利用 iPhone 推送通知功能秘密发送用户数据。许多 iOS 应用程序正在使用由推送通知触发的后台进程来收集设备的用户数据,从而有可能创建用于跟踪的指纹档案。这些应用程序绕过了苹果公司的后台应用程序活动限制,对 iPhone 用户构成了隐私风险。根据应用程序的不同,涉及的数据包括系统运行时间、地域、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示亮度等等。
详细信息:
http://www.freebuf.com/news/390735.html
02
APT事件
01 微软内网遭撞库攻击:高管邮件数据被盗,法务/安全部门也被访问
微软表示,这次攻击系由俄罗斯支持的黑客组织“午夜暴雪”(Midnight Blizzard)发起。“从2023年11月下旬开始,威胁行为者通过密码喷洒攻击侵入一个遗留的非生产测试租户帐号,获得了立足点。此后,他们利用该帐号的权限访问了微软公司的少数电子邮件帐号,包括高级领导团队成员及网络安全、法务和其他职能团队员工,并窃取了一些电子邮件及附件。
详细信息:
https://www.secrss.com/articles/63068
02 Lazarus 组织使用武器化的开源PDF阅读器的攻击活动分析
通过Telegram与目标用户建立联系,攻击者向用户发送了经过武器化处理的PDF阅读器和一份精心设计的PDF文档。当用户使用这个被修改的PDF阅读器打开恶意文档时,嵌入其中的恶意代码便开始解密文档中隐藏的恶意载荷,并在内存中释放Loader。此Loader负责进一步解密和释放其他恶意载荷,逐步展开整个攻击链。
详细信息:
https://mp.weixin.qq.com/s/Mflg1NZVrHC6JuVm0rW6GQ
03 朝鲜ScarCruft APT集团瞄准信息安全专业人士
民族国家行为者试图引诱安全研究人员下载恶意软件或参与其他形式的妥协的方法多种多样,在过去的18个月里,以下活动被曝光:
-
政府支持的朝鲜实体采用了几种方法针对不同公司和组织从事漏洞研究和开发的安全研究人员,包括创建虚假的X个人资料和博客,在寻求合作进行研究之前,与研究人员建立信誉。
-
一个未知的威胁行为者创建来自不存在的合法网络安全公司的虚假GitHub账户,以吸引信息安全专业人员。
-
一个可疑的朝鲜团体创建假冒LinkedIn账户,冒充招聘人员引诱网络安全专业人士。威胁行为者利用X等社交媒体网站与目标建立关系,有时进行长达数月的对话,最终向他们发送包含零日漏洞的恶意文件。
详细信息:
https://www.csoonline.com/article/1296496/north-koreas-scarcruft-apt-group-targets-infosec-pros.html
03
漏洞新闻
01 新的蓝牙漏洞可让黑客接管 iOS、Android、Linux 和 MacOS 设备
安全研究人员发现影响 iOs-Android、Linux 和 macOS 的所有漏洞:CVE-2024-0230、CVE-2023-45866、CVE-2024-21306,威胁参与者可以在没有用户确认的情况下利用新漏洞配对模拟蓝牙键盘并注入击键。
详细信息:
http://www.hackdig.com/01/hack-1203340.htm
02 苹果在iPhone、Mac电脑中发布关键零日补丁
苹果公司1月22日发布了iOS、iPadOS、macOS、tvOS和Safari网络浏览器的安全更新,以解决一个在野外受到积极利用的CVE-2024-23222,是WebKit浏览器引擎中的一个类型混淆错误,在处理恶意编制的web内容时,威胁参与者可能会利用该错误来执行任意代码。苹果还为CVE-2023-42916和CVE-2023-4 2917–补丁于2023年12月首次发布,适用于较旧的设备-iOS 15.8.1和iPados 15.8.1。
详细信息:
https://thehackernews.com/2024/01/apple-issues-patch-for-critical-zero.html
04
IOT安全
01 车辆协同感知中的数据伪造攻击
自动驾驶车辆(CAVs)的感知系统面临一个基本限制,即车载传感器的感知能力有限。例如,常用的3D传感器LiDAR无法穿透遮挡物,可能产生低分辨率,导致检测性能不完善。最近的许多研究提出了基于LiDAR的协同感知算法,其中不同的附近车辆交换感知信息,并对融合的数据使用目标检测算法。
尽管协同感知正在迅速发展,但它给车辆安全引入了严重的漏洞,因为安全关键的感知算法现在依赖于来自远程不受信任车辆的传感器数据或特征图。通过对远程车辆进行物理访问,攻击者可以控制该车辆的软件或硬件,伪造分享的数据,将虚假的目标检测结果注入到目标车辆中,误导它们触发事故。
详细信息:
http://www.freebuf.com/vuls/390184.html
02 亚马逊切断与警方的联系:Ring门铃视频现在被隐私锁定
亚马逊拥有家庭门铃业务,该公司将停用“请求协助”工具,该工具允许执法机构在自愿的基础上请求用户提供视频。去年,亚马逊同意支付580万美元,以解决美国联邦贸易委员会提出的投诉。FTC指控Ring侵犯数据隐私和安全。
详细信息:
https://www.securitylab.ru/news/545509.php
05
数据安全
01 中国石油和天然气、电力公司数据正在被贩卖
据称,未经授权的#access (VPN-RDP) 正在出售给一家中国石油和天然气、电力公司,该公司的收入为 35 亿美元。起始价:1500 美元
详细信息:
https://twitter.com/DailyDarkWeb/status/1749854513731916140/photo/1
02 Mega Breach数据库暴露260亿条记录
一个由260亿条记录组成的新的12TB数据库在网上曝光,尽管其内容是从以前的违规行为中拼凑出来的。在泄露的记录中,有15亿属于腾讯客户,5亿来自类似推特的中国网站微博,还有MySpace(3.6亿)、Twitter(2.81亿)、LinkedIn(2.51亿)和Adobe(1.53亿)。
详细信息:
https://www.infosecurity-magazine.com/news/mother-breaches-unlikely-new-data/
03 Ivanti 正在导致美国机密数据泄露
网络安全和IT管理软件巨头Ivanti的两款产品(Connect Secure VPN和Ivanti Policy Secure网络访问控制设备)曝出的两个零日漏洞近日在全球范围被大规模利用于部署后门、挖矿软件和自定义恶意软件。根据威胁监控服务Shadowserver的最新数据,目前有超过16.2万个在线暴露的ICS VPN设备,其中超过4700个在美国(Shodan还发现近17000个在线暴露的Ivanti ICS设备)。美国政府机构可能遭受最大的政府数据泄露。美国网络安全和基础设施安全局 ( CISA ) 发布紧急指令,呼吁联邦民事行政部门 (FCEB) 机构采取行动,减轻Ivanti Connect Secure (ICS) 和 Ivanti 中两个被积极利用的零日漏洞的影响策略安全 (IPS)。
详细信息:
https://www.anquanke.com/post/id/292830
04 乌克兰:黑客从俄罗斯研究中心窃取了2 PB的数据
乌克兰国防部主要情报局声称,亲乌克兰的黑客活动者入侵了俄罗斯空间水文气象中心,即“planeta”,并抹去了2 PB的数据。Planeta是一个国家研究中心,利用太空卫星数据和雷达和台站等地面来源,提供有关天气、气候、自然灾害、极端现象和火山监测的信息和准确预测。
详细信息:
05 7.5 亿印度移动网络消费者数据库被泄露
印度 7.5亿移动网络消费者数据库待售,该数据集包含了印度约7.5亿人的移动网络消费者信息,覆盖其85%的人口。数据信息包括客户姓名、手机号码、备用联系电话、居住地址、Aadhaar(12 位唯一身份号码)详细信息、家庭成员姓名等。压缩数据大小为600GB,未压缩数据大小为1.8TB。
详细信息:
