安天移动一周威胁情报盘点(1月5日-1月12日)
本期导读:
移动安全
● 叙利亚匿名阿拉伯语组织分发隐形恶意软件Silver RAT
● 中国发现通过AirDrop监视用户的方法
● Atomic Stealer新版本利用虚假网站感染Mac用户
APT事件
● APT-C-56(透明部落)使用RlmRat家族最新攻击活动
● 与俄罗斯有关的APT Sandworm在乌克兰电信巨头Kyivstar内部长达数月
● 印度APT组织针对我国军工行业的网络攻击事件
● 针对美国关键基础设施员工的为期数月的AsyncRAT活动
● BlueNoroff使用新型macOS后门SpectralBlur开展网络攻击
● 土耳其APT海龟复活荷兰IT公司间谍
● 伊朗 APT 对阿尔巴尼亚⾬刮器攻击
漏洞新闻
● 安卓2024年1月安全更新修补程序修复58个漏洞
● CISA标记6个漏洞-苹果、Apache、Adobe、D-Link、Joomla受到攻击
IOT安全
● Hermes抗干扰通信套件保护俄罗斯无人机免受干扰
● 门禁系统的生物识别信息安全技术分析
数据安全
● MyEstatePoint房地产搜索Android应用程序泄露用户密码
● 巴西全体居民的个人信息公开
● Blackcat获取国际国防机密
● 暗网掀起泄露数据发布狂潮
● 沙特外交部曝光敏感数据15个月
01
移动安全
01 叙利亚匿名阿拉伯语组织分发隐形恶意软件Silver RAT
名为“匿名阿拉伯语”的威胁行为者正在分发一种名为Silver RAT的C#远程访问特洛伊木马。该恶意软件支持多种功能,包括绕过反病毒和秘密启动隐藏的应用程序、浏览器和键盘记录程序。目前版本的RAT Silver RAT v1.0是一种基于Windows的威胁,但专家认为,开发者也将推出安卓变体。Silver RAT v1.0还支持破坏性功能,如使用勒索软件进行数据加密,以及破坏系统恢复点的功能。
详细信息:
https://securityaffairs.com/157153/cyber-crime/syrian-group-anonymous-arabic-silver-rat.html
02 中国发现通过AirDrop监视用户的方法
北京大学发明了一种破解加密的iPhone日志方法,以识别通过AirDrop共享内容的发件人的号码和电子邮件。研究人员发现,与发件人设备名、电子邮件地址和手机号码相关的字段被记录为哈希值,一些哈希值字段被隐藏。为了破解此字段,技术团队创建了一个详细的手机号码和电子邮件帐户表,可以解码加密文本,并快速锁定发送者的手机号码和电子邮件帐户。
详细信息:
https://www.securitylab.ru/news/545092.php
03 Atomic Stealer新版本利用虚假网站感染Mac用户
Atomic Stealer 似乎在 2023 年 12 月中下旬左右进行了更新,其开发人员引入了有效负载加密,以绕过检测规则。威胁行为者通过模仿流行通信工具 Slack 的 Google 搜索广告来引诱受害者,并将他们重定向到一个诱饵网站,在该网站上可以下载 Windows 和 Mac 版应用程序:
详细信息:
02
APT事件
01 APT-C-56(透明部落)使用RlmRat家族最新攻击活动
攻击者通过使用WhatsApp等社交软件直接传输APK安装包给受害者。攻击最早开始于2023年3月,并且一直持续到8月份。受影响地区主要为印度,同时发现尼泊尔地区也有少量受害用户。近期监控到的样本主要伪装成“Aadhaar”、“训练照片”、“学生简介”等程序,均属于RlmRat家族。相关的远控指令未发生任何变化,但是对其恶意功能进行了大量削减,仅仅保留了窃取设备文件的功能,属于是RlmRat的精简版本。
详细信息:
https://mp.weixin.qq.com/s/I-beF5SWmqVMGTfUifieZg
02 与俄罗斯有关的APT Sandworm在乌克兰电信巨头Kyivstar内部长达数月
乌克兰当局透露,至少自2023年5月以来,与俄罗斯有关的APT Sandworm一直在电信巨头基辅星内部。12月,基辅星,乌克兰最大的服务提供商在一次重大网络攻击后倒闭。这家乌克兰电信公司基于广泛的固定和移动技术提供通信服务和数据传输,包括乌克兰的4G(LTE)。Kyivstar移动网络为全国约2600万移动客户和100多万宽带固定互联网客户提供服务。威胁行为者摧毁了“几乎所有东西”,包括数千台虚拟服务器和个人电脑。SBU确定,威胁行为者本可以窃取个人信息、跟踪手机位置、拦截短信,并可能以他们获得的访问权限窃取Telegram账户。
详细信息:
https://securityaffairs.com/156958/cyber-warfare-2/sandworm-inside-kyivstar-for-months.html
03 印度APT组织针对我国军工行业的网络攻击事件
“蔓灵花”APT组织针对我国军工行业发起的APT攻击事件。向我国军工行业投递带有恶意程序的钓鱼邮件附件,该附件内含有恶意的CHM文件,一旦有受害者点击这个CHM文件,就会在本地创建计划任务。该计划任务会设定每隔15到20分钟与攻击者远程服务器通信一次,继而下载MSI文件,向受害者电脑内植入wmRAT后门程序。
详细信息:
https://mp.weixin.qq.com/s/\_gBnAlghd3gbP-PQ5M-7yQ
04 针对美国关键基础设施员工的为期数月的AsyncRAT活动
一个威胁组织一直以多家管理美国关键基础设施的公司的员工为目标,通过网络钓鱼电子邮件分发一个名为AsyncRAT的开源木马程序。“AsyncRAT是一款于2019年发布的开源远程访问工具,目前仍在Github中可用。与任何远程访问工具一样,它可以被用作远程访问特洛伊木马(RAT)。”AsyncRAT本身于2022年使用安全公司Trend Micro追踪的APT集团称其为Earth Berberoka或GamblingPuppet。
详细信息:
05 BlueNoroff使用新型macOS后门SpectralBlur开展网络攻击
名为SpectralBlur的后门针对苹果macOS展开攻击。后门显示出与恶意软件家族的相似之处ANDYORN(又名SockRacket),这被归因于与朝鲜有关拉撒路称为的子组BlueNoroff(又名TA444)。SpectralBlur不是一个复杂的恶意软件,它支持普通的后门功能,包括根据C2发出的命令上传/下载文件、运行shell、更新配置、删除文件、休眠或睡眠。
详细信息:
https://securityaffairs.com/157010/apt/macos-backdoor-spectralblur-north-korea.html
06 土耳其APT海龟复活荷兰IT公司间谍
海龟,一个与土耳其政府结盟的黑客组织,自2020年以来一直未被发现,现已回归。这些活动发生在2021年至2023年之间。他们瞄准了电信、媒体、IT和互联网服务提供商(ISP)。APT组织还针对库尔德网站,特别是那些隶属于库尔德工人党的网站。
在2023年的一次行动中,该组织在cPanel上使用了一个被泄露的账户,cPanel是全球多个组织使用的网络托管控制面板,来自一家VPN提供商使用的IP地址。cPanel帐户用于从属于主机提供商的IP地址执行SSH登录。这让海龟得以进入其目标的IT基础设施,使用Unix shell Bash执行恶意命令。
详细信息:
https://www.infosecurity-magazine.com/news/turkish-apt-sea-turtle-resurfaces/
07 伊朗 APT 对阿尔巴尼亚雨刮器攻击
该组织于2023年12月24日再次露面,声称为消灭恐怖分子的支持者,并将其最新的活动描述为#DestroyDurresMilitaryCamp,其攻击目标涉及阿尔巴尼亚航空、通信、议会等领域。据悉,活动期间,Homeland Justice部署的两个主要工具包括可执行擦除器No-Justice和PowerShell脚本,脚本负责在启用Windows远程管理(WinRM)后将擦除器传播到目标网络中的其他计算机。
详细信息:
https://www.clearskysec.com/wp-content/uploads/2024/01/No-Justice-Wiper.pdf
03
漏洞新闻
01 安卓2024年1月安全更新修补程序修复58个漏洞
谷歌在2024年发布了针对安卓平台58个漏洞的补丁,并修复了Pixel设备中的三个安全漏洞。安卓2024年1月更新的第一部分以2024-01-01安全补丁级别的形式出现在设备上,解决了框架和系统组件中的十个安全漏洞,所有漏洞都被评为“高严重性”。更新的第二部分,2024-01-05安全补丁级别,包括Arm、Imagination Technologies、联发科、Unisolc和高通组件中48个漏洞的补丁。
详细信息:
https://www.securityweek.com/androids-january-2024-security-update-patches-58-vulnerabilities/
02 CISA标记6个漏洞-苹果、Apache、Adobe、D-Link、Joomla受到攻击
美国网络安全和基础设施安全局(CISA)补充其已知被利用漏洞的六个安全缺陷(KEV)目录,引用了积极利用的证据。值得注意的是,苹果在iOS 15.7.8和iOS 16.3中修补的CVE-2023-41990被未知参与者用作三角运算间谍软件攻击,在处理特制的iMessage PDF附件时实现远程代码执行。
详细信息:
https://thehackernews.com/2024/01/cisa-flags-6-vulnerabilities-apple.html
04
IOT安全
01 Hermes抗干扰通信套件保护俄罗斯无人机免受干扰
第一视角(FPV)无人机是俄乌冲突的标志性武器,俄乌双方都在发射无线电波来破坏这种无人机的通信,据说一个月可以摧毁数千架无人机。目前一家俄罗斯集团声称已经为FPV无人机开发出了一种强抗干扰“Hermes无线电套件”。其中一个重要模块为RAKwireless公司制造的RAK3172(H)无线模块。DanielR称其为“一种易用的、小尺寸、低功耗远程无线数据应用解决方案”。这种模块是为低功率广域网设计的LoRa设备。LoRa已经成为物联网应用的标准构建模块,硬件已经大规模生产。这使得它对FPV无人机制造商很有吸引力,尤其是考虑到它的灵活性。
详细信息:
https://mp.weixin.qq.com/s/a3cQjlr14e3B8sdb8DnnUQ
02 门禁系统的生物识别信息安全技术分析
在门禁系统的应用中,个人生物信息属于个人隐私信息,经常作为开启门禁的基础数据存储在门禁系统中,而门禁系统如果遭受网络攻击将产生信息泄露、滥用等相关安全问题。
详细信息:
https://www.secrss.com/articles/62539
05
数据安全
01 MyEstatePoint房地产搜索Android应用程序泄露用户密码
MyEstatePoint房地产搜索应用程序泄露了近50万用户的数据,暴露了他们的姓名和纯文本密码。该应用程序由总部位于印度的软件开发商NJ Technologies开发,在谷歌Play商店上的下载量超过50万,主要服务于印度市场。
详细信息:
02 巴西全体居民的个人信息公开
ElasticSearch是一个广泛用于搜索、分析和可视化大量数据的工具。数据泄漏与某一公司或组织无关,因此难以确定泄漏源。云服务器上有一个群集,其中包含全名、出生日期、性别和CPF(Cadastro de Pessoas Físicas)号码(巴西11位纳税人ID)。在数据泄漏中发现了超过2.23亿条记录,这表明泄漏可能影响到整个巴西人口。
详细信息:
https://www.securitylab.ru/news/545102.php
03 Blackcat获取国际国防机密
Ultra Intelligence&Communications(Ultra I&C)是英国国防公司Ultra的美国子公司,受到AlphV勒索软件(Blackcat)攻击。AlphV的发布包含各种信息,包括审计、财务和员工个人信息。犯罪分子声称,被盗的数据包含有关联邦调查局、北约、瑞士、以色列和一些国防公司的信息。瑞士联邦国防局确认数据泄露影响了瑞士空军,Ultra I&C迅速向瑞士政府通报了网络攻击。
详细信息:
https://www.securitylab.ru/news/545107.php
04 暗网掀起泄露数据发布狂潮
为了庆祝圣诞节,犯罪分子在暗网上发布了大量窃取的数据。这些泄露的数据都被打上了 Free Leaksmas 的标签,犯罪分子将数据作为圣诞礼物进行互相共享。数据泄露包括美国、法国、秘鲁、越南、意大利、俄罗斯、墨西哥、菲律宾、瑞士、澳大利亚、印度、南非等多个国家。这也从侧面反映出,网络犯罪在全球的猖獗。
详细信息:
http://www.freebuf.com/articles/network/388941.html
05 沙特外交部曝光敏感数据15个月
沙特工业和矿产资源部(MIM)公布了一份环境文件,为任何愿意接受这些文件的人提供了敏感细节。赛博新闻研究小组认为,这些敏感数据在15个月内都可以访问。文件泄露了几种类型的数据库凭据、邮件凭据和数据加密密钥。“通过访问政府SMTP凭据,攻击者可以冒充政府官员或员工进行社会工程攻击。他们可能试图欺骗受害者披露更多敏感信息、实施欺诈或访问其他系统或资源。”
详细信息:
https://securityaffairs.com/157133/security/saudi-ministry-data-leak.html
