安天移动一周威胁情报盘点(12月23日-12月29日)
本期导读:
移动安全
● 安卓手机木马出现新变种,可禁用指纹、人脸识别以窃取密码
● 印度银行业防范 Android 网络钓鱼
● 隐形后门“Android/Xamalicious”主动感染33w台设备
● 智能手机、电视及其他设备上的嵌入式麦克风可以监听消费者的对话内容
APT事件
● Cloud Atlas的矛式网络钓鱼攻击针对俄罗斯农业和研究公司
● 基于Rust的恶意软件针对印度政府实体
● Lazarus攻击全球的企业和组织
漏洞新闻
● iPhone三角测量攻击滥用未记录的硬件功能
IOT安全
● 新型蓝牙攻击让医疗/金融等物联网终端“停摆”,该如何防护?
数据安全
● 美国房地产财富网数据泄露15亿条记录
● 数据掮客正在倒卖美国军事人员的数据
● 443家在线商店的数据泄露:1.19亿人的名单地图上出现了新的受害者
● Cyber Toufan集团每天向49家以色列最大公司泄露高达16GB的数据
● 某国海军的内网所使用的什么电脑?机密信息在暗网不慎曝光
01
移动安全
01 安卓手机木马出现新变种,可禁用指纹、人脸识别以窃取密码
研究人员发现Android木马Chameleon(变色龙)的一个更新颖、更复杂的版本,变种新增了几个危险的特性,比如,它能够中断目标设备上的生物识别操作(例如指纹、人脸识别),强制将其切换到PIN码或图案验证,使其为木马所捕获,后续木马可以使用这些信息来解锁设备。
详细信息:
http://www.hackdig.com/12/hack-1179406.htm
02 印度银行业防范 Android 网络钓鱼
名为 Android/Banker.AFX 的 Android 网络钓鱼应用程序,通过 WhatsApp 广播网络钓鱼消息,并引诱用户安装隐藏恶意代码作为验证工具的应用程序。一旦安装,该银行木马就可以收集个人和财务信息并拦截短信,目的是窃取完成交易所需的一次性密码或验证码,从而可能导致银行账户资产被盗。
详细消息:
03 隐形后门“Android/Xamalicious”主动感染33w台设备
Xamarin 是一个开源框架,允许使用 .NET 和 C# 构建 Android 和 iOS 应用程序。Xamarin 框架的使用使恶意软件作者能够长时间保持活跃且不被发现,利用 APK 文件的构建过程作为加壳器来隐藏恶意代码。此外,恶意软件作者还实施了不同的混淆技术和自定义加密来窃取数据并与命令和控制服务器进行通信。 已识别出大约 25 个携带此威胁的不同恶意应用程序。自 2020 年中期以来,一些变体已在 Google Play 上发布,至少感染了 327,000 台设备。
详细信息:
04 智能手机、电视及其他设备上的嵌入式麦克风可以监听消费者的对话内容
有营销团队声称,他们能够通过智能手机、智能电视及其他设备上的嵌入式麦克风来监听消费者的对话内容,从而收集数据,并利用这些数据来投放精准广告。有媒体查看了该营销材料后证实了这一点。他们声称,这项名为“主动监听”的功能可以在平常的对话间,实时识别潜在客户。
详细信息:
https://www.404media.co/cmg-cox-media-actually-listening-to-phones-smartspeakers-for-ads-marketing/
02
APT事件
01 Cloud Atlas的矛式网络钓鱼攻击针对俄罗斯农业和研究公司
Cloud Atlas是一个来历不明的网络间谍组织,至少从2014年开始活跃。以其针对俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚的持续行动而闻名。起点是带有引诱文档的钓鱼消息,该文档利用CVE-2017-11882,微软Office的方程式编辑器中存在一个六年前的内存损坏缺陷,用来启动恶意有效载荷的执行。
详细信息:
https://thehackernews.com/2023/12/cloud-atlas-spear-phishing-attacks.html
02 基于Rust的恶意软件针对印度政府实体
印度政府实体和国防部门已成为网络钓鱼活动的目标,该活动旨在投放基于Rust的恶意软件进行情报收集。新的基于Rust的有效载荷和加密的PowerShell命令已被用于将机密文档泄露到基于网络的服务引擎,而不是专用的指挥控制(C2)服务器。该集群与那些被广泛追踪的集群之间的战术重叠已经被发现透明部落和SideCopy,两者都被评估与巴基斯坦有关。
详细信息:
https://thehackernews.com/2023/12/operation-rusticweb-rust-based-malware.html
03 Lazarus攻击全球的企业和组织
思科Talos团队最近发现了拉撒路集团(Lazarus Group)发起的一项新活动,并将其命名为“铁匠行动”(Operation Blacksmith),该活动至少使用了三个新的基于DLang的恶意软件家族,其中两个是远程访问木马(RAT),而在这两个RAT中有一个使用Telegram机器人和通道作为C2通信的媒介。
详细信息:
http://www.freebuf.com/articles/paper/386683.html
03
漏洞新闻
01 iPhone三角测量攻击滥用未记录的硬件功能
三角运算是针对苹果iPhone设备的间谍软件活动使用一系列四个零日漏洞。这些漏洞被链接在一起,形成了一个零点击漏洞,使攻击者能够提升权限并执行远程代码执行。构成高度复杂的漏洞利用链的四个缺陷适用于iOS 16.2之前的所有iOS版本,它们是:
-
CVE-2023-41990:ADJUST TrueType字体指令中存在漏洞,允许通过恶意iMessage附件执行远程代码。
-
CVE-2023-32434:XNU的内存映射系统调用中存在整数溢出问题,允许攻击者对设备的物理内存进行广泛的读/写访问。
-
CVE-2023-32435:用于Safari漏洞攻击,作为多阶段攻击的一部分执行外壳代码。
-
CVE-2023-38606:使用硬件MMIO寄存器绕过页面保护层(PPL),覆盖基于硬件的安全保护的漏洞。
详细信息:
04
IOT安全
01 新型蓝牙攻击让医疗/金融等物联网终端“停摆”,该如何防护?
一个名为“Flipper围墙”的新开源项目,可以检测出黑客利用Flipper Zero工具和安卓设备发起的蓝牙垃圾信息攻击。该Python脚本可以在Linux和Windows上运行,被设计为持续运行。脚本会不断更新用户附近BLE设备的状态、任何潜在威胁和一般活动。主界面包括一个ASCII艺术标题、实时和离线设备列表,以及检测到的BLE攻击数据包。
详细信息:
https://www.secrss.com/articles/62155
05
数据安全
01 美国房地产财富网数据泄露15亿条记录
网络安全研究员Jeremiah Fowler发现并向vpnMentor关于一个非密码保护的数据库,**该数据库保存了15亿条记录,**其中包含数百万人的房地产所有权数据,包括名人、政客,甚至他自己的个人信息。该数据库属于总部位于纽约的房地产财富网络。
详细信息:
02 数据掮客正在倒卖美国军事人员的数据
美国三大数据经纪商——安客诚、律商联讯和尼尔森——公****开明确地宣传美国现役或前任军事人员的数据;律商联讯宣传一种搜索个人并识别该个人是否为现役军人的能力;而其他经纪商可能会在他们更大的数据集中滤出军事人员。人员搜索网站还汇总了个人的公共记录,使任何人都可以搜索高级军事人员,从而发现家庭住址、电话号码和其他信息,以及已知家庭成员和亲戚的姓名。
详细信息:
https://mp.weixin.qq.com/s/AMmJShSPfh-NTK7wDQ0CaA
03 443家在线商店的数据泄露:1.19亿人的名单地图上出现了新的受害者
欧洲团结一致与17个国家的执法机构合作,警告443家在线零售商泄露客户的支付卡数据。由希腊牵头并由公司支持的为期两个月的行动IB组和Sansec,他们已经与数字脱皮作了斗争。实质剥皮黑客将工具或恶意软件引入在线商店,以在网上支付时拦截客户的信用卡数据。这个问题长期以来一直困扰着流行的在线商店。
详细信息:
https://www.securitylab.ru/news/544828.php
04 Cyber Toufan集团每天向49家以色列最大公司泄露高达16GB的数据
伊朗黑客组织Cyber Toufan在网上公布了49家以色列公司被盗数据。据专家介绍,大规模信息盗窃的原因是为全国约40家公司提供托管服务的组织Signature-IT遭到黑客攻击。泄漏的受害者包括以色列创新,科学和技术部,丰田以色列,社会福利部,宜家以色列等。
详细信息:
https://www.securitylab.ru/news/544846.php
05 某国海军的内网所使用的什么电脑?机密信息在暗网不慎曝光
外媒BlueComputer报导近期关于某国海军采购信息的情报在暗网广为流传,泄露的资料是关于某国海军的采购合同,采购的电脑具体所使用的部门是某国海军系统指挥管理部门所使用,直接关系到某国海军的作战指挥系统。据安全社区检视泄露的信息包括这批设备的型号,描述,序列号,系统制造商以及这些设备具体运抵到的某国海军接收位置等信息。
详细信息:
