一周威胁情报盘点（12月9日-12月15日）

本期导读：

移动安全

●  美国政府利用苹果/安卓手机推送通知追踪目标

●  Google Play：18个信用应用程序窃取借款人数据用于勒索

●  AutoSpill 攻击：从 Android 密码管理器窃取凭据

●  研究人员发现了一个新的Android 14和13锁屏旁路错误

●  近期，一种针对苹果iOS用户的攻击方式

●  新的iPhone黑客用假锁定模式说服用户

APT事件

● UTG-Q-003:微软应用商店7ZIP的供应链中毒

● 双尾蝎正在利用SpyC23针对Android设备进行大规模攻击

● Lazarus在DLang中使用新的基于Telegram的恶意软件瞄准组织

● SideCopy多平台攻击如何利用WinRAR 0 day和Ares RAT的Linux变种

● 俄罗斯APT28黑客在正在进行的网络间谍活动中瞄准13个国家

● CISA：自9月以来，俄罗斯黑客以TeamCity服务器为目标

● Kimsuky网络间谍远程访问韩国机密研究

● 海莲花 APT 组织模仿 APT29 攻击活动分析

漏洞新闻

● CVE-2023-45866：Android、Linux、macOS 和 iOS 中未经身份验证的蓝牙击键注入

● 5G设备的14个安全漏洞影响710款安卓、苹果5G智能手机

● Apple 发布 iOS 17.2 并附带紧急安全补丁

IOT安全

● 黑客入侵阿联酋第三方安卓机顶盒发送巴勒斯坦冲突信息

● 敌意僵尸网络发动新的零日攻击，7000多个路由器和摄像头受到影响

数据安全

●医疗巨头Norton Healthcare遭勒索，250万人数据泄露

● 迪拜最大的出租车应用程序曝光22万多名用户

● Dollar Tree190万员工和客户记录的数据泄露

● 红屋顶宣布数据泄露

● 冷藏巨头Americold披露4月恶意软件攻击后数据泄露

01

移动安全

01 美国政府利用苹果/安卓手机推送通知追踪目标

美国民主党参议员Ron Wyden日前致信司法部，表示美国联邦政府调查人员曾利用推送通知数据追踪关注对象，首次披露了美国人可以通过智能手机提供的一项基本服务而被追踪的事实。追踪技术利用了许多人手机上收到电子邮件或短信时的常见提醒。一旦用户启用了APP推送通知功能就会被监控。苹果和谷歌会生成一小段名为“令牌”的数据，将用户设备与他们在这些公司提供的账户信息（例如姓名和电子邮件地址）进行关联。这些令牌可能会泄露大量细节信息，例如某人在消息或游戏应用程序中的通信对象、通信时间，甚至可能会透露通知消息的文本内容。

详细信息：

https://www.secrss.com/articles/61752

02 Google Play：18个信用应用程序窃取借款人数据用于勒索

Google Play上的一个欺诈活动，18个商店贷款的恶意应用程序，以过高的利率向东南亚、非洲和拉丁美洲的用户提供贷款。在这种情况下，攻击者收集受害者的个人和财务数据，以便随后进行勒索、盗窃和监视。这些软件已经被下载了1200多万次。

详细信息：

https://www.securitylab.ru/news/544523.php

03 AutoSpill 攻击：从 Android 密码管理器窃取凭据

在黑帽欧洲安全会议上的一次演讲中，海得拉巴国际信息技术研究所 (IIIT) 的研究人员表示，他们的测试表明，即使没有 JavaScript 注入，也可以利用此过程中的弱点来捕获调用应用程序上自动填充的凭据。如果启用 JavaScript 注入，Android 上的所有密码管理器都容易受到 AutoSpill 攻击。AutoSpill 问题源于 Android 未能强制执行或明确定义安全处理自动填充数据的责任，这可能导致数据泄露或被主机应用程序捕获。

详细信息：

http://www.hackdig.com/12/hack-1164685.htm

04 研究人员发现了一个新的Android 14和13锁屏旁路错误

研究人员在安卓14和13中发现了一个锁屏旁路漏洞，该漏洞可能会暴露用户谷歌账户中的敏感数据，具有设备物理访问权限的威胁行为者**可以访问照片、联系人、浏览历史记录等。**研究员发布包括推特、Reddit和Telegram在内的多个平台，询问是否有可能从锁定屏幕打开谷歌地图链接，因为他无法在像素锁定的情况下打开。谷歌也意识到这个问题至少六个月了，但尚未解决。

详细信息：

https://securityaffairs.com/155588/hacking/android-14-13-lock-screen-bypass.html

05 近期，一种针对苹果iOS用户的攻击方式

近期频繁出现了一种针对苹果iOS用户的攻击方式，但是其实只要仔细观察一下就会发现很多端倪。端倪一：这种假钱包首先从App名称和图标来看就不对，完全对不上号。 端倪二：这种假钱包会通过修改开发者名称的方式（也就是图中2所指的地方），增加自己的搜索权重，并且误导用户以为这是真的。端倪三：骗子通过App宣传图中出现正版钱包的图标来误导用户以为这是真钱包。 端倪四：用户如果不小心下载了这种假钱包，并且打开的话，诈骗App是会跳到系统浏览器去让你下载多一个假钱包应用。   

   

详细信息：

https://twitter.com/\_marcuswu\_/status/1733784270420971995

06 新的iPhone黑客用假锁定模式说服用户

已经发现了一种利用后篡改技术，该技术允许恶意软件在视觉上欺骗用户，让用户认为他们的iPhone处于锁定模式。有一个针对iPhone用户的警告：如果你的设备已经被破坏，锁定不会阻止已经访问系统的恶意软件。锁定模式的主要目标不是添加更多的安全机制来阻止恶意有效载荷的执行，而是减少潜在的攻击向量。

详细信息：

https://cybersecuritynews.com/new-iphone-hack-lockdown-mode/

02

APT事件

01 UTG-Q-003:微软应用商店7ZIP的供应链中毒

用户户搜索与“7z”相关的关键字时，会出现自称是俄罗斯版的7Zip软件的恶意安装包。经分析发现攻击者入侵合法网站，并将其用作存储有效载荷和实现网页重定向的跳板。在攻击的第一阶段，攻击者可以发送网络钓鱼电子邮件，诱使受害者启用消息通知。通过利用合法的网站入侵进行重定向，他们可以绕过邮件网关检测。在第二阶段，攻击者可以基于目标主机的平台，推送自定义的钓鱼链接，诱使受害者下载和打开诱饵文件。

详细信息：

http://www.hackdig.com/12/hack-1167085.htm

02 双尾蝎正在利用SpyC23针对Android设备进行大规模攻击

2022年和2023年，该威胁组织开始通过伪装成Telegram和Skipped（一款约会App）这两款应用程序来传播SpyC23（一款Android间谍软件）。最近的SpyC23版本与其2017年的前代版本之间存在重叠，并且可以跟几个Arid Viper的Android恶意软件家族联系起来。

详细信息：

http://www.freebuf.com/articles/mobile/385531.html

03 Lazarus在DLang中使用新的基于Telegram的恶意软件瞄准组织

Lazarus集团开展的一项代号为“铁匠行动”的新活动，该活动使用了至少三个新的基于DLang的恶意软件家族，其中两个是远程访问木马（RAT），其中一个使用Telegram机器人和频道作为指挥控制（C2）通信媒介。铁匠行动涉及CVE-2021-44228的开发，也称为Log4外壳，以及使用以前未知的基于DLang的RAT，利用Telegram作为其C2信道，导致制造业、农业和物理安全部门的组织妥协。

详细信息：

https://industrialcyber.co/threats-attacks/cisco-reveals-operation-blacksmith-as-lazarus-targets-organizations-with-new-telegram-based-malware-in-dlang/

04 SideCopy多平台攻击如何利用WinRAR 0 day和Ares RAT的Linux变种

SideCopy目前正在利用近期曝出的WinRAR漏洞CVE-2023-38831来部署AllaKore RAT、DRat和其他Payload。它还会部署一种名为Ares RAT的Linux变种（一个开源代理），研究人员在其Stager Payload中发现了与威胁组织Transparent Tribe (APT36) 相关的代码，表明SideCopy和APT36使用相同的诱饵和命名约定同时进行多平台攻击，共享基础设施和代码，以攻击印度目标。    

详细信息：

http://www.freebuf.com/articles/network/385540.html

05 俄罗斯APT28黑客在正在进行的网络间谍活动中瞄准13个国家

APT28利用与正在进行的以色列-哈马斯战争有关的诱饵，为一个名为HeadLace的定制后门的交付提供便利，主要是利用与联合国、以色列银行、美国国会研究服务局、欧洲议会、乌克兰智库和阿塞拜疆-白俄罗斯政府间委员会有关的文件，挑出“对人道主义援助分配有直接影响”的欧洲实体。

详细信息：

https://thehackernews.com/2023/12/russian-apt28-hackers-targeting-13.html

06 CISA：自9月以来，俄罗斯黑客以TeamCity服务器为目标

自2023年9月以来，与俄罗斯对外情报局（SVR）有联系的APT29黑客组织一直在针对未修补的TeamCity服务器进行广泛攻击。攻击中利用的TeamCity安全漏洞被确定为CVE-2023-42793关键严重性得分为9.8/10，未经验证的威胁行为者可以在不需要用户交互的低复杂度远程代码执行（RCE）攻击中利用该得分。

详细信息：

https://www.bleepingcomputer.com/news/security/cisa-russian-hackers-target-teamcity-servers-since-september/

07 Kimsuky网络间谍远程访问韩国机密研究

Kimsuky对韩国的研究机构发动了一系列攻击。攻击链从扩散开始JSE-伪装为进口申报的JScript Encoded File。文件包含隐藏的（Base64）PowerShell脚本、加密数据和诱饵文档格式PDF此步骤包括打开PDF文件作为分散动作，而后台的PowerShell脚本激活后门。

详细信息：

https://www.securitylab.ru/news/544469.php

08 海莲花 APT 组织模仿 APT29 攻击活动分析

海莲花组织最新的攻击样本。该样本以购买BMW汽车为主题，诱导攻击目标执行恶意文件。该攻击与今年APT29的诱导主题和木马加载流程有相似之处，初步分析表明这可能是攻击者故意模仿的结果。

详细信息：   

http://www.freebuf.com/articles/paper/385406.html

03

漏洞新闻 

01 CVE-2023-45866：Android、Linux、macOS 和 iOS 中未经身份验证的蓝牙击键注入

多个蓝牙堆栈具有绕过身份验证的漏洞，允许攻击者在无需用户确认的情况下连接到可发现的主机并注入击键。附近的攻击者可以通过未经身份验证的蓝牙连接到易受攻击的设备，并将击键注入到例如安装应用程序、运行任意命令、转发消息等。漏洞涉及多个版本的Android、Linux、macOS 和 iOS 系统。

详细信息：

https://github.com/skysafe/reblog/blob/main/cve-2023-45866/README.md

02 5G设备的14个安全漏洞影响710款安卓、苹果5G智能手机

研究人员发现了14个漏洞，统称为“5ghoul”（来自英语单词5G和ghoul）。其中10个涉及MediaTek和高通的5G调制解调器，其中3个被归类为严重漏洞。5ghoul漏洞可能被用来实施攻击，以切断通信，冻结需要手动重新启动的连接，或将5G连接降至4G。来自24个品牌的714款智能手机受到威胁，包括Vivo、小米、OPPO、三星、荣耀、摩托罗拉、Realme、OnePlus、华为、中兴、华硕、索尼、魅族、诺基亚、苹果和谷歌。    

详细信息：

https://www.securitylab.ru/news/544471.php

03 Apple 发布 iOS 17.2 并附带紧急安全补丁

苹果12月11日推出了以安全为主题的 iOS 和 iPadOS 更新，以解决使移动用户遭受恶意黑客攻击的多个严重漏洞。最新的iOS 17.2 和 iPadOS 17.2包含至少 11 个已记录的安全缺陷的修复程序，其中一些缺陷严重到足以导致任意代码执行或应用程序沙箱逃逸。还推出了iOS 16.7.3 和 iPadOS 16.7.3，为运行旧版本操作系统的设备提供了一批安全修复程序。这些更新还包括修复之前记录的通过野外利用捕获的 WebKit 零日漏洞。

详细信息：

http://www.hackdig.com/12/hack-1165784.htm

04

IOT安全

01 黑客入侵阿联酋第三方安卓机顶盒发送巴勒斯坦冲突信息

黑客破坏了阿拉伯联合酋长国的电视机顶盒，并用正在进行的加沙冲突的图像取代了常规内容。袭击者占领了欧洲直播频道，并在绿色、矩阵风格的背景上显示了一条信息。收到的消息中写道：“我们别无选择，只能通过黑客将此消息发送给您。”人工智能生成的锚随后开始提供以色列监狱中巴勒斯坦儿童和妇女的信息。

详细信息：

https://www.bitdefender.com/blog/hotforsecurity/hackers-compromise-third-party-android-set-top-boxes-in-uae-to-send-information-about-palestine-conflict/

02 敌意僵尸网络发动新的零日攻击，7000多个路由器和摄像头受到影响

不法分子正在大肆利用两个新的零日漏洞，将众多路由器和录像机纳入到恶意僵尸网络中，用于分布式拒绝服务（DDoS）攻击。这两个漏洞之前都不为制造商和整个安全研究界所知，当受影响的设备使用默认管理凭据时，它们允许攻击者远程执行恶意代码。身份不明的攻击者一直在利用零日漏洞攻击设备感染Mirai。

详细信息：

https://www.4hou.com/posts/lkoJ

05

数据安全

01 医疗巨头Norton Healthcare遭勒索，250万人数据泄露

一个由肯塔基州和印第安纳州数十家诊所和医院组成的组织Norton Healthcare，向缅因州总检察长提交了一份报告，称在5月的勒索攻击中，大约250万人的机密数据被泄露给了第三方。被盗的数据包括姓名、联系方式、出生日期、社会保险号码、医疗信息、保险信息、医疗识别号码、驾照、其他身份证号码、金融账户号码和数字签名。    

详细信息：

https://www.securitylab.ru/news/544522.php

02 迪拜最大的出租车应用程序曝光22万多名用户

迪拜道路和交通管理局的子公司迪拜出租车公司泄露了DTC应用程序中的大量敏感信息。超过19.7万名应用程序用户和近2.3万名司机被曝光。暴露的数据存储在一个开放的MongoDB数据库中，该数据库已被关闭。企业使用MongoDB来组织和存储大量面向文档的信息。DTC应用程序在Google Play商店上的下载量超过100000次。

详细信息：

https://securityaffairs.com/155695/security/dubai-taxi-company-data-leak.html

03 Dollar Tree190万员工和客户记录的数据泄露

Dollar Tree股份有限公司190万员工和客户敏感个人信息的数据泄露事件，该公司经营着超过16000家零售折扣店。Dollar Tree据称与人力资源软件供应商Zeroed In Technologies，LLC共享其员工和客户的未加密私人信息，Zeroed In Technology，LLC随后将这些私人信息存储在其公共网络上的未加密互联网可访问环境中。员工和客户的姓名、出生日期和社会安全号码可能在数据泄露中被盗。

详细信息：

https://www.securityinfowatch.com//cybersecurity/press-release/53080312/zeroed-in-technologies-dollar-tree-under-investigation-for-data-breach-of-19-million-employee-and-customer-records

04 红屋顶宣布数据泄露    

Red Roof证实，该组织在2023年9月下旬遭遇勒索软件攻击，包括对红屋顶数据的有限子集进行加密导致数据泄露。该漏洞不涉及任何红屋顶酒店的客人数据。红屋顶确定，复制数据中的个人信息类别包括但不限于姓名、出生日期、社会保险号码、驾驶执照号码、护照号码、金融账号、信用卡和/或借记卡号码、医疗信息和健康保险信息。

详细信息：

https://www.securitymagazine.com/articles/100229-red-roof-announces-data-breach

05 冷藏巨头Americold披露4月恶意软件攻击后数据泄露

冷藏和物流巨头Americold证实，在4月份的一次袭击中，超过12.9万名员工及其家属的个人信息被盗，攻击者窃取的个人信息包括姓名、地址、社会保障号码、驾驶执照/州身份证号码、护照号码、金融账户信息（如银行账户和信用卡号码）以及每个受影响个人的就业相关健康保险和医疗信息。

详细信息：

https://www.bleepingcomputer.com/news/security/cold-storage-giant-americold-discloses-data-breach-after-april-malware-attack/