安天移动一周威胁情报盘点(11月25日~11月30日)
本期导读:
移动安全
● 未检测到的Android特洛伊木马扩大了对伊朗银行的攻击
● 塞尔维亚的间谍软件:民间社会受到攻击
APT事件
● 与哈马斯有关联的APT利用新的SysJoker后门对抗以色列
● APT-C-35(肚脑虫)利用RemcosRAT远控攻击活动分析
● Word–Konni特洛伊木马的新通道:普通文档变成间谍工具
● Andariel组织利用Apache ActiveMQ漏洞(CVE-2023-46604)
● 摩诃草组织 (APT-Q-36) 借Spyder下载器投递Remcos木马
漏洞新闻
● 新的BLUFFS攻击让攻击者劫持蓝牙连接
数据安全
● 日本主要通讯应用Line遭攻击,数十万用户面临数据泄露风险
● GE疑遭黑客攻击,泄露美国军事机密
● DP World确认数据在网络攻击中被盗,未使用勒索软件
● 麒麟勒索软件声称攻击汽车巨头延锋
● 数百所学校使用的应用程序泄漏未成年人数据
01
移动安全
01 未检测到的Android特洛伊木马扩大了对伊朗银行的攻击
针对伊朗主要银行的安卓手机银行木马活动持续扩大。在2022年12月至2023年5月期间,有四组模仿伊朗主要银行的凭证收集应用程序在流通。Zimperium公布的最新发现包括识别出245种与相同威胁因素相关的新应用程序变体。其中28种变体仍然未被行业标准扫描工具检测到。
详细信息:
https://www.infosecurity-magazine.com/news/android-trojan-attack-iran-banks/
02 塞尔维亚的间谍软件:民间社会受到攻击
10 月 30 日,塞尔维亚的两名民间社会代表(出于安全原因选择保持匿名)收到了Apple 威胁通知,警告他们的 iPhone 可能已成为国家支持的攻击的目标。攻击者试图利用 iPhone 的 HomeKit 功能来利用和感染这些未透露姓名的个人的设备。这些攻击发生在大约一分钟内,HomeKit 向量与 NSO Group 的 Pegasus 间谍软件使用的多个漏洞一致。鉴于本案中可用的指标有限,我们无法确认本次攻击中使用的具体间谍软件。
详细信息:
https://www.accessnow.org/spyware-attack-in-serbia/
02
APT事件
01 与哈马斯有关联的APT利用新的SysJoker后门对抗以色列
一个先进的持续威胁(APT)组织,据信是加沙网络帮(又名鼹鼠),正在用基于Rust的版本SysJoker攻击以色列目标。最新的变体保持了与原始恶意软件类似的功能,但已从原始语言C++完全重写为Rust编程语言,这表明恶意软件发生了重大演变。APT还使用OneDrive而不是以前版本中使用的Google Drive来存储动态命令和控制(C2)服务器URL。
详细信息:
02 APT-C-35(肚脑虫)利用RemcosRAT远控攻击活动分析
肚脑虫利用恶意邮件投递带有漏洞的inp文档或恶意lnk文件,借助了知名商业远控remcosRAT完成后续功能组件的下发。在同一个攻击活动、同一个remcosRAT控制流程下、不同受害者上同时出现了remcosRAT下发肚脑虫使用的样本与带有历史上曾出现在摩诃草攻击活动中所使用的签名的样本,进而从侧面印证了这两个组织在资源方面存在一定的共享使用的情况。
详细信息:
https://www.anquanke.com/post/id/291475
03 Word–Konni特洛伊木马的新通道:普通文档变成间谍工具
与朝鲜有关联的APT集团Konni使用受感染的Word文档作为当前钓鱼活动的一部分。尽管文档的创建日期是9月,但在命令和控制服务器上的活动,C2从内部遥测可以看出,这一点一直持续到今天。Konni的有效负载包括绕过UAC系统和与C2服务器的加密通信,允许攻击者执行特权命令。
详细信息:
https://www.securitylab.ru/news/544033.php
04 Andariel组织利用Apache ActiveMQ漏洞(CVE-2023-46604)
AhnLab安全应急响应中心(ASEC)在监控Andariel威胁组织近期的攻击时,发现了该组织利用Apache ActiveMQ远程代码执行漏洞(CVE-2023-46604),安装 NukeSped 和 TigerRat 后门。
详细信息:
https://asec.ahnlab.com/en/59318/
05 摩诃草组织 (APT-Q-36) 借Spyder下载器投递Remcos木马
自7月以来,Spyder至少经过了两轮更新,并发现攻击者借助Spyder向目标主机植入Remcos木马。根据捕获的恶意样本,相关攻击活动有如下特点:
-
Spyder下载器中一些关键字符串不再以明文形式出现,而是经过异或加密处理,以避开静态检测,同时恶意软件与C2服务器的通信数据格式也做了调整;
-
植入的Remcos木马采用的都是当时能获取到的最新版;
-
通过Spyder样本的名称和配置信息,可以推测受害者包括巴基斯坦、孟加拉国、阿富汗等国的目标。
详细信息:
https://www.secrss.com/articles/61165
03
漏洞新闻
01 新的BLUFFS攻击让攻击者劫持蓝牙连接
Eurecom的研究人员开发了六种新的攻击,统称为“BLUFFS”,可以打破蓝牙会话的保密性,允许设备模拟和中间人(MitM)攻击。BLUFFS利用了蓝牙标准中两个以前未知的缺陷,这两个缺陷与如何导出会话密钥来解密交换中的数据有关。这些缺陷并不是硬件或软件配置特有的,而是体系结构缺陷。在标识符下跟踪问题CVE-2023-24023并影响蓝牙核心规范4.2至5.4,包括智能手机、耳机和笔记本电脑。
详细信息:
04
数据安全
01 日本主要通讯应用Line遭攻击,数十万用户面临数据泄露风险
11月27日下午,日本最主要通讯应用程序Line的运营商、日本LY公司表示,有攻击者通过附属公司的 NAVER Cloud 系统访问了其内部服务器。此次Line可能泄露的302569条用户数据包括通话页面活动、通话终止类型、通话室详情(包括发送方和接收方的国家、性别、年龄和操作系统)以及内容发布详情(包括时间和日期、关注者/好友总数以及发布视频的开始和结束时间)等信息;而51353 条员工相关数据则包括姓名、员工 ID 号、电子邮件地址。此外,该公司业务合作伙伴的 86071 条电子邮件地址记录也可能同样泄露。
详细信息:
http://www.freebuf.com/news/385035.html
02 GE疑遭黑客攻击,泄露美国军事机密
一个名为IntelBroker的黑客在黑客论坛上以500美元的价格出售通用电气“软件开发管道”的访问权限。“数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。”
详细信息:
https://www.anquanke.com/post/id/291503
03 DP World确认数据在网络攻击中被盗,未使用勒索软件
国际物流巨头DP World证实,本月早些时候,其在澳大利亚的运营遭到网络攻击,数据被盗。攻击中没有使用勒索软件有效载荷或加密,只影响其澳大利亚业务。其部分文件被未经授权的第三方访问,少量数据是从DP World Austral网络中过滤出来的。一些受影响的数据包括DP World Australia现任和前任员工的个人信息。
详细信息:
04 麒麟勒索软件声称攻击汽车巨头延锋
麒麟勒索软件集团声称对全球最大的汽车零部件供应商之一延锋汽车内饰公司的网络攻击负责。延锋是一家专注于内饰零部件的中国汽车零部件开发商和制造商,它向通用汽车、大众汽车集团、福特等众多汽车品牌销售内部零部件。威胁行为者公布了多个样本,以证明他们涉嫌访问Yanfeng系统和文件,包括财务文件、保密协议、报价文件、技术数据表和内部报告。
详细信息:
05 数百所学校使用的应用程序泄漏未成年人数据
Cyber news 研究小组近期发现由于系统配置错误,IT 公司 Appscook 泄露了大量敏感数据,其中包括未成年人的照片、家庭住址和出生证明。(Appscook 公司开发的应用程序主要被印度和斯里兰卡的 600 多所学校用于教育管理)泄露信息详情如下:学生姓名、家长姓名、学前班、小学和中学学生的照片、儿童就读的学校名称、出生证明、学费收据、学生成绩单/考试成绩、家庭住址、电话号码。
详细信息:
