安全資訊報告

APTC-23黑客使用新的Android間諜軟件變種攻擊中東用戶

以打擊中東目標(biāo)而聞名的威脅行為者再次改進(jìn)了其Android間諜軟件，增強(qiáng)了功能，使其更隱蔽、更持久，同時偽裝成看似無害的應(yīng)用程序更新，以保持在雷達(dá)之下。

新變種“在其惡意應(yīng)用程序中加入了新功能，使它們對用戶的操作更有彈性，用戶可能會嘗試手動刪除它們，以及安全和網(wǎng)絡(luò)托管公司試圖阻止訪問或關(guān)閉他們的命令和控制服務(wù)器域，”Sophos威脅研究員Pankaj Kohli在周二發(fā)布的一份報告中說。

APTC-23也被稱為VAMP、FrozenCell、GnatSpy和Desert Scorpion，移動間諜軟件至少自2017年以來一直是APT-C-23威脅組織的首選工具，其連續(xù)迭代具有將監(jiān)視功能擴(kuò)展到文件，圖像、聯(lián)系人和通話記錄，閱讀來自消息應(yīng)用程序的通知，記錄通話（包括WhatsApp），以及取消來自內(nèi)置Android安全應(yīng)用程序的通知。

過去，該惡意軟件以AndroidUpdate、Threema和Telegram為幌子，通過虛假的Android應(yīng)用程序商店進(jìn)行分發(fā)。最新的活動沒有什么不同，因?yàn)樗鼈儾捎脩?yīng)用程序的形式，聲稱在目標(biāo)手機(jī)上安裝更新，名稱包括應(yīng)用更新、系統(tǒng)應(yīng)用更新和Android更新智能。據(jù)信，攻擊者通過短信向目標(biāo)發(fā)送下載鏈接來傳送間諜軟件應(yīng)用程序。安裝后，該應(yīng)用程序開始請求侵入性權(quán)限以執(zhí)行一系列惡意活動，這些活動旨在繞過任何手動刪除惡意軟件的嘗試。

新聞來源：?

https://thehackernews.com/2021/11/apt-c-23-hackers-using-new-android.html

隱蔽的新JavaScript惡意軟件使用RAT感染W(wǎng)indows PC

一種名為RATDispenser的新型隱蔽JavaScript加載程序正被用于在網(wǎng)絡(luò)釣魚攻擊中感染具有各種遠(yuǎn)程訪問木馬(RAT)的設(shè)備。

新型加載程序很快與至少八個惡意軟件系列建立了分發(fā)合作伙伴關(guān)系，所有這些都旨在竊取信息并讓攻擊者控制目標(biāo)設(shè)備。

在HP威脅研究團(tuán)隊分析的94%案例中，RATDispenser不與攻擊者控制的服務(wù)器通信，僅用作第一階段的惡意軟件投放器。與使用Microsoft Office文檔丟棄有效負(fù)載的趨勢相反，此加載程序使用JavaScript附件，惠普發(fā)現(xiàn)其檢測率較低。

感染始于包含以“.TXT.js”雙擴(kuò)展名命名的惡意JavaScript附件的網(wǎng)絡(luò)釣魚電子郵件。由于Windows默認(rèn)隱藏擴(kuò)展名，如果收件人將文件保存到他們的計算機(jī)，它將顯示為無害的文本文件。

過去三個月，惠普的研究人員能夠從RATDispenser中檢索到八種不同的惡意軟件負(fù)載。

已識別的惡意軟件家族包括STRRAT、WSHRAT、AdWind、Formbook、Remcos、Panda Stealer、GuLoader和Ratty。在分析的155個樣本中的10個，加載程序建立了C2通信以獲取第二階段惡意軟件。在81%的惡意軟件丟棄案例中，RATDispenser分發(fā)STRRAT和WSHRAT（又名“Houdini），這兩個強(qiáng)大的憑據(jù)竊取程序和鍵盤記錄程序。

新聞來源：?

https://www.bleepingcomputer.com/news/security/stealthy-new-javascript-malware-infects-windows-pcs-with-rats/

過去一年，勒索軟件和網(wǎng)絡(luò)釣魚攻擊使愛爾蘭企業(yè)損失近100億歐元

一項新研究發(fā)現(xiàn)，包括網(wǎng)絡(luò)釣魚和勒索軟件攻擊在內(nèi)的網(wǎng)絡(luò)犯罪使愛爾蘭經(jīng)濟(jì)損失了96億歐元。

Grant Thornton的網(wǎng)絡(luò)安全部門發(fā)布的網(wǎng)絡(luò)犯罪經(jīng)濟(jì)成本報告稱，該數(shù)字來自對企業(yè)、個人和政府的網(wǎng)絡(luò)攻擊所產(chǎn)生的直接和間接成本。

他們表示，這一數(shù)字自2014年以來呈指數(shù)增長，當(dāng)時此類犯罪的成本估計為6.3億歐元。

近年來，網(wǎng)絡(luò)釣魚和勒索軟件攻擊以及信用卡和借記卡欺詐以及以運(yùn)營技術(shù)為重點(diǎn)的攻擊都隨著勒索軟件攻擊而增加，其中網(wǎng)絡(luò)犯罪分子要求為泄露的材料付費(fèi)，這是迄今為止注意到的最重要的網(wǎng)絡(luò)犯罪形式在2020年。

僅勒索軟件攻擊和補(bǔ)救此類攻擊的成本在2020年就超過了20億歐元。2020年勒索軟件攻擊的成本為20億歐元，估計與這些事件相關(guān)的直接成本（例如支付的贖金）以及基礎(chǔ)設(shè)施和IT等間接成本因公開討論和媒體報道而造成的賬單和聲譽(yù)損失。

該報告還指出，計算機(jī)病毒增加了100%，網(wǎng)絡(luò)釣魚攻擊增加了20%，其中聲稱來自信譽(yù)良好的來源的欺詐性通信被發(fā)送給企業(yè)和消費(fèi)者。與此同時，信用卡和借記卡欺詐也有所增加，造成1200萬歐元的損失。

新聞來源：?

https://www.irishexaminer.com/business/economy/arid-40750674.html

暗網(wǎng)論壇正在教授如何構(gòu)建僵尸網(wǎng)絡(luò)的課程

僵尸網(wǎng)絡(luò)是網(wǎng)絡(luò)攻擊的主要驅(qū)動因素之一，用于分發(fā)惡意軟件、勒索軟件和其他惡意負(fù)載——暗網(wǎng)論壇現(xiàn)在提供有關(guān)如何從中獲利的課程，隨著時間的推移，這一舉措可能會增加威脅。

受網(wǎng)絡(luò)犯罪控制的僵尸網(wǎng)絡(luò)中受感染的計算機(jī)和設(shè)備可用于向更多設(shè)備發(fā)送網(wǎng)絡(luò)釣魚電子郵件或惡意軟件。僵尸網(wǎng)絡(luò)運(yùn)營商通常會將他們在不知不覺中被控制的機(jī)器（可能有數(shù)千臺）出租給其他網(wǎng)絡(luò)犯罪分子。

安全研究人員在一個著名的地下論壇上分析了僵尸網(wǎng)絡(luò)學(xué)校的廣告和活動，發(fā)現(xiàn)這些課程很受歡迎——這對于可能成為網(wǎng)絡(luò)犯罪分子學(xué)習(xí)這些技能的目標(biāo)的組織來說可能是一個潛在的問題。

Recorded Future的網(wǎng)絡(luò)犯罪情報分析師丹尼·潘頓(Danny Panton)告訴ZDNet：“這基本上就像你在上大學(xué)一樣。”“你會有一個導(dǎo)演，他們會虛擬地教你——我不相信攝像機(jī)會在這個人身上——但他們可以訪問一個平臺，并被教導(dǎo)你需要做什么才能利用僵尸網(wǎng)絡(luò)反對潛在的受害者。”

教授課程的人包括自己運(yùn)行大型僵尸網(wǎng)絡(luò)的個人。這些課程并不便宜——它們的成本超過1,400美元——但承諾甚至可以為網(wǎng)絡(luò)犯罪新手提供有關(guān)如何構(gòu)建、維護(hù)和貨幣化僵尸網(wǎng)絡(luò)的知識。研究人員警告說，這些課程的存在可能會導(dǎo)致僵尸網(wǎng)絡(luò)的威脅增加——盡管在無法跟蹤個人用戶活動的情況下很難量化。

新聞來源：?

https://www.zdnet.com/article/college-for-cyber-criminals-dark-web-crooks-are-teaching-courses-on-how-to-build-botnets/

烏克蘭逮捕了蘋果網(wǎng)絡(luò)釣魚攻擊背后的“鳳凰”黑客

烏克蘭安全局(SSU)逮捕了專門從事移動設(shè)備遠(yuǎn)程黑客攻擊的國際“鳳凰”黑客組織的五名成員。

SSU的公告稱，所有五名嫌疑人都住在基輔或哈爾科夫，并且都是高等技術(shù)教育學(xué)院的畢業(yè)生。

“Phoenix”的目標(biāo)是遠(yuǎn)程訪問移動設(shè)備用戶的賬戶，然后通過劫持他們的電子支付或銀行賬戶或?qū)⑺麄兊乃饺诵畔⒊鍪劢o第三方來從中獲利。

為了竊取移動設(shè)備用戶的移動帳戶，攻擊者使用了仿冒蘋果和三星登錄門戶的網(wǎng)絡(luò)釣魚站點(diǎn)。這項活動持續(xù)了至少兩年，期間鳳凰黑客入侵了數(shù)百人的賬戶。黑客還向他人提供遠(yuǎn)程手機(jī)黑客服務(wù)，收費(fèi)在100至200美元之間。該組織還解鎖了Apple制造的被盜或丟失的設(shè)備，通過將它們鎖定到設(shè)備上創(chuàng)建的第一個帳戶與原始購買者相關(guān)聯(lián)。

新聞來源：?

https://www.bleepingcomputer.com/news/security/ukraine-arrests-phoenix-hackers-behind-apple-phishing-attacks/

安全漏洞威脅

CISIC產(chǎn)品漏洞可能導(dǎo)致有針對性的攻擊

研究人員發(fā)現(xiàn)了CISIC自適應(yīng)安全設(shè)備（ASA）和CISIC（FTD）防火墻的一個漏洞，該漏洞可能導(dǎo)致拒絕服務(wù)。Positive Technologies將漏洞的嚴(yán)重級別評估為高，建議用戶盡快安裝更新。

思科表示，這些漏洞是由于解析HTTPS請求時輸入驗(yàn)證不當(dāng)造成的。攻擊者可以通過向受影響的設(shè)備發(fā)送惡意HTTPS請求來利用這些漏洞。成功的利用可能允許攻擊者導(dǎo)致設(shè)備重新加載，從而導(dǎo)致拒絕服務(wù)(DoS)。

如果攻擊成功，遠(yuǎn)程員工或合作伙伴將無法訪問組織內(nèi)部網(wǎng)絡(luò)，外部訪問將受到限制。同時，防火墻故障會降低對公司的保護(hù)。所有這些都會對公司流程產(chǎn)生負(fù)面影響，破壞部門之間的互動，并使公司容易受到有針對性的攻擊。

攻擊者不需要提升權(quán)限或特殊訪問權(quán)限即可利用該漏洞。形成一個簡單的請求就足夠了，其中一個部件的尺寸將與設(shè)備預(yù)期的不同。進(jìn)一步解析請求會導(dǎo)致緩沖區(qū)溢出，系統(tǒng)會突然關(guān)閉然后重新啟動。

新聞來源：?

https://www.channelfutures.com/security/cisco-vulnerability-could-cause-firewall-failure-allow-targeted-attacks

MediaTek芯片竊聽漏洞影響全球37%的智能手機(jī)和物聯(lián)網(wǎng)

MediaTek芯片(SoC)中已披露多個安全漏洞，這些漏洞可能使威脅行為者能夠提升權(quán)限并在音頻處理器的固件中執(zhí)行任意代碼，從而有效地允許攻擊者進(jìn)行“大規(guī)模竊聽活動”“在用戶不知情的情況下。

這些缺陷的發(fā)現(xiàn)是以色列網(wǎng)絡(luò)安全公司Check Point Research對這家臺灣公司的音頻數(shù)字信號處理器(DSP)單元進(jìn)行逆向工程的結(jié)果，最終發(fā)現(xiàn)通過將它們與智能手機(jī)制造商庫中存在的其他缺陷聯(lián)系在一起，問題在芯片中發(fā)現(xiàn)的漏洞可能會導(dǎo)致Android應(yīng)用程序的本地權(quán)限升級。

Check Point安全研究員Slava Makkaveev在一份報告中說：“攻擊者可能會使用格式錯誤的處理器間消息來執(zhí)行和隱藏DSP固件中的惡意代碼。”“由于DSP固件可以訪問音頻數(shù)據(jù)流，對DSP的攻擊可能會被用來竊聽用戶。”

新聞來源：?

https://thehackernews.com/2021/11/eavesdropping-bugs-in-mediatek-chips.html

黑客利用微軟MSHTML漏洞竊取谷歌、Instagram登錄憑據(jù)

安全研究人員命名“PowerShortShell”的惡意程序是基于PowerShell的新型盜號木馬，其目的是盜取Google和Instagram登錄憑據(jù)。

信息竊取器還用于Telegram監(jiān)視和從受感染設(shè)備收集系統(tǒng)信息，這些信息與被盜憑據(jù)一起發(fā)送到攻擊者控制的服務(wù)器。這些攻擊始于7月，攻擊手法為魚叉式釣魚郵件。攻擊者將帶有惡意Winword附件的Windows用戶作為攻擊目標(biāo)，這些附件利用了CVE-2021-40444的Microsoft MSHTML遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。

PowerShortShell竊取程序負(fù)載會下載到受感染系統(tǒng)上執(zhí)行。啟動后，PowerShell腳本開始收集數(shù)據(jù)和屏幕快照，并將其上傳到攻擊者控制的C2服務(wù)器。

新聞來源：?

https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/

?

總結(jié)

以上是生活随笔為你收集整理的全球37%手机或因芯片漏洞遭攻击、黑客利用微软漏洞窃取登录凭据｜11月25日全球网络安全热点的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。