START
Part 0
目录
高级威胁事件
【重要】疑似 DarkHotel APT 活动针对中国澳门豪华酒店
【重要】美国国家安全局“APT-C-40”:黑客组织高端网络攻击武器技术分析报告之Quantum攻击系统
【重要】Sandworm APT 使用 Cyclops Blink 僵尸网络搜寻华硕路由器
疑似BITTER APT组织利用尼泊尔建军节相关诱饵攻击巴基斯坦政府及核能人员
俄罗斯APT组织利用默认的多因素身份验证协和“PrintNightmare”漏洞获得网络访问权限
APT28:使用 UKR.NET 服务和二维码主题的网络钓鱼活动
SaintBear 使用假翻译软件瞄准乌克兰
Gamaredon在近期攻击中的新变化
InvisiMole 对乌克兰国家组织的网络攻击
Kimsuky:针对专门从事碳排放的公司的Word文档的攻击
PROMETHIUM:伪装为WinRar.exe的攻击活动分析
APT35 使用 ProxyShell 自动化初始访问
Kimsuky:使用带有虚拟货币相关内容的 word 文档的 APT 攻击
APT-C-23:用 Golang 开发的新的、未记录的恶意软件Arid Gopher
新后门Serpent针对具有独特攻击链的法国实体
国家安全事件
【重要】美国FCC禁止两家来自中国的电信公司-太平洋网络和ComNet
白宫启动数据计划以帮助缓解供应链僵局
美国颁布一项新法,禁止国家间谍人员在离职后立即为外国政府工作
战争迷雾:“深度伪造”在俄乌战争中初露头角
美国陆军组建新的军事网络情报组织
数据泄露事件
【重要】据称黑客泄露了多达37GB的来自微软的源代码
匿名者黑客团伙泄露79GB俄罗斯输油管道巨头的电子邮件数据
伊朗黑客泄露了以色列情报机构负责人的信息
匿名黑客入侵雀巢并泄露 10 GB 敏感数据
暴露的数据库泄露印度CISF人员的个人信息:包含CISF网络上超过24.6万个PDF文档网址的记录被泄露
其他安全事件
谷歌TAG团队揭露Conti勒索软件的初始访问权代理人的战术
BitRAT 恶意软件现在作为 Windows 10 许可证激活器传播
Vermin组织使用恶意程序 SPECTR对乌克兰国家组织进行网络攻击
NASA的大多数系统都面临内部威胁的风险
FBI 发现俄罗斯黑客对美国能源公司的兴趣日益浓厚
移动端安全事件
“CryptoRom”加密骗局滥用iPhone功能瞄准移动用户
Android密码窃取恶意软件感染了10万名Google Play用户
苹果的宕机影响了iMessage、Apple Music、iCloud和其他服务
Check Point:移动应用程序正在泄露你的敏感数据
谷歌商店木马渗透率激增,野外发现 WhatsApp 模块的Android 木马
Part 1
高级威胁事件
01
【重要】疑似 DarkHotel APT 活动针对中国澳门豪华酒店
组织:DarkHotel(又称APT-C-06),韩国
攻击目标:中国澳门豪华酒店
攻击手法:【鱼叉攻击】
攻击者向酒店管理人员(包括人力资源副总裁、助理经理和前台经理)发送了一封电子邮件,电子邮件中包含带有 Excel 工作表的附件,此 Excel 表格用于欺骗受害者并在打开时启用嵌入的恶意宏。
归因分析:提到的 IP 归因于网络安全社区的 DarkHotel C2 活动;目标行业和国家符合 DarkHotel 目标概况;命令和控制面板显示了归因于 DarkHotel APT 的已知开发模式。因此以中等置信度将此次攻击归因于DarkHotel。
原文链接:https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/suspected-darkhotel-apt-activity-update.html
发布平台:trellix
02
【重要】美国国家安全局“APT-C-40”:黑客组织高端网络攻击武器技术分析报告之Quantum攻击系统
组织:APT-C-40(又称方程式/Equation Group/Tilded Team),美国
原文概述:360发布了报告,对NSA背景的APT-C-40组织在攻击中使用的攻击武器“Quantum(量子)攻击系统”进行了分析。
原文链接:https://mp.weixin.qq.com/s/27sVSUNA3aVkUDAigM3Jbg
发布平台:360政企安全
03
【重要】Sandworm APT 使用 Cyclops Blink 僵尸网络搜寻华硕路由器
组织:Sandworm,俄罗斯
攻击目标:华硕路由器
原文概述:该报告讨论了针对华硕路由器的Cyclops Blink恶意软件变种的技术能力,并包含了Cyclops Blink僵尸网络的150多个当前的历史命令和控制(C&C)服务器的列表。
原文链接:https://www.trendmicro.com/en_us/research/22/c/cyclops-blink-sets-sights-on-asus-routers--.html
发布平台:trendmicro
04
疑似BITTER APT组织利用尼泊尔建军节相关诱饵攻击巴基斯坦政府及核能人员
组织:蔓灵花(Bitter),印度
攻击目标:巴基斯坦国家的政府、以及核能方面的相关从业人员”
攻击手法:【钓鱼攻击、社会工程学、漏洞利用】
疑似蔓灵花组织利用“尼泊尔建军节邀请函.docx”等多个相关作为诱饵,并且利用Windows系统的文件名称过长会隐藏其后续内容的特点。误导受害者将CHM文件当作Docx文档从而执行网络攻击。
归因分析:样本一Nepal Army Day Invitation.docx .chm(中译:尼泊尔建军节邀请函.docx .chm)中,研究人员发现该MSI文件通常会在后续执行过程中释放Downloader下载器或者.NET RAT远控后门执行,用于收集受害者的敏感数据等信息——而在Bitter历史攻击事件中也曾多次使用该方法投递下载器和远程控制组件。另,研究人员还发现3月7日是尼历传统节日“湿婆神之夜”,这一天也被定为尼泊尔的建军节,样本一便是利用的该事件作为诱饵对相关目标进行攻击。同时联想到黑客组织Bitter与印度千丝万缕的关系,在结合该组织长期以来将巴基斯坦作为头号攻击目标,以及“尼泊尔”、“印度”、“巴基斯坦”三个国家在地缘政治中的关系,研究人员推测本次攻击活动的目标是巴基斯坦国家的可能性极大。
原文链接:https://ti.dbappsecurity.com.cn/blog/articles/2022/03/11/bitter-nepal-army-day/
发布平台:安恒情报中心
05
俄罗斯APT组织利用默认的多因素身份验证协议和“PrintNightmare”漏洞获得网络访问权限
组织:\,俄罗斯
攻击目标:\
原文概述:CISA 发布此联合⽹络安全咨询 (CSA) 以警 告组织,俄罗斯国家支持的网络参与者已通过利用默认 MFA 协议和已知漏洞获得⽹络访问权限。早在 2021 年 5月,俄罗斯国家支持的网络攻击者就利用了⼀个非政府组织 (NGO) 设置为默认 MFA 协议的错误配置账户,允许他们为 MFA 注册新设备并访问受害者网络。然后攻击者利用了⼀个关键的 Windows Print Spooler 漏洞,“PrintNightmare” (CVE-2021-34527) 以系统权限运行任意代码。俄语国家资助的网络攻击者成功利用了该漏洞,同时瞄准了⼀个非政府组织使用 Cisco 的 Duo MFA,允许访问云和电子邮件帐户以进行文档泄露。
归因分析:\
原文链接:https://www.cisa.gov/uscert/ncas/alerts/aa22-074a
发布平台:uscert
06
APT28:使用 UKR.NET 服务和二维码主题的网络钓鱼活动
组织:UAC-0028 (又称APT28/Fancy Bear),俄罗斯
攻击目标:乌克兰
攻击手法:【钓鱼攻击】
攻击者模仿来自 UKR.NET 的消息的电子邮件的分发,其中包含对使用 URL 缩短服务之一创建的 URL 进行编码的 QR 码。如果用户访问后者,将被重定向到一个试图模仿 UKR.NET 密码重置页面的网站,而用户通过 HTTP POST 请求输入的数据将被发送到攻击者在 Pipedream 平台上部署的 Web 资源。
归因分析:\
原文链接:https://cert.gov.ua/article/37788
发布平台:uscert
07
SaintBear 使用假翻译软件瞄准乌克兰
组织:SaintBear(又称UAC-0056/UNC2589/TA471),俄罗斯
攻击目标:乌克兰
原文概述:威胁行为者使用 Cobalt Strike、GrimPlant 和 GraphSteel 以乌克兰为目标。这一系列以前未被发现的活动围绕着一个伪装成乌克兰语言翻译软件的 Python 编译二进制文件,导致了 GrimPlant 和 GraphSteel 的感染。
归因分析:SentinelOne 的研究人员已识别出两个文件,其名称和路径与CERT-UA 报告中提到的 GraphSteel 和 GrimPlant 恶意软件相关;启动时,翻译应用程序会丢弃并执行四个恶意文件。这些与乌克兰 CERT 报告中描述的相关,三个按名称和路径,一个按功能和路径;执行后,该恶意软件的 GraphSteel 变体将运行一组侦察和凭据收集命令,与报告中描述的命令类似。综上所述,此次活动与UAC-0056组织相关。
原文链接:https://www.sentinelone.com/blog/threat-actor-uac-0056-targeting-ukraine-with-fake-translation-software/
发布平台:sentinelone
08
Gamaredon在近期攻击中的新变化
组织:APT-C-53(又称Gamaredon),俄罗斯
攻击目标:东欧地区
原文概述:360研究人员在今年多次观察到APT-C-53在攻击活动中对自身攻击武器进行了调整和优化,同时提高了攻击活动的操作频率:首先,该组织对脚本的混淆等级进行了提升,代码可读性几乎为0,分析人员想要用肉眼提取有效信息的可能性基本不存在;其次,该组织的持续化手法发生了一定的变化,在计划任务启动后,调用mshta执行Powershell命令并启动wscript进程,而VBS代码则保存在了注册表的HKCU\Console\FaceNames位置下。
归因分析:\
原文链接:https://mp.weixin.qq.com/s/YsyeLQDR_LQLfKhigSm2_Q
发布平台:360威胁情报中心
09
InvisiMole 对乌克兰国家组织的网络攻击
组织:UAC-0035(又称InvisiMole),俄罗斯
攻击目标:乌克兰国家机构
攻击手法:【鱼叉攻击】
攻击者向乌克兰国家机构发送钓鱼电子邮件分发协调主题的通知,附在信中的是档案“501_25_103.zip”,其中包含同名的快捷方式文件。如果用户打开 LNK 文件,则会在计算机上下载并执行 HTA 文件。后者包含 VBScript 代码,它将下载和解码诱饵文件和恶意程序 LoadEdge,反过来,该程序应确保计算机被该组库中的其他恶意程序破坏:TunnelMole(DNS 后门)、RC2CL或其他。
归因分析:\
原文链接:https://cert.gov.ua/article/37829
发布平台:uscert
10
Kimsuky:针对专门从事碳排放的公司的Word文档的攻击
组织:Kimsuky,朝鲜
攻击目标:韩国专门从事碳排放的公司
攻击手法:【钓鱼攻击】
受害PC通过网络浏览器下载了一个名为“ㅇㅇㅇㅇCarbon Emissions Research Institute.doc”的恶意word文档,接着在受感染的 PC 上执行 Gold Dragon 恶意软件。
归因分析:\
原文链接:https://asec.ahnlab.com/ko/32765/
发布平台:asec
11
PROMETHIUM:伪装为WinRar.exe的攻击活动分析
组织:Promethium(又称蓝色魔眼/StrongPity/APT-C-41),土耳其
攻击目标:\
攻击手法:【水坑攻击】
此次攻击使用了WinRAR.exe签名的软件安装包,并使用WinRAR.exe图标伪装自身;硬编码字符串‘v28_kt32p0’,疑似版本更迭至v28;收集指定类型文件压缩加密后回传C2服务器。
归因分析:\
原文链接:https://mp.weixin.qq.com/s/6zyIMophMtfWvi3CIflfhQ
发布平台:奇安信威胁情报中心
12
APT35 使用 ProxyShell 自动化初始访问
组织:APT35(又称Charming Kitten/TA453),伊朗
攻击目标:\
攻击手法:【漏洞利用】
攻击者首先上传 Web shell 并禁用防病毒服务,接着建立了两种持久化方法:第一个是通过计划任务,第二个是通过新创建的帐户。然后将该帐户添加到“远程桌面用户”和“本地管理员用户”组。在建立了重新进入目标主机的替代方法后,攻击者使用 Windows 原生程序(如 net 和 ipconfig)枚举了环境。在第一次访问结束时,攻击者禁用了 LSA 保护,稍后启用 WDigest 以访问纯文本凭据,转储 LSASS 进程内存,并通过 Web shell 下载结果。
归因分析:\
原文链接:https://thedfirreport.com/2022/03/21/apt35-automates-initial-access-using-proxyshell/
发布平台:DFIR
13
Kimsuky:使用带有虚拟货币相关内容的 word 文档的 APT 攻击
组织:Kimsuky,朝鲜
攻击目标:\
攻击手法:【钓鱼攻击】
攻击者使用的三个诱饵文档“股东数量相关.doc”、“资产负债状况.doc”、“第三次定期股东大会.doc”,其文档内容均与虚拟货币相关,且攻击者均是通过在正常书写的word文档基础上添加恶意宏代码进行攻击。
归因分析:修改文件的人和宏都是在3月21日上午修改的,且,恶意word文档的分发方式、宏的创建者和操作方法均与2021年3月14日的攻击一致,因此将此次攻击归因于kimsuky组织。
原文链接:https://asec.ahnlab.com/ko/32818/
发布平台:asec
14
APT-C-23:用 Golang 开发的新的、未记录的恶意软件Arid Gopher
组织:APT-C-23(又称Arid Viper),加沙
攻击目标:中东地区,特别是对巴勒斯坦目标
原文概述:Arid Gopher是一种新发现的恶意软件,归因于 APT-C-23 (Arid Viper)。该恶意软件是 Micropsia 恶意软件的变种,之前由 APT-C-23 使用。该恶意软件仍在开发中,通过伪造的 Microsoft Word 文档分发,该文档假装包含学术出版物中有关金融投资的部分。
归因分析:\
原文链接:https://www.deepinstinct.com/blog/arid-gopher-the-newest-micropsia-malware-variant
发布平台:deepinstinct
15
新后门Serpent针对具有独特攻击链的法国实体
组织:\
攻击目标:法国建筑和政府部门实体
攻击手法:【鱼叉攻击】
攻击者发送了伪装成与“règlement général sur la protection des données (RGPD)”或欧盟通用数据保护条例 (GDPR) 有关的信息的文档。启用宏后,文档会分发 Chocolatey 安装程序包,攻击者试图在潜在受害者的设备上安装后门,这可能会启用远程管理、命令和控制(C2)、数据盗窃或传递其他额外的有效负载。Proofpoint 将此后门称为 Serpent。
归因分析:\
原文链接:https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain
发布平台:proofpoint
Part 2
国家安全事件
01
【重要】美国FCC制裁两家来自中国的电信公司太平洋网络和ComNet
联邦通信委员会通过了一项命令,禁止Pacific Networks Corp及其全资子公司ComNet (USA) LLC在美国境内提供国内州际和国际电信服务。FCC的声明中写道,关于撤销和终止的命令指示公司在命令发布后六十天内停止根据其第214条授权提供的任何国内或国际服务。
原文链接:https://www.webpronews.com/fcc-bans-pacific-networks-and-comnet-over-espionage-concerns/
发布平台:webpronews
02
白宫启动数据计划以帮助缓解供应链僵局
拜登政府15日宣布了一项新的数据共享计划 ,称该计划将帮助私营和公共实体共享关键货运信息并缓解当前的供应链困难。白宫称,这项新举措由交通部牵头,概念验证将在夏末完成。尽管去年美国经济部分重新开放,但该政策提案旨在解决持续存在的COVID-19供应链问题。试点计划的参与者包括:长滩港、洛杉矶港、乔治亚港务局、MSC、FedEX和UPS。白宫声明称,供应链利益相关者应该得到关于货物流动的可靠、可预测和准确的信息,FLOW将检验基础货运数字基础设施合作符合公共和私人各方利益的想法。
原文链接:https://www.fedscoop.com/white-house-launches-data-initiative-to-help-ease-supply-chain-logjams/
发布平台:fedscoop
03
美国颁布一项新法,禁止国家间谍人员在离职后立即为外国政府工作
美国颁布一项新法,禁止国家间谍人员在离职后立即为外国政府工作。本周二(3月15日),此法案由拜登总统正式签署为法律。作为1.5万亿美元支出法案的一部分,这项新法对掌握间谍活动与国家安全机密的情报官员做出限制,禁止其在离职后的30个月内为其他国家提供雇佣服务。
原文链接:https://mp.weixin.qq.com/s/LnhnFbxMbTGbON_K5RVewA
发布平台:安全内参
04
战争迷雾:“深度伪造”在俄乌战争中初露头角
乌克兰总统泽连斯基宣布投降的“深度伪造”视频3月16日出现在社交媒体平台,随后被疯传。该虚假视频显示,泽连斯基号召士兵放下武器并放弃战斗。除在社交媒体传播外,有黑客还攻击了乌克兰广播新闻媒体Ukraine 24,在其电视直播中播放了关于泽连斯基的虚假消息,并在其网站在发布了上述“深度伪造”视频。泽连斯基随后发布自拍视频澄清称,乌克兰不会向俄罗斯投降。研究人员表示,虽然该“深度伪造”视频造假技术相对低劣,难以达到以假乱真的效果,但仍然会产生严重负面后果;该视频对信息生态系统造成了污染,给所有内容蒙上了“阴影”,从而会产生所谓“骗子红利”,让人们对未来泽连斯基的视频真实性产生怀疑。
原文链接:https://mp.weixin.qq.com/s/LVqhCvz3vRV6zYiq9Hs45Q
发布平台:安全内参
05
美国陆军组建新的军事网络情报组织
美国陆军一名发言人表示,该部已经创建了一个新组织,将历史军事情报活动与商业数据和公共信息相结合,以支持网络行动。据美国陆军2月发布的一篇新闻称,网络军事情报组织(CMIG)隶属于情报和安全司令部,将直接支持陆军网络司令部的需求,并在其作战控制下运作。它将指导、同步和协调网络、信息和电子战行动的情报支持,同时也为美国网络司令部和其他战斗司令部提供支持。作为其转型努力的一部分,陆军网络公司已经制定了一个10年分阶段的方法,包括一些组织变化、重组和新实体的创建。去年10月,该司令部组建了第60进攻网络空间作战信号营。
原文链接:https://www.fedscoop.com/new-army-unit-will-combine-military-intelligence-with-open-source-data-on-foreign-adversaries/
发布平台:fedscoop
Part 3
数据泄露事件
01
【重要】据称黑客泄露了多达37GB的来自微软的源代码
据称,一个黑客组织泄露了微软37GB的源代码,这些代码与包括Bing和Cortana在内的数百个项目有关,这是一系列重大网络安全事件中的最新一起。Lapsus$黑客组织在周一晚上公开发布了一个9GB的压缩文件。据称,该7zip档案包含了从微软获得的250多个内部项目。
原文链接:https://www.cnbeta.com/articles/tech/1249857.htm
发布平台:cnbeta
02
匿名者黑客团伙泄露79GB俄罗斯输油管道巨头的电子邮件数据
Anonymous声称它侵入了Omega公司,该公司是世界上最大的石油管道公司Transneft的内部研发部门,总部位于俄罗斯莫斯科。2022年3月17日星期四,分布式拒绝秘密(又名DDoSecrets),一个非营利性的举报人组织,宣布收到属于Transneft研发部门Omega的高达 79GB的电子邮件。在Twitter上,匿名运动最大的社交媒体代表之一@YourAnonNews也承认了这次黑客攻击。
原文链接:https://www.hackread.com/anonymous-leak-79gb-russia-oil-pipeline-email-data/
发布平台:hackread
03
伊朗黑客泄露了以色列情报机构负责人的信息
伊朗黑客3月16日在一个匿名的Telegram频道上发布了一段视频,其中包括据称从以色列情报机构摩萨德负责人大卫·巴尔内亚妻子的手机中获取的个人照片和文件。据以色列媒体报道,这段视频被发布在“Open Hands”频道上,该频道于3月15日创建。其所有者声称在2014年开始的针对巴尔内亚的“长期情报行动”中获得了这些信息。上传的视频有希伯来语、阿拉伯语和英语的字幕,包括明显是2014年巴尔内亚与家人在哥本哈根度假时拍的照片、他的身份证复印件、税务文件、机票,以及一张黑客声称是巴尔内亚在以色列中部的家的卫星照片。摩萨德表示正在调查这个问题,并补充说“这是旧信息”。
原文链接:https://www.jns.org/iranian-hackers-leak-mossad-chiefs-personal-information/
发布平台:jns
04
匿名黑客入侵雀巢并泄露 10 GB 敏感数据
雀巢是入侵后仍在俄罗斯运营的公司之一,匿名者首先威胁该公司,然后对其进行了黑客攻击。今天,黑客组织宣布入侵雀巢并泄露了 10 GB 的敏感数据,包括公司电子邮件、密码和与商业客户相关的数据。
原文链接:https://securityaffairs.co/wordpress/129382/hacktivism/anonymous-hacked-nestle-leaked-data.html
发布平台:
美
05
暴露的数据库泄露印度CISF人员的个人信息:包含CISF网络上超过24.6万个PDF文档网址的记录被泄露
印度的一名安全研究人员发现了一个数据库,其中包含连接到印度中央工业安全部队(CISF)网络的安全设备生成的网络日志。但该数据库没有密码保护,因此互联网上的任何人都可以从他们的网络浏览器访问日志。这些日志包含CISF网络上超过24.6万个PDF文档网址的记录,其中许多与人事档案和健康记录有关,并包含CISF官员的个人身份信息。其中一些文件的日期是2022年。研究人员表示,该安全设备由总部位于印度的安全公司Haltdos制造。据称,该暴露的数据库于3月6日首次被发现。
原文链接:https://techcrunch.com/2022/03/18/india-cisf-security-data-exposed/
发布平台:techcrunch
Part 4
其他安全事件
01
谷歌TAG团队揭露Conti勒索软件的初始访问权代理人的战术
谷歌的威胁分析小组TAG揭露了一个名为“EXOTIC LILY”的威胁行为者的行动,该组织是与 Conti和Diavol勒索软件运营相关的初始访问权代理者。这个特定的组织首先被发现利用 Microsoft MSHTML(CVE-2021-40444)中的零日漏洞。
原文链接https://www.bleepingcomputer.com/news/security/google-exposes-tactics-of-a-conti-ransomware-access-broker/
发布平台:bleepingcomputer
02
BitRAT 恶意软件现在作为 Windows 10 许可证激活器传播
一项新的 BitRAT 恶意软件分发活动正在进行中,利用希望使用非官方 Microsoft 许可证激活器免费激活盗版 Windows 操作系统版本的用户。
原文链接:https://asec.ahnlab.com/ko/32846/
发布平台:ahnlab
03
Vermin 组织使用恶意程序 SPECTR对乌克兰国家组织进行网络攻击
乌克兰 CERT-UA 政府计算机应急响应小组收到了乌克兰国防部关于在乌克兰国家当局之间分发有关“供应”主题的电子邮件的通知。这次攻击是由 UAC-0020 (Vermin) 组织实施的,作为攻击的结果,受害者的计算机将受到模块化恶意软件SPECTR的影响,该恶意软件包括但不限于:SPECTR.Usb、SPECTR.Shell、SPECTR.Fs、SPECTR.Info、SPECTR.Archiver等组件。
原文链接:https://cert.gov.ua/article/37815
发布平台:乌克兰计算机应急响应小组
04
NASA的大多数系统都面临内部威胁的风险
NASA监察长办公室(OIG)的一份报告显示,虽然该机构已有效实施了涵盖机密系统的内部威胁计划,但该机构的大多数系统都是非机密的,因此可能会暴露。内部威胁可能包括源自网络钓鱼攻击或错误转发的电子邮件的意外泄漏、网络或数据库访问的滥用以及数据盗窃——当员工故意复制数据以与第三方共享数据时。
原文链接:https://www.securityweek.com/most-nasa-systems-risk-insider-threats-audit
发布平台:securityweek
05
FBI 发现俄罗斯黑客对美国能源公司的兴趣日益浓厚
联邦调查局警告称,自俄罗斯对乌克兰的战争开始以来,俄罗斯黑客对能源公司的兴趣有所增加,尽管它没有提供任何迹象表明计划进行特定的网络攻击。
原文链接:https://www.securityweek.com/fbi-sees-growing-russian-hacker-interest-us-energy-firms
发布平台:securityweek
Part 5
移动端安全事件
01
“CryptoRom”加密骗局滥用iPhone功能瞄准移动用户
利用浪漫诱饵和加密货币欺诈相结合的社会工程攻击一直在诱使毫无戒心的受害者利用TestFlight和 Web Clips等合法 iOS功能安装虚假应用程序。网络安全公司Sophos将有组织的犯罪活动命名为“ CryptoRom ”,将其描述为一个范围广泛的全球骗局。
原文链接:hhttps://mp.weixin.qq.com/s/y3NqITwVKlFs2GQEmfFnAQ
发布平台:thehackernews
02
Android密码窃取恶意软件感染了10万名Google Play用户
窃取 Facebook 凭据的恶意 Android 应用程序已通过 Google Play 商店安装超过 100,000 次,该应用程序仍可供下载。Android恶意软件伪装成一个名为“Craftsart Cartoon Photo Tools”的卡通化应用程序,允许用户上传图像并将其转换为卡通渲染。过去一周,安全研究人员和移动安全公司 Pradeo 发现 Android 应用程序包含一个名为“ FaceStealer ”的木马,它会显示一个 Facebook 登录屏幕,要求用户在使用该应用程序之前登录。
原文链接:https://www.bleepingcomputer.com/news/security/android-password-stealing-malware-infects-100-000-google-play-users/
发布平台:bleepingcomputer
03
苹果的宕机影响了iMessage、Apple Music、iCloud和其他服务
许多 Apple 服务在周一(2022.3.21)下午的大部分时间都出现了中断。根据Apple 的系统状态页面,已确认存在问题的服务包括 iMessage、一些 Apple 地图服务、iCloud Mail、iCloud 钥匙串、App Store、Apple Music、Apple TV Plus 和 Podcast。但是在美国东部时间下午 3:45 左右之后,每个服务都再次亮起绿灯,并表示问题已经解决。苹果尚未回应就可能发生的事情发表评论的请求。
原文链接:https://www.theverge.com/2022/3/21/22989393/apple-is-down-outage-music-imessage-maps-icloud-app-store
发布平台:theverge
04
Check Point:移动应用程序正在泄露你的敏感数据
据 Check Point 一份新的研究表明,由于后端云数据库配置错误,拥有数千万下载量的移动应用程序正在泄露用户的敏感数据。Check Point 对 VirusTotal 展开为期三个月的查询研究,以查找与 Firebase 云数据库通信的恶意软件扫描服务中列出的移动应用程序,其中发现 2113 个移动应用程序的 Firebase 后端由于配置错误可能暴露用户的敏感数据。这些配置错误可能是开发人员在编写代码时,投入大量资源来强化应用程序以抵御多种形式的攻击的同时会忽略云数据库的正确配置,从而使实时数据库暴露在外,导致数据泄露;也有可能是开发人员经常手动更改安全规则的默认安全配置来运行测试,应用程序发布到生产环境之前未锁定且未受保护,导致任何人可以对数据库进行读写,造成敏感信息泄露。
原文链接:https://www.itsecurityguru.org/2022/03/17/your-mobile-apps-are-exposing-your-data/?utm_source=rss
发布平台:itsecurityguru
05
谷歌商店木马渗透率激增,野外发现 WhatsApp 模块的Android 木马
在木马化的非官方 WhatsApp 版本中,捆绑的恶意软件会尝试通过Flurry stat 服务从谷歌商店和三星商店应用程序中获取通知,从命令和控制服务器接收到的URL 下载一个额外的 APK,并以 OBWhatsApp 更新的名义请求用户安装它。然后,这个新应用程序被用来显示任意对话框,具有远程动态设置和更新的功能,允许攻击者将用户重定向到恶意站点。
原文链接:https://www.bleepingcomputer.com/news/security/android-trojan-persists-on-the-google-play-store-since-january/
发布平台:bleepingcomputer
END
文章评论