GodFather 恶意软件瞄准400家银行和加密货币交易所展开攻击
Tag:GodFather,Android,银行,加密货币
事件概述:
Godfather 木马一款臭名昭著的恶意软件 Anubis 的继任者,于2021年3月首次被发现,此后它经历了大规模的代码升级和改进。近日,GodFather 以16个国家/地区的用户为目标,试图窃取400多个在线银行网站和加密货币交易所的帐户凭据。当受害者在手机上尝试登录网站时,该恶意软件会生成覆盖在银行和加密交换应用程序登录界面框之上的登录屏幕,诱使用户在精心设计的HTML钓鱼页面上输入他们的账号凭据,以此窃取凭据。
技术手法:
GodFather 一旦安装到设备上,恶意软件就会模仿标准安全工具“Google Protect”进行扫描,请求访问辅助功能服务权限。一旦受害者批准请求,恶意软件就可以访问 短信、通知、屏幕录制、联系人、拨打电话、写入外部存储以及读取设备状态等。此外,Accessibility Service 还被恶意软件滥用来阻止用户删除木马、泄露 Google Authenticator OTP(一次性密码)、处理命令以及窃取 PIN 和密码字段的内容,从 C2 服务器检索已安装应用程序的列表,以接收匹配的注入(伪造的 HTML 登录表单以窃取凭据)。该恶意软件还可以从受害者设备上安装的应用程序生成虚假通知,将受害者定向到网络钓鱼页面。除上述外,木马功能模块还能执行键盘记录、启动 VNC 服务器、录制屏幕、锁定屏幕、泄露和阻止通知、启用静默模式、建立 WebSocket 连接和调暗屏幕等操作。来源:
https://www.bleepingcomputer.com/news/security/godfather-android-malware-targets-400-banks-crypto-exchanges/
乌克兰 DELTA 军事系统用户遭到信息窃取恶意软件的攻击
Tag:乌克兰,军事系统,信息窃取
近日,乌克兰计算机应急响应小组(CERT-UA)透露称在乌克兰向北约咨询、指挥和控制组织 ( NC3O )提交 DELTA 系统几天后, DELTA 军事系统用户遭到UAC-0142 组织的攻击,攻击者通过国防部的一个受感染电子邮件帐户投递网络钓鱼电子邮件,旨在通过利用 FateGrab 和 StealDeal 恶意软件感染系统展开攻击。DELTA 是由 Aerorozvidka 开发的基于云的作战态势显示系统,可以实时监控战场上的部队。威胁组织通过失陷的电子邮件帐户向目标投递网络钓鱼电子邮件,以“DELTA”系统中证书的更新消息为诱饵,同时 PDF 文件形式的附件伪装成 Zaporizhzhia 警察局 ISTAR 部门的合法摘要,诱使目标点击恶意 ZIP 文件的链接下载并运行可执行文件,然后在 PC 上创建几个同样受 VMProtect 保护的 DLL 文件和一个模拟证书安装过程的“ais.exe”文件。随后,在受害者的计算机上将启动 RomCom 恶意软件,执行FateGrab 软件利用文件传输协议 ( FTP ) 窃取具有特定扩展名的文件,StealDeal 则窃取密码和其他信息。
来源:
https://cert.gov.ua/article/3349703
俄罗斯黑客 Gamaredon 瞄准北约国家的炼油公司,展开攻击
Tag:俄罗斯,北约,炼油
俄乌战争爆发以来,乌克兰本土及其网络面临着来自俄罗斯的威胁不断增加。随着地面和网络空间的冲突继续进行,Gamaredon 一直作为专门的访问创建者和情报收集者运作,该组织仍然是针对乌克兰的最普遍、侵入性、持续活跃和重点突出的 APT 之一。近日,研究人员监测发现该组织在今年8月份,企图破坏北约成员国的一家大型炼油公司,但未成功。威胁组织通过投递鱼叉式网络钓鱼电子邮件的附件,或通过指向.html 文件的链接(试图绕过电子邮件威胁扫描)进行网络钓鱼,这些.html文件包含 Base64 编码的.rar压缩文件,而这些压缩又包含恶意的.lnk文件。一旦用户单击这些.lnk文件,他们就会使用 Microsoft HTML 应用程序 ( mshta.exe ) 通过 URL 下载其他文件,利用 HTA 文件解码两个嵌入式 Base64 编码的 VBScript,通过创建 Windows 计划任务和注册表项来实现持久性。然后利用脚本功能代码充当后门,允许威胁组织运行 C2 服务器提供的额外 VBScript 代码。来源:
https://unit42.paloaltonetworks.com/trident-ursa
俄罗斯被曝发生多起严重的 GPS 中断事件
Tag:GPS ,俄罗斯
据外媒报道称,上周俄罗斯多个城市发生了多起严重的 GPS 中断事件。在乌克兰向俄罗斯领土深处发动远程无人机攻击后,传输中断被用来摧毁需要 GPS 导航的无人机。GPS 干扰已经达到了前所未有的水平,自一周前以来,GPS 干扰气泡已围绕数百至数千公里的战略城市。第一个发现 GPS 中断的是 GPSJam,这是一个使用飞机数据跟踪卫星导航系统问题的监控系统。自去年 12 月以来,萨拉托夫、伏尔加格勒和奔萨发生了更多 GPS 故障。这些城市都位于俄罗斯东部,靠近乌克兰边境。 而在 2 月俄罗斯大规模入侵乌克兰期间,只有莫斯科经历了 GPS 干扰。来源:
https://www.cysecurity.news/2022/12/russian-cities-are-experiencing-gps.html
Glupteba 僵尸网络死灰复燃,针对全球设备展开攻击
Tag:僵尸网络,Glupteba
在被 Google 捣毁了将近一年之后,Glupteba 恶意软件僵尸网络再次活跃起来,在全球范围内感染设备。Glupteba 死灰复燃后活动开始于2022年5月,并一直持续到今天。Glupteba 是模块化的,并使用区块链技术设计。它旨在挖掘加密货币、窃取用户凭据和 cookie,并在 Windows 和物联网系统上部署代理服务器。很大一部分恶意软件是通过按安装付费 (PPI) 网络或流量分配系统 (TDS) 上的恶意广告传播的,网络犯罪分子将安装程序伪装成免费软件、视频和电影,然后将其出售给其他网络犯罪分子作为“住宅代理”。 作为其规避策略的一部分,Glupteba 利用比特币区块链获取命令和控制服务器的更新列表,以便可以联系它们来执行命令。 僵尸网络客户端中的发现功能允许他们以加密格式找到 C2 服务器的地址。使用这种方法枚举比特币钱包的服务器,检索他们的交易,然后解析它们以找到编码格式的 AES 加密地址。由于 Glupteba 多年来一直采用这种方法,因此具备一种抵御攻击的弹性姿态。 来源:
https://www.cysecurity.news/2022/12/glupteba-malware-has-returned-after.html
伊朗威胁组织 MuddyWater 滥用 Syncro 展开攻击
Tag:伊朗,Muddywater,Syncro
MuddyWater,也称为 Static Kitten 和 Mercury,是伊朗背景的网络间谍组织。至少从2017年开始,MuddyWater 就瞄准了中东、亚洲、非洲、欧洲和北美的一系列政府和私营组织,包括电信、地方政府、国防以及石油和天然气组织。近日,研究人员监测发现 MuddyWater 组织利用 Syncro 远程管理工具展开鱼叉式钓鱼活动。威胁组织通过使用 Dropbox 服务来托管带有 Syncro 安装程序的压缩文件,利用投递HTML 附件而不是在电子邮件中嵌入直接链接。HTML 文件中的链接指向托管一个包含 Syncro MSI 安装程序的 OneDrive服务,诱导目标下载 MSI 程序展开恶意操作。来源:
https://www.deepinstinct.com/blog/new-muddywater-threat-old-kitten-new-tricks
福昕软件通报并修复PDF工具中严重的远程代码执行漏洞
Tag:PDF,远程代码执行漏洞
近日,福昕软件推出 Foxit PDF Editor 11.2.4 版本来修复其旗舰 PDF 阅读器和 PDF 编辑器产品中的一个危险的远程代码执行漏洞。该漏洞可以通过操纵网页的 PDF 文件加以利用。该漏洞包含在 Windows 平台中,影响 Foxit PDF Reader 12.0.2.12465 及更早版本,以及 Foxit PhantomPDF11.2.3.53593 和所有以前的 11.x 版本,10.1.9.37808 和更早版本。如果目标被诱骗访问被操纵的网页或打开恶意文件,则可能会被利用。福昕软件建议用户采取以下步骤将应用程序更新到最新版本。- 在 Foxit PDF Editor 中,点击“帮助”>“关于 Foxit PDF Editor”>“检查更新”(对于 10 及更早版本,点击“帮助”>“检查更新”)更新至最新版本。
- 直接从网站下载 Foxit PDF Editor 的更新版本。
来源:
https://www.foxit.com/support/security-bulletins.html
体育博彩公司 DraftKings遭到网络攻击,近68,000名客户信息泄露
Tag:体育博彩,数据泄露
体育博彩公司 DraftKings 于近日透露,超过 67,000 名客户的个人信息在11月的一次凭据攻击后暴露。 攻击者的目标是接管尽可能多的帐户以窃取个人和财务信息,这些信息会在黑客论坛或暗网上出售。然而,被盗信息也可能被用于身份盗窃诈骗,以进行未经授权的购买或清空与受感染账户相关联的银行账户。在撞库攻击中,自动化工具被用来进行大量尝试,以使用从其他在线服务窃取的凭据(用户/密码)登录帐户。 这种策略对于在多个平台上重复使用相同登录信息的用户帐户非常有效。 来源:
https://www.bleepingcomputer.com/news/security/draftkings-warns-data-of-67k-people-was-exposed-in-account-hacks/?&web_view=true
2022年12月9日
Hive 勒索软件组织泄露欧洲零售商的数据
Hive 勒索软件组织在数据泄露站点上发布了 11 月针对法国零售商 Intersport 攻击中窃取的客户数据。窃取的数据包括法国零售商 Intersport 员工的护照详细信息、他们的工资单、其他商店的离职和现任员工名单,以及社会保险号码等信息。Hive 勒索软件组织还威胁受害者要泄露更多以此逼迫零售商支付敲诈勒索的赎金。来源:
https://news.hitb.org/content/hive-ransomware-group-leaks-data-european-retailer
2022年12月6日
复杂的 DarkTortilla 恶意软件通过网络钓鱼站点传播
外媒称研究人员发现了一个投放 DarkTortilla 恶意软件的钓鱼活动。DarkTortilla 是一种复杂的基于.NET的恶意软件,自2015年以来一直活跃,可被用来下载多个窃取程序和远程访问木马(例如AgentTesla、AsyncRAT、NanoCore等)。活动感染链始于可导向钓鱼网站的垃圾邮件或在线广告。钓鱼网站伪装成合法的Grammarly和Cisco等官方站点,诱导用户下载、安装 DarkTortilla 。此外,该恶意软件还能够修改受害者系统的.LNK文件路径以实现持久性。来源:
https://blog.cyble.com/2022/12/16/sophisticated-darktortilla-malware-spreading-via-phishing-sites/