免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Cleafy TIR团队发现了一种名为DroidBot的Android远程访问木马
2024年10月,Cleafy TIR团队发现了一种名为DroidBot的全新Android远程访问木马(RAT),其活动可追溯至2024年6月。DroidBot结合了隐藏VNC和覆盖攻击等经典技术,同时具备键盘记录和用户界面监控等间谍功能,能够拦截用户交互,成为窃取凭据和进行监控的强大工具。此外,其独特的双通道通信机制通过MQTT协议传输数据,并通过HTTPS接收指令,增强了灵活性和隐蔽性。目前,DroidBot的目标涵盖英国、意大利、法国、西班牙和葡萄牙的77家银行、加密货币交易所和国家机构,显示出其对高价值目标的广泛威胁潜力。分析显示,该恶意软件具有恶意软件即服务(MaaS)特征,存在17个独立的合作群组,这些群组共享MQTT服务器,可能存在协作或演示活动。尽管DroidBot仍处于开发阶段,其部分功能如root检测仅为占位符,样本间也存在混淆程度和解包方式的差异,但其已经展现出显著的威胁能力。随着开发的持续,DroidBot预计将进一步扩展至语言相近的拉丁美洲地区,并对金融机构和政府组织构成更大威胁。
https://www.cleafy.com/cleafy-labs/droidbot-insights-from-a-new-turkish-maas-fraud-operation
2 罗马尼亚选举系统遭受超过85000次网络攻击
根据罗马尼亚情报局(SRI)解密报告,该国选举基础设施在首轮总统选举前遭遇了超过85000次网络攻击。攻击者成功获取选举相关网站的账户凭据,并在俄罗斯黑客论坛泄露。11月19日,攻击者入侵了连接选举局内部网络和公共网站的服务器,并利用SQL注入与跨站脚本漏洞发动攻击,试图访问和破坏选举系统、篡改选举信息,并实施拒绝服务攻击。攻击源自33个国家,SRI怀疑背后可能是国家级威胁。与此同时,罗马尼亚的总统选举还遭受了影响力活动的干预。据报告,超过100名TikTok罗马尼亚网红被操纵,为候选人卡林·乔治斯库制作选举内容。相关视频自11月13日开始急剧增加,11月26日登上热榜第九位,总观看量达数亿次。分析显示,这些活动与俄罗斯在邻国摩尔多瓦支持亲俄候选人的策略相似。尽管SRI未直接指控俄罗斯,但罗马尼亚对外情报局(SIE)认为,俄罗斯视罗马尼亚为敌对国家,通过干涉选举、散布假信息和支持疑欧势力等方式,试图削弱罗马尼亚的民主与北约的东翼安全。SRI警告称,罗马尼亚选举系统的漏洞仍可能被利用,网络安全风险不容忽视。
https://www.reuters.com/world/europe/romania-was-target-aggressive-hybrid-russian-attacks-during-elections-security-2024-12-04/
3 研究人员在俄罗斯联邦安全局归还的设备中发现新型Android间谍软件
研究人员发现俄罗斯程序员Kirill Parubets被归还的安卓手机中植入了类Monokle型间谍软件。Parubets在行政拘留期间遭受殴打,并被强迫透露设备密码和接受招募成为联邦安全局(FSB)线人。设备被归还后,Parubets观察到异常行为,包括可疑的“Arm cortex vx3 synchronization”通知。进一步的分析揭示了一个恶意应用,这是一个伪装成合法应用Cube Call Recorder的木马程序。分析显示,这款间谍软件具备高度隐蔽性和广泛监控功能,包括精准定位、记录电话和信息、截屏、读取日历、访问联系人信息等。这些功能超出了合法版Cube Call Recorder的权限范围,并通过多阶段加密和动态解密技术进行隐藏,以规避杀毒软件检测。间谍软件的主要恶意功能集中在独特的Java类com.android.twe1ve中,该类通过加载lib/arm64-v8a/library.so库和解密名为license的第二阶段dex文件实现全面监控能力。此类技术手段和功能的复杂性表明,这可能是Monokle间谍软件的更新版本,或者是基于相同代码的新型间谍工具。
https://citizenlab.ca/2024/12/device-confiscated-by-russian-authorities-returned-with-monokle-type-spyware-installed/
4 Mitel MiCollab协作平台中存在多个安全漏洞
在当前攻击目标趋于广泛化的背景下,任何位于企业DMZ中的设备都成为潜在攻击目标,而Mitel MiCollab平台的最新漏洞揭示了VoIP系统的严重安全隐患。研究人员发现了两个已公开的漏洞(CVE-2024-35286和CVE-2024-41713),以及一个尚未修复的零日漏洞,暴露了MiCollab平台在身份验证绕过和任意文件读取等方面的显著风险。CVE-2024-35286是一个关键的SQL注入漏洞,存在于MiCollab的NuPoint Unified Messaging组件中。虽然该漏洞需要特定的配置才能触发,但其严重性不可忽视:攻击者可以在未经身份验证的情况下利用此漏洞执行任意SQL查询。进一步分析发现,另一身份验证绕过漏洞(CVE-2024-41713)进一步扩大了攻击面,允许攻击者在未授权的情况下访问系统资源。此外,一个尚未公开的后认证任意文件读取漏洞通过特定的攻击路径使得攻击者能够访问敏感文件。MiCollab平台为企业和政府机构提供统一通信解决方案,包括电话会议、桌面共享和语音信箱等功能。然而,这些特性一旦被恶意利用,将带来灾难性后果,例如监听实时通话、阻断通信或利用深度伪造技术实施社会工程攻击。
https://labs.watchtowr.com/where-theres-smoke-theres-fire-mitel-micollab-cve-2024-35286-cve-2024-41713-and-an-0day/
5 伏特加制造商Stoli美国子公司因网络攻击申请破产保护
2024年12月2日——两家美国子公司——Stoli集团旗下的Stoli Group USA(负责进口和分销Stoli品牌酒品)以及肯塔基猫头鹰(Kentucky Owl,一款波旁威士忌品牌),因遭遇严重的网络攻击、俄罗斯政府没收其剩余的蒸馏厂以及与贷款方的争议,向德克萨斯州达拉斯法院申请了破产保护。2024年8月,Stoli集团遭遇了一次数据泄露和勒索病毒攻击,导致其全球业务遭遇严重中断,公司不得不依赖手工记账来处理关键业务活动。Stoli表示,其集中业务软件的恢复至少要到2025年第一季度才可能完成。这次网络攻击还加剧了与Stoli USA和Kentucky Owl的主要贷款方之间的紧张关系。贷款方要求偿还7800万美元债务,而网络攻击导致这两家公司无法向贷款方提供最新的财务报告,贷款方认为两家公司已经违约,依照法庭文件,双方的争执不断加剧。
https://www.reuters.com/legal/litigation/vodka-maker-stolis-us-companies-file-bankruptcy-after-cyberattack-2024-12-02/
6 内布拉斯加州男子因非法加密挖矿被逮捕后认罪
内布拉斯加州男子因操作一个大规模的非法加密挖矿行动而被逮捕。经过长时间的调查,帕克斯最终在周四认罪,承认未支付350万美元账单,并通过租用云计算资源挖掘了约97万美元的加密货币。根据司法部的声明,虽然未明确提到两家云服务提供商的名称,但文件指出,这两家公司分别位于华盛顿州西雅图和雷德蒙德,后者是亚马逊和微软的总部所在地。检方指控,帕克斯在2021年1月至2021年8月期间,通过使用多个化名和自己控制的公司实体,如“MultiMillionaire LLC”和“CP3O LLC”,创建了多个云服务账户,借此获得大量计算能力和存储资源,而未支付费用。在此过程中,帕克斯利用云计算资源进行加密货币挖掘,包括以太坊(ETH)、莱特币(LTC)和门罗币(XMR)。他还通过各种手段欺骗云服务提供商,获取更高层次的服务,并延迟结算,同时巧妙避开了提供商对异常数据使用和未支付账单的质疑。
https://www.bleepingcomputer.com/news/security/nebraska-man-cp3o-pleads-guilty-to-dumb-cryptojacking-operation/
Nebraska Man pleads guilty to dumb cryptojacking operation.pdf
(3 MB, 下载次数: 8)
|
发表于 2024-12-6 20:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡