eXotic Visit针对印度和巴基斯坦的 Android 用户
发布时间 2024-04-161. eXotic Visit针对印度和巴基斯坦的 Android 用户
4月10日,一个名为 eXotic Visit 的活跃 Android 恶意软件活动主要针对南亚用户,特别是印度和巴基斯坦的用户,恶意软件通过专门网站和 Google Play 商店分发。某网络安全公司表示,这项活动自 2021 年 11 月以来一直在进行,与任何已知的威胁行为者或组织无关。它正在追踪名为Virtual Invaders的行动背后的组织。据称,该活动具有很强的针对性,Google Play 上提供的应用程序的安装数量微乎其微,从 0 到 45 不等。这些应用程序已被下架。这些虚假但实用的应用程序主要伪装成消息服务,例如 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat。据称,大约 380 名受害者下载了这些应用程序并创建了帐户,以使用它们发送消息。
https://thehackernews.com/2024/04/exotic-visit-spyware-campaign-targets.html?&web_view=true
2. GSMA 发布移动威胁情报框架
4月10日,GSM 协会的欺诈和安全小组 (FASG) 发布了第一版框架,用于以结构化方式描述对手如何根据他们使用的策略、技术和程序 (TTP) 攻击和使用移动网络。移动威胁情报框架 (MoTIF) 专注于与移动网络相关的攻击,这些攻击尚未被MITRE ATT&CK(适用于企业和移动)和MITRE FiGHT等现有公共框架涵盖。范围包括 2G、3G、4G、5G,包括所有类型的电信服务推动者(例如漫游、SMS、VoIP)和未来移动技术的演进。还包括针对移动网络及其客户的欺诈攻击。MoTIF 原则提供了 MoTIF 的概述,并定义了框架中指定的技术和子技术。
https://www.helpnetsecurity.com/2024/04/10/gsma-mobile-threat-intelligence-framework/?web_view=true
3. 地缘政治紧张局势加剧 OT 网络攻击
4月15日,过去几年,出于政治动机、造成人身后果的黑客攻击有所增加。几乎所有这些袭击都与俄罗斯入侵乌克兰或正在进行的伊朗/以色列冲突有关。从历史上看,这些攻击并不是非常复杂,但每个人都在关注大型语言模型人工智能的出现,看看这些人工智能是否会让黑客行动主义者变得更加强大。勒索软件是罪魁祸首。然而,勒索软件历来推动了具有 OT 后果的攻击的复合年增长率更高。19% 低于我们今年的预期,我们将这一差异归因于策略的转变。勒索软件对 OT 的影响很大一部分是由于依赖性。勒索软件攻击 IT 网络,加密大量内容,从而导致大量 IT 服务器和服务瘫痪。OT 关闭。为什么?事实证明,我们的 OT 自动化系统需要一些已瘫痪的 IT 服务。
https://www.helpnetsecurity.com/2024/04/15/andrew-ginter-waterfall-security-ot-cyber-attacks/
4. WikiLoader 通过文本编辑器 Notepad++ 进行传播
4月14日,AhnLab 安全应急响应中心的安全研究人员发现了针对广泛使用的 Notepad++ 文本编辑器的复杂恶意软件活动。这种攻击的核心是一种称为 DLL 劫持的技术。攻击者秘密修改了默认的Notepad++插件“mimeTools.dll”,以便在文本编辑器启动时执行恶意代码。由于该插件随每个 Notepad++ 安装一起提供,因此用户在使用该软件时会无意中触发感染。在损坏的插件中,攻击者小心地隐藏了他们的有效负载。伪装成无害证书的文件“certificate.pem”掩盖了加密的 shellcode——攻击的初始阶段。随着恶意软件覆盖另一个插件“BingMaps.dll”中的代码并将线程注入核心“explorer.exe”Windows 进程,复杂性也会增加。这确保了持久性并使攻击更难以检测。
https://securityonline.info/popular-text-editor-notepad-compromised-in-wikiloader-malware-attack/
5. 间谍活动卷土重来,LightSpy 瞄准南亚
4月14日,LightSpy 最初于 2020 年在香港紧张局势加剧期间被发现,以其类似激光的聚焦能力和强大的数据收集能力而闻名。最新的版本被称为“F_Warehouse”,呈现出适应性更强的威胁。它采用即插即用模块设计,允许攻击者自定义监视以满足特定目标:看不见的监视、深度数据渗透和远程控制的威胁。LightSpy 采用证书固定等复杂技术来逃避检测。它主要通过受损的新闻网站传播,这些网站包含与敏感政治问题相关的内容,例如之前在香港抗议期间观察到的问题。一旦设备受到损害,LightSpy 就会部署多阶段植入过程,逐步释放其全部间谍功能。
https://securityonline.info/espionage-campaign-returns-lightspy-targets-southern-asia/
6. CISA将D-LINK多个漏洞添加到已知利用的漏洞目录
4月11日,美国网络安全和基础设施安全局 (CISA) 将以下 D-Link 多 NAS 设备缺陷添加到其已知可利用漏洞 (KEV) 目录中:D-Link 多个 NAS 设备使用硬编码凭据漏洞(CVE-2024-3272)和D-Link 多个 NAS 设备命令注入漏洞(CVE-2024-3273)。CVE-2024-3272 是影响 D-Link 多个 NAS 设备的硬编码凭据使用漏洞。该缺陷影响 D-Link DNS-320L、DNS-325、DNS-327L 和 DNS-340L,这些设备包含硬编码凭据,允许攻击者进行经过身份验证的命令注入,从而导致远程、未经授权的代码执行。CISA 指出,该缺陷影响已达到生命周期终止 (EOL) 或服务终止 (EOS) 生命周期的 D-Link 产品,因此,应根据供应商的指示退役并更换这些产品。缺陷 CVE-2024-3272 是影响 D-Link 多个 NAS 设备的命令注入漏洞。该漏洞影响D-Link DNS-320L、DNS-325、DNS-327L 和 DNS-340L,其中包含命令注入漏洞。
https://securityaffairs.com/161739/security/cisa-d-link-multiple-nas-devices-bugs-known-exploited-vulnerabilities-catalog.html?web_view=true
京公网安备11010802024551号