全球37%手机或因芯片漏洞遭攻击、黑客利用微软漏洞窃取登录凭据｜全球网络安全热点

图片

安全资讯报告

APTC-23黑客使用新的Android间谍软件变种攻击中东用户

以打击中东目标而闻名的威胁行为者再次改进了其Android间谍软件，增强了功能，使其更隐蔽、更持久，同时伪装成看似无害的应用程序更新，以保持在雷达之下。

新变种“在其恶意应用程序中加入了新功能，使它们对用户的操作更有弹性，用户可能会尝试手动删除它们，以及安全和网络托管公司试图阻止访问或关闭他们的命令和控制服务器域，”Sophos威胁研究员Pankaj Kohli在周二发布的一份报告中说。

APTC-23也被称为VAMP、FrozenCell、GnatSpy和Desert Scorpion，移动间谍软件至少自2017年以来一直是APT-C-23威胁组织的首选工具，其连续迭代具有将监视功能扩展到文件，图像、联系人和通话记录，阅读来自消息应用程序的通知，记录通话（包括WhatsApp），以及取消来自内置Android安全应用程序的通知。

过去，该恶意软件以AndroidUpdate、Threema和Telegram为幌子，通过虚假的Android应用程序商店进行分发。最新的活动没有什么不同，因为它们采用应用程序的形式，声称在目标手机上安装更新，名称包括应用更新、系统应用更新和Android更新智能。据信，攻击者通过短信向目标发送下载链接来传送间谍软件应用程序。安装后，该应用程序开始请求侵入性权限以执行一系列恶意活动，这些活动旨在绕过任何手动删除恶意软件的尝试。

新闻来源： 

https://thehackernews.com/2021/11/apt-c-23-hackers-using-new-android.html

隐蔽的新JavaScript恶意软件使用RAT感染Windows PC

一种名为RATDispenser的新型隐蔽JavaScript加载程序正被用于在网络钓鱼攻击中感染具有各种远程访问木马(RAT)的设备。

新型加载程序很快与至少八个恶意软件系列建立了分发合作伙伴关系，所有这些都旨在窃取信息并让攻击者控制目标设备。

在HP威胁研究团队分析的94%案例中，RATDispenser不与攻击者控制的服务器通信，仅用作第一阶段的恶意软件投放器。与使用Microsoft Office文档丢弃有效负载的趋势相反，此加载程序使用JavaScript附件，惠普发现其检测率较低。

感染始于包含以“.TXT.js”双扩展名命名的恶意JavaScript附件的网络钓鱼电子邮件。由于Windows默认隐藏扩展名，如果收件人将文件保存到他们的计算机，它将显示为无害的文本文件。

过去三个月，惠普的研究人员能够从RATDispenser中检索到八种不同的恶意软件负载。

已识别的恶意软件家族包括STRRAT、WSHRAT、AdWind、Formbook、Remcos、Panda Stealer、GuLoader和Ratty。在分析的155个样本中的10个，加载程序建立了C2通信以获取第二阶段恶意软件。在81%的恶意软件丢弃案例中，RATDispenser分发STRRAT和WSHRAT（又名“Houdini），这两个强大的凭据窃取程序和键盘记录程序。

新闻来源： 

https://www.bleepingcomputer.com/news/security/stealthy-new-javascript-malware-infects-windows-pcs-with-rats/

过去一年，勒索软件和网络钓鱼攻击使爱尔兰企业损失近100亿欧元

一项新研究发现，包括网络钓鱼和勒索软件攻击在内的网络犯罪使爱尔兰经济损失了96亿欧元。

Grant Thornton的网络安全部门发布的网络犯罪经济成本报告称，该数字来自对企业、个人和政府的网络攻击所产生的直接和间接成本。

他们表示，这一数字自2014年以来呈指数增长，当时此类犯罪的成本估计为6.3亿欧元。

近年来，网络钓鱼和勒索软件攻击以及信用卡和借记卡欺诈以及以运营技术为重点的攻击都随着勒索软件攻击而增加，其中网络犯罪分子要求为泄露的材料付费，这是迄今为止注意到的最重要的网络犯罪形式在2020年。

仅勒索软件攻击和补救此类攻击的成本在2020年就超过了20亿欧元。2020年勒索软件攻击的成本为20亿欧元，估计与这些事件相关的直接成本（例如支付的赎金）以及基础设施和IT等间接成本因公开讨论和媒体报道而造成的账单和声誉损失。

该报告还指出，计算机病毒增加了100%，网络钓鱼攻击增加了20%，其中声称来自信誉良好的来源的欺诈性通信被发送给企业和消费者。与此同时，信用卡和借记卡欺诈也有所增加，造成1200万欧元的损失。

新闻来源： 

https://www.irishexaminer.com/business/economy/arid-40750674.html

暗网论坛正在教授如何构建僵尸网络的课程

僵尸网络是网络攻击的主要驱动因素之一，用于分发恶意软件、勒索软件和其他恶意负载——暗网论坛现在提供有关如何从中获利的课程，随着时间的推移，这一举措可能会增加威胁。

受网络犯罪控制的僵尸网络中受感染的计算机和设备可用于向更多设备发送网络钓鱼电子邮件或恶意软件。僵尸网络运营商通常会将他们在不知不觉中被控制的机器（可能有数千台）出租给其他网络犯罪分子。

安全研究人员在一个著名的地下论坛上分析了僵尸网络学校的广告和活动，发现这些课程很受欢迎——这对于可能成为网络犯罪分子学习这些技能的目标的组织来说可能是一个潜在的问题。

Recorded Future的网络犯罪情报分析师丹尼·潘顿(Danny Panton)告诉ZDNet：“这基本上就像你在上大学一样。”“你会有一个导演，他们会虚拟地教你——我不相信摄像机会在这个人身上——但他们可以访问一个平台，并被教导你需要做什么才能利用僵尸网络反对潜在的受害者。”

教授课程的人包括自己运行大型僵尸网络的个人。这些课程并不便宜——它们的成本超过1,400美元——但承诺甚至可以为网络犯罪新手提供有关如何构建、维护和货币化僵尸网络的知识。研究人员警告说，这些课程的存在可能会导致僵尸网络的威胁增加——尽管在无法跟踪个人用户活动的情况下很难量化。

新闻来源： 

https://www.zdnet.com/article/college-for-cyber-criminals-dark-web-crooks-are-teaching-courses-on-how-to-build-botnets/

乌克兰逮捕了苹果网络钓鱼攻击背后的“凤凰”黑客

乌克兰安全局(SSU)逮捕了专门从事移动设备远程黑客攻击的国际“凤凰”黑客组织的五名成员。

SSU的公告称，所有五名嫌疑人都住在基辅或哈尔科夫，并且都是高等技术教育学院的毕业生。

“Phoenix”的目标是远程访问移动设备用户的账户，然后通过劫持他们的电子支付或银行账户或将他们的私人信息出售给第三方来从中获利。

为了窃取移动设备用户的移动帐户，攻击者使用了仿冒苹果和三星登录门户的网络钓鱼站点。这项活动持续了至少两年，期间凤凰黑客入侵了数百人的账户。黑客还向他人提供远程手机黑客服务，收费在100至200美元之间。该组织还解锁了Apple制造的被盗或丢失的设备，通过将它们锁定到设备上创建的第一个帐户与原始购买者相关联。

新闻来源： 

https://www.bleepingcomputer.com/news/security/ukraine-arrests-phoenix-hackers-behind-apple-phishing-attacks/

安全漏洞威胁

CISIC产品漏洞可能导致有针对性的攻击

研究人员发现了CISIC自适应安全设备（ASA）和CISIC（FTD）防火墙的一个漏洞，该漏洞可能导致拒绝服务。Positive Technologies将漏洞的严重级别评估为高，建议用户尽快安装更新。

思科表示，这些漏洞是由于解析HTTPS请求时输入验证不当造成的。攻击者可以通过向受影响的设备发送恶意HTTPS请求来利用这些漏洞。成功的利用可能允许攻击者导致设备重新加载，从而导致拒绝服务(DoS)。

如果攻击成功，远程员工或合作伙伴将无法访问组织内部网络，外部访问将受到限制。同时，防火墙故障会降低对公司的保护。所有这些都会对公司流程产生负面影响，破坏部门之间的互动，并使公司容易受到有针对性的攻击。

攻击者不需要提升权限或特殊访问权限即可利用该漏洞。形成一个简单的请求就足够了，其中一个部件的尺寸将与设备预期的不同。进一步解析请求会导致缓冲区溢出，系统会突然关闭然后重新启动。

新闻来源： 

https://www.channelfutures.com/security/cisco-vulnerability-could-cause-firewall-failure-allow-targeted-attacks

MediaTek芯片窃听漏洞影响全球37%的智能手机和物联网

MediaTek芯片(SoC)中已披露多个安全漏洞，这些漏洞可能使威胁行为者能够提升权限并在音频处理器的固件中执行任意代码，从而有效地允许攻击者进行“大规模窃听活动”“在用户不知情的情况下。

这些缺陷的发现是以色列网络安全公司Check Point Research对这家台湾公司的音频数字信号处理器(DSP)单元进行逆向工程的结果，最终发现通过将它们与智能手机制造商库中存在的其他缺陷联系在一起，问题在芯片中发现的漏洞可能会导致Android应用程序的本地权限升级。

Check Point安全研究员Slava Makkaveev在一份报告中说：“攻击者可能会使用格式错误的处理器间消息来执行和隐藏DSP固件中的恶意代码。”“由于DSP固件可以访问音频数据流，对DSP的攻击可能会被用来窃听用户。”

新闻来源： 

https://thehackernews.com/2021/11/eavesdropping-bugs-in-mediatek-chips.html

黑客利用微软MSHTML漏洞窃取谷歌、Instagram登录凭据

安全研究人员命名“PowerShortShell”的恶意程序是基于PowerShell的新型盗号木马，其目的是盗取Google和Instagram登录凭据。

信息窃取器还用于Telegram监视和从受感染设备收集系统信息，这些信息与被盗凭据一起发送到攻击者控制的服务器。这些攻击始于7月，攻击手法为鱼叉式钓鱼邮件。攻击者将带有恶意Winword附件的Windows用户作为攻击目标，这些附件利用了CVE-2021-40444的Microsoft MSHTML远程代码执行(RCE)漏洞。

PowerShortShell窃取程序负载会下载到受感染系统上执行。启动后，PowerShell脚本开始收集数据和屏幕快照，并将其上传到攻击者控制的C2服务器。

新闻来源： 

https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/