安全新聞周報20250331~0406

 

 

1.APT34針對金融和電信行業發佈新型定制惡意軟體

 

APT34，也稱為OilRig、Helix Kitten、IRN2或Earth Simnavaz，使用定制惡意軟體瞄準金融和電信行業。該惡意軟體利用偽造的文檔名稱（例如PDF和邀請函）來誘騙用戶執行惡意負載。啟動後，惡意軟體會部署加密的配置檔並建立持久任務以確保長期訪問。

 

它使用兩個主要通信管道：嵌入在正文內容中的基於HTTP的控制指令和通過受感染的官方政府郵箱進行的電子郵件通信。

 

APT34的惡意軟體採用了先進的混淆技術，包括偽造編譯時間並偽裝成“MonitorUpdate”等合法服務。此外，該惡意軟體還會檢查虛擬化環境和系統安裝時間，以逃避沙盒設置中的檢測。一旦運行，它就會使用Base64和XOR演算法解密配置檔，從而根據伺服器指令實現動態功能。

 

APT34通過創建模仿合法Web介面（例如404錯誤頁面）的歐洲資產，開發了強大的命令與控制(C2)基礎設施。該組織的C2伺服器利用8080、8989、9090和10443等端口進行數據傳輸。該惡意軟體通過URL和網頁內容中嵌入的命令的組合與C2伺服器進行通信。

 

APT34對金融和電信的關注凸顯了其破壞關鍵基礎設施以進行間諜活動或獲取經濟利益的戰略意圖。通過利用這些行業的漏洞，該組織可以獲取可能對國家安全和經濟穩定產生深遠影響的敏感數據。

 

建議這些組織實施強有力的網路安全措施，包括定期更新威脅情報源、對員工進行網路釣魚意識培訓以及部署先進的端點保護系統。

 

鏈接：

https://cyberpress.org/apt34-unleashes-new-custom-malware/

 

2.新型Android惡意軟體“TsarBot”瞄準750款銀行、金融和加密應用程式

 

一種新發現的Android惡意軟體TsarBot，針對銀行、金融、加密貨幣和電子商務領域的750多個應用程式，已經成為強大的網路威脅。

 

該銀行木馬採用複雜的覆蓋攻擊來竊取敏感用戶憑證，包括銀行詳細資訊、登錄資訊和信用卡數據。

 

TsarBot的業務遍及多個地區，包括北美、歐洲、亞太和中東。該惡意軟體通過冒充合法金融平臺的網路釣魚網站進行傳播。一旦通過偽裝成Google Play服務的植入器安裝到受害者的設備上，TsarBot就會通過在合法應用程式上顯示虛假的登錄頁面來啟動覆蓋攻擊。該技術使其能夠無縫捕獲敏感的用戶數據。

 

除了覆蓋攻擊之外，TsarBot還展示了螢幕錄製和受感染設備的遠程控制等高級功能。它可以模擬用戶滑動和點擊等動作，同時使用黑色覆蓋螢幕隱藏惡意活動。此外，該惡意軟體還採用鎖抓取技術，通過虛假鎖屏獲取設備PIN或密碼。

 

TsarBot通過跨多個端口的WebSocket連接與其命令和控制(C＆C)伺服器進行通信。報告稱，這些連接有助於傳輸被盜數據，並能夠在受害者的設備上動態執行欺詐活動。伺服器發出的命令允許惡意軟體操縱螢幕控制、執行手勢並與目標應用程式進行交互。

 

該惡意軟體維護從其C＆C伺服器檢索的目標應用程式包名稱列表。

Discover related topics：

Malware Removal Android

Free Malware Removal Android

Cybersecurity，Malware Analysis，Vulnerabilities

Mobile Malware Threat in Digital Landscape

Android Malware Threat

 

其中包括來自印度、法國、波蘭和澳大利亞等國家的銀行應用程式，以及加密貨幣平臺和社交媒體應用程式。

 

當用戶與這些應用程式交互時，TsarBot會覆蓋模仿合法介面的網路釣魚頁面，以誘騙受害者輸入他們的憑據。被盜數據隨後被傳回C＆C伺服器以供利用。

 

TsarBot能夠針對大量應用程式進行攻擊，這凸顯了Android銀行木馬日益複雜的特點。通過利用輔助功能服務和先進的通信協議，它可以在不被發現的情況下執行設備欺詐。

 

網路安全專家建議用戶在安裝來自不受信任來源的應用程式時要小心謹慎，並避免與可疑鏈接或釣魚網站進行互動。

 

啟用Google Play Protect並定期更新設備也可以減輕與此類威脅相關的風險。

 

這一發展凸顯了當今互聯的數字環境中移動惡意軟體所帶來的持續挑戰。

 

鏈接：

https://gbhackers.com/new-android-malware-tsarbot-targeting-750-banking/

 

3.銀狐超進化！引爆2025開年最大黑產攻擊

 

近日，多起大型央企、醫療機構等被黑產大規模拉群釣魚、詐騙錢財的網路安全事件。經過關聯分析和綜合研判後，“銀狐”最新變種正在集中引發大規模網路攻擊，廣泛影響中大型企業，累計受影響員工數千人以上，堪稱2025開年以來最大規模的黑產攻擊。

 

本次攻擊發現和處置難度前所未有，原因如下：

IM和企業IM成釣魚攻擊“集散地”，難以分辨。攻擊者大量使用IM軟體和企業IM拉群傳播惡意檔和詐騙二維碼，單位員工分辨較難，容易受騙，因此幾乎每起攻擊事件都會引發錢財損失。

 

釣魚途徑多樣，誘餌緊貼時事、高度逼真。攻擊者用以仿冒釣魚的主題包括但不限於稅務局稽查局、DeepSeek、穀歌線上翻譯、公共電子郵件登錄入口，甚至偽裝為成人網站。

 

黑產攻擊資源豐富，攻擊規模大、時間持久。惡意功能變數名稱更新頻次極高，惡意樣本變種快、分佈廣，影響企業數量極多，僅限制部分ip和功能變數名稱黑名單不能完全防範。

 

極難清理，攻擊反復。“銀狐”最新變種在免殺對抗和駐留技術上有極大提升，導致部分單位的攻擊事件反復出現。

 

建議安全運營團隊立刻採取措施：積極應對活躍黑產，成立專項運營小組、制定計畫；應用有效的EDR技術，快速發現威脅並進行回應；提高員工安全意識，警惕偽裝成內部員工拉群的釣魚攻擊，掃描轉賬前一定要多方核實，提高特定部門尤其是財務的安全意識宣導。

 

鏈接：

https://www.anquanke.com/post/id/306068

 

4.新型Android木馬Crocodilus濫用可訪問性竊取銀行和加密憑證

 

網路安全研究人員發現了一種名為Crocodilus的新型Android銀行惡意軟體，主要針對西班牙和土耳其的用戶。

 

Crocodilus並不是以簡單的克隆形式出現的，而是從一開始就是一個成熟的威脅，配備了遠程控制、黑屏覆蓋和通過可訪問性日誌記錄進行高級數據收集等現代技術。與同類其他銀行木馬一樣，該惡意軟體旨在促進設備接管( DTO)並最終進行欺詐交易。對源代碼和調試消息的分析表明，惡意軟體作者講土耳其語。

 

Crocodilus工件偽裝成Google Chrome軟體包名稱：“quizzical.washbowl.calamity”），它充當能夠繞過Android 13+限制的投放器。安裝並啟動後，該應用程式會請求Android輔助功能服務的許可權，然後與遠程伺服器建立聯繫以接收進一步的指令、要針對的金融應用程式列表以及用於竊取憑據的HTML覆蓋。

 

Crocodilus還可以通過覆蓋層來攻擊加密貨幣錢包，它不會提供虛假的登錄頁面來捕獲登錄資訊，而是顯示一條警告消息，敦促受害者在12小時內備份他們的種子短語，否則將面臨無法訪問錢包的風險。

 

這種社會工程手段只不過是威脅行為者的一種詭計，目的是引導受害者導航到他們的種子短語，然後通過濫用輔助功能服務來收集這些短語，從而使他們能夠完全控制錢包並耗盡資產。

 

Crocodilus會持續運行，監控應用程式的啟動並顯示攔截憑據的覆蓋層。該惡意軟體會監控所有可訪問性事件並，並捕獲螢幕上顯示的所有元素。”這使得惡意軟體可以記錄受害者在螢幕上執行的所有活動，並觸發對Google Authenticator應用程式內容的螢幕截圖。

 

Crocodilus的另一個特點是它能夠通過顯示黑屏覆蓋以及靜音來隱藏設備上的惡意操作，從而確保受害者不會注意到它們。

 

該惡意軟體支持的一些重要功能如下：啟動指定應用程式，從設備上自行移除，發佈推送通知，向所有/選定聯繫人發送短信，檢索聯繫人列表，獲取已安裝應用程式的列表，獲取短信，請求設備管理員許可權，啟用黑色覆蓋，更新C2伺服器設置，啟用/禁用聲音，啟用/禁用鍵盤記錄，將自身設為默認短信管理器。

 

Crocodilus手機銀行木馬的出現標誌著現代惡意軟體的複雜性和威脅級別的顯著升級。憑藉其先進的設備接管功能、遠程控制功能以及從最早版本開始部署的黑色覆蓋攻擊，Crocodilus表現出了在新發現的威脅中罕見的成熟度。

 

這一發展被一項使用稅務主題誘餌分發的釣魚活動披露了，其針對墨西哥、阿根廷和西班牙的Windows用戶的Grandoreiro銀行木馬的詳情，該活動通過混淆的Visual Basic腳本進行傳播。

 

Google Play Protect可自動保護Android用戶免受已知版本的惡意軟體侵害，該功能在安裝有Google Play服務的Android設備上默認啟用。Google Play Protect可以警告用戶或遮罩已知存在惡意行為的應用，即使這些應用來自Play以外的來源。

 

鏈接：

https://thehackernews.com/2025/03/new-android-trojan-crocodilus-abuses.html

 

5.思科智能許可實用程式漏洞使攻擊者獲得管理員訪問許可權

 

思科智能許可實用程式中有兩個嚴重漏洞被積極利用，可能允許攻擊者獲得受影響系統的管理訪問許可權。 

 

思科智能許可實用程式中標記為CVE-2024-20439和CVE-2024-20440的嚴重安全漏洞正在被廣泛利用，可能允許未經授權的攻擊者獲得對受影響系統的管理控制權。

 

CVE-2024-20439（CVSS評分：9.8），CSLU版本2.0.0–2.2.0中硬編碼的未記錄的靜態管理憑證。未經身份驗證的攻擊者可以通過CSLU API以完全管理權限登錄受影響的系統，從而徹底入侵系統。它需要CSLU積極運行（默認情況下不是後臺服務）。攻擊者使用靜態憑證來繞過身份驗證。

 

CVE-2024-20440（CVSS評分：9.8），調試日誌冗長，允許攻擊者通過精心設計的HTTP請求檢索包含API憑據的日誌檔。影響包括敏感數據的洩露，包括橫向移動或持續訪問的憑證。該漏洞通常與CVE-2024-20439結合使用，以提升許可權並從日誌中提取憑證。

 

這些漏洞影響Cisco Smart Licensing Utility版本2.0.0、2.1.0和2.2.0。威脅行為者正在積極利用這些漏洞以及其他漏洞，包括廣州盈科電子科技Ncast中看似資訊洩露的漏洞(CVE-2024-0305)。

 

組織必須升級到Cisco Smart License Utility 2.3.0版本，該版本不會受到這些問題的影響。

 

鏈接：

https://cybersecuritynews.com/cisco-smart-licensing-utility-vulnerabilities/

 

6.澳大利亞養老金計畫被駭客攻擊——成員將從其帳戶中失去資金

 

多個主要的澳大利亞養老基金已成為一起複雜的網路攻擊的受害者，該攻擊已破壞了數千名會員帳戶，並導致確認的財務損失。

 

網路安全專家將此次攻擊識別為協調的OAuth令牌操作活動，結合了高級憑證填充技術，針對養老基金會員門戶中的API漏洞。

 

網路罪犯成功突破了至少五家主要養老基金的安全防線，包括澳大利亞超級基金、REST、Hostplus、澳大利亞退休信託基金和Insignia金融的MLC擴展，這似乎是針對澳大利亞退休儲蓄系統的最大規模協調攻擊。

 

該攻擊始於2025年3月29日至30日的週末，利用了行業廣泛使用的身份驗證框架中存在的CVE-2024-7821漏洞。

 

澳洲超級年金基金確認，駭客使用了超過600個被盜密碼來訪問會員帳戶。“在過去的一周裏，我們看到我們的會員門戶和移動應用中可疑活動激增，我們敦促會員採取措施保護自己免受網路攻擊。”澳洲超級年金基金首席會員官羅斯·科爾林表示。

 

澳大利亞金融評論報導，一些會員已經經歷了對其退休儲蓄的未經授權的提取。REST養老金已經識別出大約20,000個受影響的帳戶，占其會員基數的1%。

 

CEO維基·多伊爾解釋說，“我們立即採取行動關閉了會員訪問門戶，進行了調查並啟動了我們的網路安全事件回應程式。”

 

攻擊向量似乎利用了針對基金管理系統資料庫漏洞的SQL注入技術。

 

網路安全調查人員確定，攻擊者在清晨時段執行其攻擊活動，以防止成員立即注意到會話劫持警報和密碼更改通知。

 

攻擊者部署了一種複雜的MSSQL.Injector代碼，繞過了標準的WAF（Web應用防火牆）防護。

 

國家網路安全協調員已啟動以協調應對工作，初步的取證分析表明，攻擊源自一個分佈式僵屍網路，利用了之前數據洩露中受損的憑證。受影響的基金已實施緊急應對措施，包括暫時限制平臺功能。

 

“我們的網路安全團隊正在積極工作，以應用額外的監控和緩解措施來保護客戶帳戶，”Insignia Financial MLC Expand的CEO Liz McCarthy表示。

 

Super Consumers Australia CEO Xavier O’Halloran對此漏洞表示擔憂：“這關係到人們的財務未來。而這次攻擊的細節和範圍仍在不斷浮現。”

 

受影響基金的成員強烈建議立即啟用雙因素認證，在所有金融服務中重置密碼，監控帳戶活動，並報告任何可疑交易。

 

行業專家建議為每項金融服務使用密碼管理器和唯一的憑證，以防止未來的憑證填充攻擊得逞。

 

鏈接：

https://cybersecuritynews.com/australian-pension-funds-hacked/

 

7.DDoS攻擊率飆升，毫無減緩跡象——原因如下

 

攻擊者正在使用越來越複雜和有效的技術來針對選舉、抗議和其他政治事件。

 

根據最新研究，自去年上半年以來，分佈式拒絕服務(DDoS)攻擊的數量急劇上升，且提供DDoS服務的平臺越來越先進。

 

Netscout的數據顯示，2024年下半年發生了近900萬次DDoS攻擊，比上半年增長了12.75%。這種增長是由於DDoS攻擊越來越多地被用作與選舉、民眾抗議和政策爭議等社會政治事件相關的網路戰工具所推動的。

 

例如去年，以色列因解救人質和政治衝突而遭受的襲擊增加了2844%，而在《俄羅斯法案》通過前夕，格魯吉亞遭受的襲擊增加了1489%。同樣，墨西哥在全國大選期間的投票率也上漲了218%，英國在工黨恢復議會會議的當天的投票率上漲了152%。其他重大襲擊與印度、土耳其和肯雅的政治事件有關。

 

Netscout威脅情報總監理查德·胡梅爾(Richard Hummel)表示，DDoS攻擊已成為“網路戰的首選工具”，並警告說，這種趨勢沒有放緩的跡象。

 

政治動機驅動的DDoS活動的最大參與者之一是NoName057(16)組織，該組織使用DDoSia僵屍網路。NoName057(16)仍然是出於政治動機的分佈式拒絕服務（DDoS）攻擊活動的主要參與者，針對的是政府、基礎設施和組織。在2024年，他們反復針對英國、比利時和西班牙的政府服務。

 

研究警告稱，DDoS租賃服務目前正在使用人工智能來繞過驗證碼，目前有九成平臺提供此功能。許多人使用自動化來啟用多目標DDoS攻擊活動，這些活動只需要最少的監督，從而顯著提高了攻擊的效率。

 

其他基礎設施利用技術包括地毯轟炸、地理欺騙和IPv6，以擴大攻擊面並繞過防禦。地毯式轟炸攻擊針對的是整個子網而不是單個主機，同時攻擊者也越來越多地利用代理基礎設施來放大和掩蓋其影響。

 

到2024年底，代理驅動的HTTPS攻擊占所有攻擊的五分之一以上。

 

即使是最沒有經驗的操作員也可能發起大規模的DDoS攻擊活動，造成重大損害。

 

僵屍網路活動持續增加，而且如今這不僅僅是低功耗物聯網(IoT)僵屍網路的問題，企業伺服器和路由器現在被利用來使攻擊更加嚴重，補救更加困難。

 

執法部門的打擊行動（例如Operation PowerOFF）繼續針對DDoS租賃服務，但隨著新平臺的出現，其效果只是暫時的。事實上，打擊行動並沒有顯著減少全球攻擊量。

 

雖然清除行動會暫時擾亂攻擊平臺並降低僵屍網路的可用性，但隨著攻擊者不斷調整和重建其網路，其長期影響仍不確定。

 

鏈接：

https://www.itpro.com/security/surging-ddos-attack-rates-show-no-sign-of-slowing-down-heres-why

 

8.前政府通信總部實習生將絕密數據帶回家，面臨國家安全風險

 

2022年被捕的哈桑·阿爾沙德(Hassaan Arshad)被指控將竊取的數據下載到連接到個人電腦的硬碟上。他承認了根據《1990年電腦濫用法》第3ZA條提出的指控，該指控涉及“未經授權的行為造成或造成嚴重損害的風險”。

 

政府通信總部內標有“絕密”的區域和設備存放著政府最敏感的數據。在這裏洩露的資訊可能會對同盟國的生命和/或經濟安全造成威脅。

 

傑克·摩爾(Jake Moore)曾在多塞特郡警察局的數字取證部門和網路犯罪小組工作，花了14年調查電腦犯罪，他說：最嚴重的數據洩露通常不是來自外部人員；它們可能僅僅源於內部錯誤、控制不力或看不見的內部威脅。組織要記住實施嚴格的訪問控制，例如鎖定可移動媒體並確保只有具有直接運營需求的人員才能訪問敏感區域。

 

企業也需要考慮如何減少使用移動設備來採集敏感數據的風險。令人擔憂的是，並非所有區域都禁止使用個人設備，但在需要使用手機的區域，部署移動設備管理（MDM）工具來限制設備在高風險區域的功能是有效的，例如移除攝像頭的使用。

 

鏈接：

https://www.itpro.com/security/former-gchq-intern-risked-national-security-after-taking-home-top-secret-data

 

信飛科技有限公司

2025年4月