安全新聞周報20240907~ 0916
1.TrickMo Android 木馬利用輔助功能服務進行設備銀行欺詐
網絡安全研究人員發現了一種名為TrickMo的新型Android銀行木馬變種,該變種具有新的功能來逃避分析並顯示虛假登錄屏幕以捕獲受害者的銀行憑證。 TrickMo首次於2019年9月由CERT-Bund捕獲,過往有針對Android設備的記錄,特別是針對德國用戶,以竊取一次性密碼(OTP)和其他雙重身份驗證(2FA)代碼,從而方便進行金融欺詐。 這款專注於移動設備的惡意軟件被認為是現已解散的TrickBot電子犯罪團伙的作品,該團伙一直在不斷改進其混淆和反分析功能,以躲避監控。
意大利網絡安全公司發現的惡意釋放器應用程序偽裝成Google Chrome網絡瀏覽器,安裝後啟動時會提示受害者點擊「確認」按鈕以更新Google Play服務。 如果用戶繼續更新,一個包含TrickMo有效載荷的APK文件就會在設備的掩護下以「Google服務」的名義下載,之後用戶會被要求為新應用啟用可訪問性服務。 「可訪問性服務旨在為殘障用戶提供輔助,以便以替代方式與設備交互,」研究人員表示。 「然而,當被像TrickMo這樣的惡意應用利用時,這些服務可以授予對設備的大部分控制權。 這種高級權限允許TrickMo執行各種惡意操作,如攔截短信、處理通知以攔截或隱藏認證代碼,並執行HTML覆蓋攻擊以竊取用戶憑證。 此外,惡意軟件還可以解除鎖屏和自動接受權限,使其能夠無縫集成到設備的操作中。」 此外,可訪問性服務還允許惡意軟件禁用關鍵的安全功能和系統更新、隨意自動授予權限,並阻止卸載某些應用。
Cleafy的分析還發現,命令和控制(C2)服務器存在配置錯誤,使得攻擊者能夠在不需要任何身份驗證的情況下訪問從設備中提取的12GB敏感數據,包括憑證和圖片。 C2伺服器還託管了用於覆蓋攻擊的HTML文件。 這些文件包括各種服務的虛假登錄頁面,其中包括ATB Mobile和Alpha Bank等銀行,以及Binance等加密貨幣平台。 這一安全漏洞不僅凸顯了威脅行為者在操作安全(OPSEC)方面的失誤,也使受害者的數據面臨被其他威脅行為者利用的風險。 從TrickMo的C2基礎設施中洩露的大量信息可能被用於進行身份盜竊、滲透各種在線賬戶、進行未經授權的資金轉賬,甚至進行欺詐性購買。 更糟糕的是,攻擊者可以劫持賬戶並通過重置密碼將受害者拒之門外。
「利用個人信息和圖片,攻擊者可以製作令人信服的消息,誘騙受害者透露更多信息或執行惡意操作,」研究人員指出。 「利用如此全面的個人信息會導致受害者立即遭受經濟和聲譽損失,並產生長期後果,使恢復成為一個複雜而漫長的過程。」 這一披露之際,谷歌一直在填補側載方面的安全漏洞,允許第三方開發人員使用Play Integrity API確定其應用是否被側載,並據此要求用戶從Google Play下載應用以繼續使用。
鏈接:
https://thehackernews.com/2024/09/trickmo-android-trojan-exploits.html
2.新的 Linux 惡意軟件活動利用 Oracle Weblogic 挖掘加密貨幣
網絡安全研究人員揭露了一場針對Linux環境的新惡意軟件活動,旨在非法進行加密貨幣挖掘並傳播殭屍網絡惡意軟件。 根據云安全公司Aqua的說法,這場活動特別針對Oracle Weblogic服務器,目的是傳播一種名為Hadooken的惡意軟件變種。 「當Hadooken被執行時,它會釋放Tsunami惡意軟件並部署一個加密貨幣挖礦程序,」安全研究員Assaf Moran表示。
Hadooken內置了兩個組件,一個加密貨幣挖礦程序和一個名為Tsunami(又名Kaiten)的分布式拒絕服務(DDoS)殭屍網絡。 此外,該惡意軟件還通過在主機上創建cron作業來實現持久性,以不同的頻率定期運行加密貨幣挖礦程序。 Hadooken的防禦規避能力是通過一系列策略實現的,包括使用Base64編碼的載荷、將挖礦程序載荷以諸如「bash」和「java」之類的無害名稱放置以混入合法進程,以及在執行後刪除文件以隱藏惡意活動的跡象。
Aqua指出,IP地址在德國註冊,隸屬於託管公司Aeza International LTD(AS210644),而Uptycs在2024年2月的一份報告中曾將其與8220 Gang加密貨幣活動聯繫起來,該活動濫用了Apache Log4j和Atlassian Confluence Server及數據中心中的漏洞。 第二個IP地址目前處於非活動狀態,但也與Aeza Group Ltd.(AS216246)相關聯。 Qurium和EU DisinfoLab在2024年7月指出,aeza是一家位於莫斯科M9和法蘭克福兩個數據中心的防彈託管服務提供商。 「Aeza的作案手法及其快速增長可以通過招募與俄羅斯防彈託管提供商有關聯的年輕開發人員來解釋,這些提供商為網路犯罪提供庇護,」研究人員在報告中表示。
鏈接:
https://thehackernews.com/2024/09/new-linux-malware-campaign-exploits.html
3.新的 Android SpyAgent 惡意軟件使用 OCR 竊取加密錢包恢復密鑰
韓國Android設備用戶已成為新型移動惡意軟件活動的新目標,該惡意軟件活動帶來了一種名為SpyAgent的新型威脅。 邁克菲實驗室(McAfee Labs)研究員SangRyol Ryu在一份分析報告中表示,該惡意軟件「通過掃描設備上的圖像以尋找助記詞來定位這些密鑰」,並補充說,其目標範圍已經擴大到包括英國。
該活動利用偽裝成看似合法的銀行、政府設施、流媒體和實用工具應用的虛假Android應用,試圖誘騙用戶安裝它們。 自年初以來,已檢測到多達280個虛假應用。 這一切始於包含陷阱鏈接的短信,這些鏈接敦促用戶下載託管在欺騙性網站上的APK文件形式的相關應用。 一旦安裝,這些應用就會請求侵入性權限以從設備中收集數據,包括聯繫人、短信、照片和其他設備信息,然後將其洩露給威脅行為者控制的外部服務器。 其最顯著的特點是能夠利用光學字符識別(OCR)技術竊取助記詞,這些助記詞是恢復或種子短語,允許用戶重新訪問其加密貨幣錢包。
邁克菲實驗室表示,命令與控制(C2)基礎設施存在嚴重的安全漏洞,不僅允許未經身份驗證地訪問站點的根目錄,而且還暴露了受害者的收集數據。 該服務器還託管了一個管理員面板,作為遠程控制受感染設備的一站式商店。 面板中存在一個運行iOS 15.8.2且系統語言設置為簡體中文(「zh」)的Apple iPhone設備,這表明它可能也在針對iOS用戶。 「最初,該惡意軟件通過簡單的HTTP請求與其命令與控制(C2)服務器通信,」Ryu表示。 「雖然這種方法有效,但也相對容易被安全工具追蹤和阻止。 在一個重大的戰術轉變中,該惡意軟件現在已採用WebSocket連接進行通信。 此升級允許與C2伺服器進行更高效、實時、雙向的交互,並有助於其避免被傳統的基於HTTP的網絡監控工具檢測到。」
此次事件發生在Group-IB曝光另一種針對馬來西亞銀行用戶的Android遠程訪問木馬(RAT)craxsRAT後一個多月。 該木馬自2024年2月以來一直在活動,使用釣魚網站進行攻擊。 值得注意的是,craxsRAT活動之前也被發現至少自2023年4月起就瞄準了新加坡。 「CraxsRAT是臭名昭著的Android遠程管理工具(RAT)惡意軟件家族,具有遠程設備控制和間諜軟件功能,包括鍵盤記錄、執行手勢、錄製攝像頭、屏幕和通話,」新加坡公司表示。 「下載了包含CraxsRAT Android惡意軟件的應用的受害者將經歷憑據洩露和資金被非法提取。」
鏈接:
https://thehackernews.com/2024/09/new-android-spyagent-malware-uses-ocr.html
4.印度尼西亞最大的加密貨幣交易所承諾在 2200 萬美元被盜後賠償用戶
本周,東南亞一家主要加密貨幣交易所被盜價值 2200 萬美元的加密貨幣後,已暫停運營。
總部位於雅加達的 Indodax 表示,其擁有 600 多萬用戶,並向客戶表示,該公司已在其平台上發現安全漏洞,並已關閉服務以「完成維護工作,確保整個系統正常運行」。 該公司未對有關損失金額的詢問作出回應,但轉發了另一家新聞媒體的報道,稱損失了 2200 萬美元。 他們承諾將賠償可能遭受資金被盜的用戶,並在後續聲明中警告客戶謹防詐騙分子試圖利用這一情況竊取更多加密貨幣。 「請注意以 INDODAX 名義進行的欺詐行為! 我們提醒您警惕 INDODAX 資金退款邀請或索要您個人信息的請求,」他們表示。 「維護完成後,INDODAX 將恢復正常運行。」
多家區塊鏈安全公司表示,他們自 9 月 10 日起開始看到資金從該平台流出,其中包括價值約 140 萬美元的 25 枚比特幣和價值 1400 萬美元的以太坊。 Indodax 自 2014 年以來一直在運營,是亞洲一系列面臨攻擊的大型加密貨幣平台中最新的一家。 今年 7 月,一家名為 WazirX 的印度加密貨幣平台被盜價值至少 2.3 億美元的加密貨幣。 上周,新加坡一家大型平台也遭到攻擊,被盜資金超過 2700 萬美元。
雖然尚未明確這些攻擊的幕後黑手,但聯邦調查局 (FBI) 和微軟在過去一個月內發布了多份報告,稱與朝鮮政府有關聯的黑客將加密貨幣公司視為攻擊目標,並採取了各種攻擊手段。 據聯合國調查人員稱,朝鮮政府已將黑客攻擊加密貨幣平台作為其收入戰略的關鍵支柱,在 2017 年至 2023 年間通過此類攻擊獲得 30 億美元收入。 白宮官員警告稱,這些資金被用於資助該國的核武器計劃。
鏈接:
https://therecord.media/indodax-crypto-exchange-pledges-to-reimburse-after-theft
5.新的 Android 惡意軟件以中亞的銀行客戶為目標
研究人員發現,一種新型 Android 惡意軟件正在被用於竊取中亞銀行客戶的信息。
這款名為 Ajina Banker 的惡意軟件最早於 5 月份被新加坡網絡安全公司 Group-IB 發現,它通過偽裝成合法金融應用程序、政府服務門戶或日常實用工具的惡意文件傳播。 自去年 11 月以來,這些文件已通過即時通訊應用 Telegram 傳播,且該活動仍在繼續。 周四發布的一份報告顯示,研究人員已發現近 1,400 個獨特的 Ajina Banker 惡意軟件樣本。 該惡意軟件背後的威脅行為者尚未被識別,但其與一系列附屬機構合作,針對普通用戶進行金融欺詐。 儘管該惡意軟件並未歸咎於某個特定的黑客組織,但 Group-IB 表示,攻擊者的文件名、分發方式和其他活動表明「他們對所在地區有著文化上的熟悉感」。
Ajina Banker 瞄準的國家包括哈薩克斯坦、吉爾吉斯斯坦、塔吉克斯坦和烏茲別克斯坦。 大多數惡意軟件樣本都是專門設計用於攻擊烏茲別克斯坦用戶的。 隨著惡意軟件的不斷發展,其攻擊範圍已擴展到最初目標區域之外,影響了俄羅斯、烏克蘭、巴基斯坦甚至冰島的受害者。
根據報告,許多用戶仍在不斷成為 Ajina Banker 的受害者。 例如,5 月份的每日感染嘗試已超過 100 次。
為了分發惡意軟件,威脅行為者創建了多個 Telegram 帳戶,並在當地聊天室中傳播該工具。 研究人員表示,分發過程可能部分實現了自動化。 為了誘騙受害者安裝惡意文件,黑客們製作了具有說服力的消息,如承諾獎勵、特別優惠或提供熱門服務的獨家訪問權限。 「通過根據當地人口的興趣和需求量身定製其方法,ajina 能夠顯著提高成功感染的可能性,」研究人員表示。 為了繞過 Telegram 上的安全措施(這些措施可能會禁止向群聊發送文件的可疑帳戶),黑客指示用戶訪問他們控制的外部頻道。
研究人員指出,這些對手建立了多個 Telegram 帳戶,旨在與普通用戶融為一體,並盡可能長時間地逃避檢測。 這種同時維護和運營多個帳戶並持續發送定製消息的能力「表明了高水平的規劃和協調」。 一旦在受害者的設備上安裝,ajina Banker 可以收集已發送和接收的短信、SIM 卡信息以及已安裝金融應用程序的列表。 自推出以來,Ajina Banker 一直在不斷改進,顯示出更高的複雜性。
「社會工程學技術和攻擊規模被越來越多地利用,以提高活動的效率。」 研究人員表示。
鏈接:
https://therecord.media/new-android-malware-banking-central-asia
6.支付網關數據洩露影響了 170 萬名信用卡所有者
支付網關提供商Slim CD披露了一起數據泄露事件,該事件影響了近170萬人的信用卡和個人數據。 在發送給受影響客戶的通知中,該公司表示,黑客在2023年8月至2024年6月期間幾乎可以訪問其網絡長達近一年時間。
Slim CD是一家提供支付處理解決方案的供應商,使企業能夠通過基於Web的終端、移動或桌面應用程序訪問電子和銀行卡支付。 今年6月15日,該公司首次在其系統中檢測到可疑活動。 在調查過程中,公司發現黑客自2023年8月17日起就已經獲得了其網絡的訪問權限。 「調查結果顯示,在2023年8月17日至2024年6月15日期間,系統遭受了未經授權的訪問,」發送給受影響個人的通知中寫道。 然而,Slim CD表示,威脅行為者今年僅在6月14日至15日這兩天內查看了或獲得了信用卡信息的訪問權限。
Slim CD在數據洩露通知中表示:「該訪問可能使未經授權的行為者在2024年6月14日至15日期間查看或獲取了某些信用卡信息。」 雖然洩露的信息不足以讓網路犯罪分子進行欺詐性交易(因為缺少卡驗證碼(CVV)),但仍然存在信用卡欺詐的風險。 Slim CD表示,已採取措施加強其安全性,以防止未來發生類似事件。 同時,它建議通知收件人保持警惕,注意欺詐和身份盜竊企圖的跡象,並盡快向發卡機構報告可疑活動。 受影響的個人沒有獲得免費的身份盜竊保護服務。 Slim CD為包括零售、酒店和餐飲在內的多個行業提供支付處理服務,但收到洩露通知的個人可能並不熟悉該公司,因為他們從未直接與公司進行過互動。
鏈接:
7.近200億元! 知名威脅情報廠商Recorded Future賣身金融巨頭
2024年9月12日,金融服務巨頭MasterCard(NYSE:MA)宣布計劃花費26.5億美元(約188.7億人民幣)收購Recorded Future,此交易將為其企業投資組合增加威脅情報和網絡安全技術。 MasterCard將此次交易視為其網絡安全服務的擴展,並表示這將增強用於保護其金融服務生態系統的洞察力和情報。 Recorded Future,總部位於馬薩諸塞州,曾於2019年被私募股權公司Insight Partners以7.8億美元收購。 它被認為是全球最大的威脅情報公司,客戶遍及75個國家,包括45個國家的政府。 Recorded Future首席執行官Chris Ahlberg表示,該公司將繼續作為一個獨立和開放的情報平台,作為MasterCard的一個獨立子公司運營。 「我們將繼續這一使命,」Ahlberg在X上寫道。 「公司不變,新老闆,規模放大。 Recorded Future將繼續在全球範圍內生成情報,利用最先進的AI方法將其轉化為金礦,使我們的分析師和客戶能夠進行最精緻的分析。」
MasterCard與Recorded Future已經合作推出了一項AI支持的服務,當卡片可能被洩露時會提醒金融機構。 自今年早些時候推出以來,MasterCard表示,該服務識別被洩露卡片的速度比去年同期翻了一番。 當收購完成時(預計在2025年第一季度),masterCard預計將加大對人工智能的使用,以識別和防止其平台上的欺詐行為。 「MasterCard和Recorded Future都利用人工智能分析數十億個數據點,以識別潛在威脅,幫助保護個人和企業。 將這些團隊、技術和專業知識結合在一起,將能夠開發出更強大的實踐,並推動網絡安全和情報領域的更大協同,強化MasterCard品牌作為信任標誌,」公司在一份聲明中表示。 MasterCard多年來進行了多項以網絡安全為重點的收購。 2021年,它以未披露的金額收購了加密貨幣情報和區塊鏈分析公司CipherTrace,此前在年初宣布以8.5億美元收購了數字身份驗證公司Ekata。
在2020年初,MasterCard收購了第三方風險管理公司RiskRecon,並在2019年收購了Ethoca,這是一家幫助商家和發卡機構識別和解決數字欺詐(如虛假退單)的公司。
鏈接:
https://mp.weixin.qq.com/s/vNsQcfUoMobj9SW0aqHnEw
信飛科技有限公司
2024年9月
