1.大規模短信竊取活動感染 113 個國家/地區的 Android 設備

一場針對全球 Android 設備的惡意活動正在利用數千個機器人感染設備,竊取短信中的惡意軟件,並盜取 600 多個服務的一次性 2FA 密碼。

 

Zimperium 的研究人員發現了這次行動,並自 2022 年 2 月以來一直在對其進行追蹤。 他們報告稱,在該活動中發現了至少 107,000 個不同的惡意軟件樣本。

 

短信竊取器通過惡意廣告或Telegram機器人自動與受害者通信來傳播。 此次活動的大多數受害者位於印度和俄羅斯,而巴西、墨西哥和美國也有大量受害者。

 

Zimperium 發現,該惡意軟件將捕獲的短信消息傳輸到一個網站特定的API端點。 該網站允許訪問者購買訪問外國「虛擬」電話號碼的權限,這些號碼可用於匿名化和在線平台及服務的身份驗證。

 

很有可能,受感染的設備正在被該服務積極使用,而受害者卻毫不知情。 請求的Android短信訪問權限允許惡意軟件捕獲賬戶註冊和雙重身份驗證所需的一次性密碼(OTP)。

 

竊取短信的惡意軟件將數據外洩到該網站的API。

 

對於受害者來說,這可能會導致其手機賬戶產生未經授權的費用,同時他們還可能因設備和號碼被追蹤到的非法活動而受到牽連。

 

鏈接:

https://www.bleepingcomputer.com/news/security/massive-sms-stealer-campaign-infects-android-devices-in-113-countries/

 

2.RansomEXX集團採用新戰術瞄準印度銀行業

最近,印度銀行業遭遇了一次重大的勒索軟件攻擊,多家銀行和支付提供商受到影響。 此次攻擊的主要目標是Brontoo Technology Solutions,這是C-Edge Technologies Ltd的一個重要合作夥伴,而C-Edge Technologies Ltd是塔塔諮詢服務公司(Tata Consultancy Services)和印度國家銀行(State Bank of India)之間的合作項目。

 

CloudSEK 懷疑此次攻擊的初步入侵可能是由一個名為 intelBroker 的黑客在黑客論壇上促成的,並將入侵權限出售給了 RansomEXX 組織以進行進一步利用。

 

CloudSEK 警告稱,此次攻擊凸顯了供應鏈安全中的一個關鍵漏洞。 該公司聲稱:「擁有大量安全預算的大型組織更難被攻破,這促使攻擊者利用阻力最小的路徑進行攻擊。 因此,供應鏈攻擊變得越來越普遍。」

 

CloudSEK 還表示,目前正與勒索軟件組織進行談判,被盜數據尚未在其公關網站上發布。 鑑於 RansomEXX 歷史上高額的贖金要求,預計會採取類似的方法。

 

鏈接:

https://www.infosecurity-magazine.com/news/ransomexx-targets-indian-banking/

 

3.烏克蘭駭入俄羅斯銀行,引發重大混亂

烏克蘭情報機構策劃的大規模網絡攻擊導致俄羅斯銀行業中斷。

 

據烏克蘭情報部門消息,俄羅斯幾家頂級銀行的ATM服務無法運行,導致客戶無法提取現金。 襲擊始於7月23日,據說其規模和影響是前所未有的。

 

烏克蘭國防部主要情報局(HUR)發起的網絡攻擊在俄羅斯的各種金融服務中形成了普及性較大的混亂。

 

黑客成功凍結了銀行支付系統和移動應用程序,導致個人銀行業務中斷。

 

據《基輔郵報》報道,公共交通費用已被禁止,Beeline、MegaFon、tele2和Rostelecom提供的移動和互聯網服務已嚴重中斷。 在線信息服務和俄羅斯最大的社交網絡也成為了攻擊目標。

 

受影響的銀行包括VTB Bank、Alfa Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank和iBank等金融機構。 這些不斷增長的受損銀行中,dom.RF是最新的受害者。

 

此次網絡攻擊被視為針對俄羅斯銀行業的一項戰略行動,該行業在資助俄羅斯聯邦的武裝侵略方面發揮著重要作用。

 

烏克蘭情報機構的一位消息人士強調了此次襲擊的重要性,暗示它可能會迫使俄羅斯恢復到過時的財務管理方法,他幽默地提到「用木算盤、紙質存摺和洞穴壁畫來進行會計核算」。 隨著襲擊的加劇,其造成的全面破壞程度仍有待觀察。

 

烏克蘭的網絡攻勢標誌著當前衝突的顯著升級,凸顯了網絡戰在現代地緣政治鬥爭中的日益重要的作用。 目前局勢正在受到密切關注,預計在未來幾天內將出現進一步的發展。

 

鏈接:

https://gbhackers.com/ukraine-hacked-russian-banks/

 

4.加密貨幣交易所 Gemini 披露第三方數據泄露事件

加密貨幣交易平台Gemini警告稱,其自動清算所(ACH)服務提供商(未披露名稱)遭受網絡攻擊,導致數據泄露事件。

 

這家美國加密貨幣交易所於2024年6月26日一個月前開始向受影響的個人發送通知,但直到昨天才向加利福尼亞州總檢察長辦公室提交了這些通知信的樣本。

 

根據通知,gemini在2024年6月3日至6月7日期間遭受了第三方數據洩露,當時一名未經授權的入侵者攻破了其供應商的系統。

 

此次事件影響了Gemini部分客戶的銀行信息,包括客戶的全名、銀行賬戶號碼和路由號碼,這些信息是Gemini用於ACH資金轉賬的。

 

加密貨幣交易所表示,服務提供商的系統上沒有託管其他信息,如出生日期、物理地址、社會保障號、電子郵件地址、電話號碼、用戶名或密碼,因此這些信息並未受到侵害。

 

數據泄露事件現已得到控制,目前正在外部專家的協助下進行調查。 但目前尚未提供其他信息。

 

建議收到通知的人保持對來信的警惕,並尋找使用部分洩露信息進行欺詐的跡象。

 

此外,人們被建議為提供給Gemini的銀行賬戶啟用多因素身份驗證,以防止潛在的黑客攻擊,並聯繫銀行請求激活額外的保護措施或獲取新的賬戶號碼。

 

如果在受影響的銀行賬戶上發現可疑或未經授權的活動,應立即向銀行報告。

 

Gemini還建議收信人考慮在其信用報告中放置欺詐警報或安全凍結,但並未向受影響的個人提供任何身份盜竊保護服務。

 

Gemini在發布後發表的一份聲明中透露,有15,000人受到了此次事件的影響。

 

Gemini告訴BleepingComputer:「第三方發生的事件涉及大約15,000名Gemini客戶的信息。 儘管我們出於謹慎考慮通知了相關客戶,但我們的分析並未發現對客戶造成影響的證據。」

 

2022年,gemini也曾因第三方供應商的大規模數據泄露而遭受影響,當時有570萬用戶的聯繫信息,包括電子郵件地址和電話號碼被洩露。

 

被盜的數據庫在暗網上出售,後來在黑客論壇上免費洩露。

 

鏈接:

https://www.bleepingcomputer.com/news/security/crypto-exchange-gemini-discloses-third-party-data-breach/

 

5.新型安卓銀行木馬BingoMod竊取資金,清空設備數據

網絡安全研究人員發現了一種新的名為BingoMod的Android遠程訪問木馬(RAT),它不僅會從受感染的設備上進行欺詐性資金轉賬,而且還會清除設備信息以試圖抹去惡意軟件的痕跡。

 

意大利網絡安全公司Cleafy在2024年5月底發現了RAT,該公司表示該惡意軟件正在積極開發中。 由於早期版本的源代碼中存在羅馬尼亞語注釋,cleafy猜測這種Android木馬由一個講羅馬尼亞語的黑客製作。

 

BingoMod也因其採用的自毀機製而引人注目,該機制旨在清除受感染設備上任何欺詐轉賬的證據,以阻礙取證分析。 雖然此功能僅限於設備的外部存儲,但懷疑遠程訪問功能可用於啟動完整的恢復出廠設置。

 

一些已識別的應用程序偽裝成防病毒工具和谷歌Chrome的更新。 安裝完成後其會提示用戶授予訪問權限並使用權限進行惡意攻擊。

 

研究人員表示:「除了實時屏幕控制外,該惡意軟件還通過覆蓋攻擊和虛假通知展示釣魚能力。 不同尋常的是,覆蓋攻擊不是在打開特定目標應用程序時觸發的,而是由惡意軟件操作員直接啟動的。」

 

鏈接:https://thehackernews.com/2024/08/new-android-banking-trojan-bingomod.html

 

6.俄羅斯將加密貨幣挖礦合法化,以應對全球製裁對傳統金融體系的衝擊

俄羅斯政府周二通過了兩項法律,使虛擬貨幣挖礦合法化,並為其央行使用加密貨幣進行國際支付鋪平了道路。

 

俄羅斯議會下議院即國家杜馬已批准法人和企業家進行加密貨幣挖礦。 根據新規定,有興趣的參與者需要向俄羅斯相關機構提交其信息,以便進行追蹤。

 

對於遵守政府設定的能源限制的個人,他們無需註冊即可進行挖礦。 此外,政府還有權在俄羅斯的某些地區禁止挖礦活動。

 

根據該法律,礦工需要向當地金融監管部門報告其活動,並向俄羅斯安全部門提供其錢包地址。

 

另一項預計將於9月生效的加密貨幣法案將允許俄羅斯央行創建用於跨境支付加密貨幣的「實驗性」基礎設施。 根據目前的規定,俄羅斯禁止使用數字貨幣進行支付。

 

隨著莫斯科入侵烏克蘭後全球對俄羅斯實施的制裁繼續對俄羅斯經濟造成打擊,新的加密貨幣監管規定應運而生。 這些制裁使俄羅斯公司脫離了全球美元體系,並迫使莫斯科交易所停止美元和歐元交易。

 

加密貨幣法案的作者之一、信息政策委員會副主任安東·戈爾金表示,俄羅斯當局將加密貨幣「主要視為規避制裁的工具」。

 

俄羅斯對加密貨幣的態度隨著時間的推移而演變,本月早些時候,俄羅斯總統弗拉基米爾·普京稱數字貨幣是「現代經濟中一個非常活躍和有前途的方向」。

 

他補充說:「對我們來說,重要的是不要錯過這一刻,並迅速建立法律框架和監管,發展基礎設施,為國內和與外國夥伴的關係創造數字資產流通的條件。」

 

然而,許多限制仍然阻礙著當地加密貨幣行業的發展。 新法律不會取消俄羅斯國內禁止加密貨幣支付的規定。 此外,俄羅斯仍然禁止加密貨幣和提供加密貨幣服務的公司的廣告。

 

鏈接:

https://therecord.media/Russia-legalizes-cryptomining

 

7.法國電信基礎設施再次遭到蓄意破壞

幾家法國電信服務提供商的光纖網絡在一夜之間遭到「破壞」,導致一些固定和移動服務中斷。

 

法國第二大電信運營商SFR在X日發表的一份聲明中表示,其長途光纜遭到蓄意破壞,並指出在受影響最嚴重的地區,該公司的服務可能會受到影響。

 

法國警方告訴法新社,這一事件發生在法國的六個地區,但當前奧運會主辦城市巴黎並未受到影響。

 

來自互聯網監測服務NetBlocks的數據顯示,法國多家互聯網服務提供商,包括Free和Alphalink,都遭受了中斷。

 

已確認:網絡數據顯示,在法國,多家互聯網服務提供商在2024年巴黎奧運會期間報告的光纖破壞活動針對電信基礎設施的背景下,遭受了中斷。 法國數字事務副部長瑪麗娜·法拉利於周一證實了此次攻擊,並表示電信運營商已經「定位」了攻擊的後果,但未提供進一步細節。 她補充說:「我以最強烈的言辭譴責這些怯懦且不負責任的行為。」

 

當地報紙《巴黎人報》報道稱,SFR和布伊格電信(Bouygues Telecom)的光纜在法國南部被切斷,盧森堡和巴黎附近的設施也遭到破壞。

 

據報道,這些光纜位於「公眾知之甚少且需要精確信息才能找到的地方」。 它們很可能是被「裝備精良且嚴密的組織」破壞的。

 

SFR的發言人告訴法新社:「大量光纜被切斷,你需要使用斧頭或砂輪才能做到。」

 

當地媒體報道稱,基礎設施受到蓄意破壞影響的法國電信運營商已經派遣技術人員前往現場評估和修復損失。

 

在又一重大國際活動期間,法國再次疑似遭遇破壞活動。 上周,就在奧運會開幕式前幾小時,法國的高速鐵路公司(SNCF)也遭受了協同的「惡意行為」的打擊。

 

關於光纖網絡破壞事件的詳細信息以及受影響的人數目前尚不清楚。 此外,也不確定針對SNCF和法國電信基礎設施的攻擊是否有關聯。

 

電信運營商Free在X日的一份聲明中表示,其全國網絡今晨遭受了顯著的速度服務質量下降。 法國雲服務提供商OVH的發言人在接受彭博社采訪時表示,該公司正在努力重新路由流量,因為該事件導致歐洲與亞太地區之間的連接性能下降。

 

同樣受到破壞事件影響的法國互聯網服務提供商Netalis的負責人尼古拉·吉約姆(Nicolas Guillaume)表示,這一事件是「不可接受的」,該公司將「提出投訴」。 吉約姆還分享了一張昨晚被切斷的光纜的照片。

 

在奧運會期間,法國一直處於高度戒備狀態。 當局此前已警告可能發生恐怖主義行為、基礎設施破壞和網絡攻擊。 上周奧運會開幕式期間,巴黎部署了約45,000名警察和數千名士兵。

 

值得注意的是,法國並不是唯一一個在周末遭受電信基礎設施破壞的國家。 在芬蘭,位於詹納卡拉市的一座手機信號塔被推倒,導致當地電信運營商Elisa的移動服務中斷。 警方目前正在調查此事,但Elisa的安全總監告訴當地媒體,不能排除蓄意破壞的可能性,因為將塔固定在地面上的電纜被切斷了。 這座塔高70多米,位於森林中央。

 

目前尚不清楚法國和芬蘭的事件之間是否存在關聯。

 

鏈接:https://therecord.media/french-telecom-infrastructure-sabotage

 

 

信飛科技有限公司

2024年8月